俄罗斯黑客组织威胁曝光169GB健康数据,波及美国千万用户
一家美国政府承包商报告称,800万至1100万份健康数据记录被曝光,大规模MOVEit数据泄露造成的损失继续上升。这起违规事件发生在一家名为Maximus的公司,该公司是一家管理医疗补助和医疗保险以及许多其他政府项目的承包商。俄罗斯黑客组织Cl0p因MOVEit数据泄露而受到赞扬,并一直在通过其暗网站打击各种受害者,现在威胁要泄露约169GB的被盗健康数据。
政府承包商的妥协增加了MOVEit数据泄露受害者的庞大名单
受损的健康数据属于Maximus管理的项目的参与者。政府承包商发表声明称,这可能包括敏感的健康信息和社会保障号码,但总损失仍在评估中,修复成本可能超过1000万美元。
MOVEit数据泄露事件于6月初首次披露,Cl0p一直在慢慢提出勒索要求,大部分时间将其发布在其网站集上,而不是直接与受损方谈判。该软件被广泛用于地点和组织之间的安全、加密文件传输,各种公共和私人实体都在使用它。受影响的包括几个州的公共雇员退休计划、一些银行和保险公司、县政府、卫生系统和大学。总部位于英国的体育博彩巨头Flutter Entertainment是最近被勒索的公司之一。
被盗健康数据的缓存增加了迄今为止被认为暴露的约3450万条个人信息记录。并非所有受到MOVEit数据泄露影响的各方都丢失了敏感的信息,但如果受害者组织选择不支付赎金,无论采取什么措施,信息都会被公开。当然,即使支付了赎金,被盗信息也很可能在以后的某个时候在黑市上出售。
Maximus为受影响的各方提供免费的信用监控,并积极联系那些有联系方式的人。由于所涉及数据的敏感性,医疗保健部门的漏洞具有高度破坏性。它暴露了本已脆弱的人群中一些最私人的个人和医疗信息,导致身份盗窃、医疗欺诈以及个人和组织的经济损失。此类事件侵蚀了信任,影响了患者安全,并引发了沉重的法律责。医疗保健行业的组织,应该优先考虑以数据为中心的安全措施。通过采用稳健的以数据为中心的安全策略,从而减轻潜在漏洞的影响。
被盗健康数据增加了令人高度担忧的个人信息缓存
一些网络安全分析人士认为,MOVEit数据泄露的全面影响可能需要一年多的时间才能显现出来。6月底进行的扫描发现,大约2500台服务器暴露在开放的互联网上,可能存在漏洞。这些服务器中约70%在美国,该公司约三分之一的客户是拥有至少10000名员工的大型组织。遏制它的最大希望是关闭Cl0p,但短期内发生这种情况的可能性似乎很小。
该集团目前是市场上规模最大、经验最丰富的集团之一,至少从2019年初开始运营,并对Accelion和GoAnywhere等公司的类似第三方违规行为负责。
自MOVEit数据泄露的中心漏洞向公众披露后的第二天起,就有了补丁,直到7月5日,其他漏洞才逐渐得到了修补。但该补丁必须手动更新应用,而且Cl0p很可能早在漏洞被发现和披露之前就处于活动状态。这可能是他们决定不部署勒索软件的原因,使其能够在有人意识到他们在网络中翻找之前悄悄收集更多数据进行勒索。
目前,随着Cl0p慢慢列出更多勒索受害者,MOVEit数据泄露的程度正在逐渐显现。KnowBe4的安全意识倡导者Erich Kron指出:“现在才刚刚开始清楚MOVEit黑客攻击对大量信息造成了什么样的影响,被泄露的信息的程度还在继续被发现。此外,由于大多数恶意软件都是通过简单的网络钓鱼电子邮件传播的,因此对用户和员工进行教育和培训,使其能够快速发现和报告电子邮件网络钓鱼攻击,这一点很重要。”
网络安全研究人员在亚马逊云平台(AWS)中发现了一种新的后渗透攻击,能允许 AWS 系统管理器代理(SSM 代理)作为远程访问木马在 Windows 和 Linux 环境中运行。
Mitiga的研究人员Ariel Szarf和Or Aspir在与The Hacker News分享的一份报告中说:“SSM代理是管理员用来管理实例的合法工具,攻击者如果在安装SSM代理的端点上获得了高权限访问,就可以重新利用它来持续开展恶意活动。”
SSM Agent是一个安装在Amazon EC2实例上的软件,使管理员可以通过统一界面更新、管理和配置其 AWS 资源。
使用 SSM 代理作为木马具有诸多优点,能受到端点安全解决方案的信任,并且无需部署可能触发检测的其他恶意软件。为了进一步混淆视听,攻击者可以使用自己的恶意 AWS 帐户作为命令和控制 (C2) 来远程监控受感染的 SSM 代理。
Mitiga 详细介绍的后渗透攻击假定攻击者已经拥有在安装并运行了 SSM Agent 的 Linux 或 Windows 端点上执行命令的权限,这需要将 SSM Agent 注册为在 "混合 "模式下运行,允许与 EC2 实例所在的原始 AWS 账户之外的不同 AWS 账户通信。这会导致 SSM 代理从攻击者拥有的 AWS 账户执行命令。
另一种方法是使用Linux 命名空间功能启动第二个 SSM 代理进程,该进程与攻击者的 AWS 账户进行通信,而已在运行的 SSM 代理则继续与原始 AWS 账户进行通信。
最后。Mitiga 发现 SSM 代理功能可能被滥用,将 SSM 流量路由到攻击者控制的服务器(包括非 AWS 账户端点),从而允许攻击者控制 SSM 代理而无需依赖AWS 基础设施。
Mitiga建议企业从防病毒解决方案相关的允许列表中删除 SSM 二进制文件,以检测任何异常活动迹象,并确保 EC2 实例响应仅来自使用系统管理器虚拟私有云 (VPC) 端点的原始 AWS 账户的命令。
精彩推荐
乘风破浪|华盟信安线下·web渗透夏令营暨网络安全就业班招生中!
web渗透入门基础篇|充电
重磅|2023华盟HW工程师招募
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...