一周全球重大网络安全事件速递（第十三期）

3月4日

美国运通信用卡遭遇第三方数据泄露

在美国运通向马萨诸塞州提交的一份数据泄露通知中，该公司警告客户他们的信用卡可能已被盗。

该事件并非由美国运通卡的数据泄露造成，而是由处理美国运通卡会员数据的商家处理器造成。通知解释说：“我们意识到，众多商家聘用的第三方服务提供商的系统遭受了未经授权的访问。”

此次泄露导致客户的美国运通卡帐号、姓名和卡过期数据被黑客获取：“我们一些持卡会员的账户信息可能已被盗取。需要注意的是，美国运通拥有或控制的系统并未受到此次事件的损害，我们向您提供此通知是为了预防。”

3月4日

BlackCat勒索软件声称窃取了2200万美元赎金，并已关闭了服务器

ALPHV/BlackCat勒索软件团伙已关闭其服务器，据称他们向Change Healthcare平台运营商Optum的附属公司诈骗了2200万美元。

虽然BlackCat的数据泄露博客自周五以来一直处于关闭状态，但BleepingComputer已证实网站在周末仍然活跃。今天，勒索软件操作谈判网站已确认关闭，这表明勒索软件团伙的基础设施遭到进一步蓄意破坏。目前尚不清楚这是否是退出骗局，还是试图以不同的名称重新命名该业务。

3月4日

LockBit勒索软件组织扩大影响范围，瞄准8个新受害者

尽管LockBit的运营受到干扰，但最近的声明表明，该勒索软件组织已凭借增强的技术和功能重新浮出水面，声称其暗网门户增加了8名新受害者。目标公司包括美国的STOCK Development、比利时的Smulders、美国的United Notions Inc.、德国的STARK Power GmbH、德国的SCHÜTT & GRUNDEI、德国的Röhr + Stolberg GmbH、美国的航空航天公司、和德国埃索集团。

然而， LockBit勒索软件组织尚未披露所谓网络攻击背后的动机、数据泄露的程度以及数据泄露的方法等细节。

3月4日

NoName勒索软件声称：丹麦多个主要网站遭到网络攻击

NoName勒索软件组织声称对丹麦多个网站受到的攻击负责，其中包括 Movia、Din Offentlige Transport、交通部、哥本哈根机场和丹麦航运等知名实体。

该组织尚未提供有关攻击范围或任何数据泄露的更多详细信息。然而，他们透露了攻击背后的动机，称对丹麦网络安全专家对威胁的反应不满意。

NoName在暗网上的这一声明凸显了他们对丹麦正在进行的网络攻击，同时也引发了人们对丹麦网络安全防御复杂网络威胁的有效性的质疑。

3月4日

LockBit再次发起勒索攻击，目标为知名时尚品牌Jovani

据报道， LockBit勒索软件组织再次发起攻击，目标是新的受害者——Jovani Fashion, Ltd.，网络安全世界继续面临挑战。在暗网上的一篇帖子中透露。

Jovani Fashion, Ltd. 于1983年在纽约市中心成立，是时尚界的巅峰之作，年营收高达3060万美元。Jovani Fashion网络攻击的范围仍未公开，细节尚未浮出水面。此外，对该公司官方网站的检查没有发现任何干扰或破坏的迹象，这进一步增加了该事件的谜团。

3月4日

Phobos勒索软件积极针对美国关键基础设施

美国网络安全和情报机构对针对政府和关键基础设施实体Phobos勒索软件攻击发出警告，并概述了威胁行为者部署文件加密恶意软件所采用的各种策略和技术。

政府表示：“Phobos勒索软件采用勒索软件即服务 (RaaS) 模式，其目标包括市县政府、紧急服务、教育、公共医疗保健和关键基础设施等实体，成功勒索了数百万美元。”

自2019年5月开始活跃，迄今为止已发现Phobos勒索软件的多个变体，即Eking、Eight、Elbie、Devos、Faust和Backmydata。去年年底，思科Talos透露8Base勒索软件背后的威胁行为者正在利用Phobos勒索软件变体进行出于经济动机的攻击。

有证据表明，Phobos可能受到中央机构的密切管理，该机构控制着勒索软件的私有解密密钥。

3月5日

爱荷华州电力和自来水公司称，1月份勒索软件攻击导致近37000条信息泄露

马斯卡廷电力和水务公司（Muscatine Power and Water）为美国马斯卡廷和弗鲁特兰地区超过50000人提供互联网、电视、电话、水和电力服务。该公司这几周来一直向公众发出警告，称其正在应对1月26日发现的勒索软件攻击。

在上周发出的违规通知信中，该公司表示，黑客获取了36955人的社会安全号码以及称为客户专有网络信息 (CPNI) 的电信用户数据。

“对这一事件进行全面的取证调查后，我们发现您的姓名、社会安全号码和与电话服务相关的CPNI（账单金额、电话号码、通话详细信息，包括使用分钟数）可能已在攻击中暴露。我们还没有收到与此事件相关的身份盗窃报告。”该公司表示，并指出它们正在向受害者提供为期一年的信用监控服务。

3月6日

英国最大外包公司表示：网络攻击导致年度损失超过1.06亿英镑

去年3月遭受勒索软件攻击的英国外包巨头公司Capita报告称，去年损失超过1.066亿英镑，其中大约四分之一是由该事件直接造成的。

该公司最初表示，预计该事件的响应成本将高达2000万英镑，后来又向上修正了这一数字。周三公布的年度业绩证实，此次袭击造成的净成本为2530万英镑。自Black Basta集团声称发生这起事件以来，该公司的股价已下跌超过 54%，从3月30日（事件首次报道的前一天）的高点38.64英镑暴跌至16.18英镑。

3月6日

美国多所著名大学涉嫌数据泄露

一名在暗网上运作的黑客声称拥有美国多所著名大学的数据，提到的机构包括芝加哥大学、杜克大学、普林斯顿大学和斯坦福大学。泄露的信息涵盖2021年至2024年期间，包括据称与这些知名大学有关联的个人的电子邮件地址和姓名。

数据泄露的全部范围尚未确定，这让大学管理人员和网络安全专家保持高度警惕。如果事实证明属实，此类违规行为的影响可能是深远的，可能会危及学生、教师和工作人员的隐私和安全。

该事件凸显了网络安全领域的一个令人不安的趋势，研究和教育部门逐渐成为网络犯罪分子寻求利用漏洞和窃取敏感信息的主要目标。Check Point Software的数据显示，教育机构遭受的网络攻击数量急剧增加，仅2023年第一季度，每所学院或大学平均每周遭受2507次网络攻击，与上一年相比增加了15%。

3月6日

埃及最大的移动网络运营商服务中断，疑遭网络攻击

沃达丰埃及是该国最大的移动运营商，为超过4000万客户提供服务。最近，该公司正在努力应对影响移动和互联网服务的部分中断，引发了社交媒体平台上用户的不满。沃达丰埃及的这次故障严重影响了通信网络，影响了亚洲、欧洲和中东之间25%的数据流。

此外，臭名昭著的网络组织“匿名苏丹”现在也声称对沃达丰发起了网络攻击。他们在暗网消息中声称对此负责，称这次袭击是对他们认为的“埃及最腐败的电信公司的打击”。

这些针对电信巨头的网络攻击背后的动机尚不清楚，无论是出于经济利益、地缘政治紧张局势还是其他因素。

沃达丰埃及的这次中断并不是孤立的，电信行业最近也发生了类似的网络威胁造成的中断。2024年1月，马来西亚历史最悠久的移动电信提供商Celcom和阿联酋卫星服务提供商Thuraya Te communications受到了威胁。此外，阿联酋国有酋长国电信集团公司2月份面临LockBit勒索软件派系发起的勒索软件攻击。此类事件的反复发生凸显了电信行业迫切需要加强网络安全措施。

3月7日

据称Play勒索软件泄露了超6万份瑞士政府文件

瑞士当局发现，去年其一家IT供应商遭受勒索软件攻击后，65000份包含机密信息和敏感个人数据的政府文件被泄露。

瑞士国家网络安全中心 (NCSC)发布了一份对去年5月攻击期间被盗数据的简要分析，当时与Play勒索软件团伙相关的黑客针对的是IT供应商Xplain。

暗网上发布的数据总共涉及130万个文件，其中约5%的数据与该国联邦政府有关。这些文件大部分属于Xplain，并且与该公司与政府的合作有关，但大约14%直接来自该国的联邦政府。

文件内容包括个人数据、技术信息、机密文件、密码等。在大约4700个文件中发现了姓名、电子邮件地址、电话号码和地址。其中250多个文件包含“技术信息，例如IT系统文档、软件需求文档或架构描述”。

3月7日

WordPress零日漏洞警报：涉嫌利用该漏洞危及110000个网站

WordPress是一种广泛使用的内容管理系统，为全球数百万个网站提供支持，在发现所谓的零日漏洞后，它已成为人们关注的焦点。这个WordPress零日漏洞能够危害网站，引起了网站所有者和网络安全专业人士对广泛安全漏洞的担忧。

根据一篇暗网帖子，一名威胁行为者在宣传销售所谓的WordPress零日漏洞，该漏洞危害了大约110000个网站。该漏洞售价为10000美元，据称允许攻击者将文件上传到受影响的网站，从而可能授予未经授权的访问和控制权。

3月7日

勒索软件团伙声称，在袭击儿童医院后获利340万美元