一周全球重大网络安全事件速递（第十九期）

Roku称第二次安全事件后

57.6万个用户帐户遭到黑客攻击

时间：4月13日

流媒体巨头Roku确认了几个月内的第二起安全事件，这次黑客能够入侵超过50万Roku用户帐户。

该公司在周五的一份声明中表示，大约576000个用户帐户通过一种称为撞库的技术被访问，其中恶意黑客使用从其他数据泄露中窃取的用户名和密码，并在其他网站上重复使用登录信息。

Roku表示，在不到400起账户泄露事件中，恶意黑客利用用户账户中存储的支付数据欺诈性购买 Roku 硬件和流媒体订阅。Roku表示，已向受帐户入侵影响的客户退款。该公司拥有8000万客户，表示恶意黑客“无法访问敏感的用户信息或完整的信用卡信息”。

Roku表示，它在通知约15000名Roku用户他们的帐户在之前的撞库攻击中遭到泄露时发现了第二起事件。

黑客声称Giant Tiger数据泄露

在线泄露280万条记录

时间：4月13日

加拿大零售连锁巨头Giant Tiger于2024年3月披露了一起数据泄露事件。

这家折扣连锁店在加拿大各地经营着260多家商店，拥有8000名员工。一名威胁行为者现已公开声称对数据泄露负责，并在黑客论坛上泄露了280万条记录，他们声称这些记录属于Giant Tiger客户。

数据泄露监控服务HaveIBeenPwned已将泄露的数据库添加到其网站上，以便用户轻松检查其信息是否遭到泄露。

思科：黑客于4月1日

攻破了多重身份验证消息提供商

时间：4月15日

思科表示，其用来发送多重身份验证 (MFA) 消息的提供商之一于4月1日被威胁行为者破坏。

思科在发给客户的电子邮件中表示，该事件特别影响了Duo——它于2018年收购的一家多因素身份验证公司。攻击者破坏了一家电话供应商的系统，Duo使用该系统通过短信和电话向客户发送MFA消息。这些电子邮件没有说明哪家提供商受到攻击，但解释说思科正在与该提供商合作调查该事件。

据称阿根廷电信在暗网上

以100美元的价格提供数据访问

时间：4月15日

据称，一名暗网用户在黑客论坛上提出以100美元的价格出售阿根廷电信的接入权。根据威胁行为者的帖子，感兴趣的买家可以获得访问权限，使他们能够查询与阿根廷个人相关的个人信息。

这包括以其名称注册的服务的详细信息，例如路由器，可以访问公共IP和私有IP地址等数据。虽然这些说法尚未得到证实，但该行为者通过多个样本断言了阿根廷电信接入销售的真实性。

DAIXIN勒索软件集团声称

Omni Hotels数据泄露并威胁泄露

时间：4月15日

DAIXIN Team勒索软件组织声称对酒店行业知名品牌Omni Hotels & Resorts遭受的恶意网络攻击负责。

根据暗网上发布的消息，该勒索软件组织不仅渗透了该连锁酒店的系统，据称还窃取了敏感数据，包括自2017年以来所有访客的记录。此外，他们还发出了即将发生数据泄露的警告。自3月29日以来，这家豪华连锁酒店一直在应对Omni Hotels & Resorts网络攻击的影响，该攻击导致其旗下酒店普遍出现IT中断。

在针对此次攻击的官方声明中，奥姆尼酒店及度假村承认网络攻击造成的破坏，并向客人保证将持续努力纠正这种情况。

新的SteganoAmor攻击

使用隐写术攻击全球320个组织

时间：4月15日

TA558黑客组织开展的一项新活动正在使用隐写术将恶意代码隐藏在图像内，从而将各种恶意软件工具传递到目标系统上。

隐写术是一种将数据隐藏在看似无害的文件中的技术，使用户和安全产品无法检测到它们。TA558是一个自2018年以来一直活跃的威胁组织，以针对全球酒店和旅游组织（尤其是拉丁美洲）而闻名。

Positive Technologies发现了该组织的最新活动，由于广泛使用隐写术，被称为“SteganoAmor”。研究人员在此次活动中发现了320多次攻击，影响了各个部门和国家。

勒索软件团伙开始泄露涉嫌被盗的

Change Healthcare数据

时间：4月15日

RansomHub勒索团伙已开始泄露他们声称从United Health子公司Change Healthcare窃取的公司和患者数据，这对该公司来说是一个漫长而复杂的勒索过程。

今年2月，Change Healthcare遭受了网络攻击，对美国医疗保健系统造成了严重破坏，导致药房和医生无法向保险公司开具账单或提出索赔。这次攻击最终与BlackCat/ALPHV勒索软件操作有关，该勒索软件后来说他们在攻击期间窃取了6 TB数据。BlackCat关闭后，其附属公司Notchy与RansomHub勒索软件团伙合作，再次勒索Change Healthcare，尽管该公司据称已经支付了赎金。

威胁行为者开始泄露他们声称窃取的文件的截图。截图包括Change Healthcare与保险提供商之间的数据共享协议。其他文件包含会计数据，包括账龄报告、保险付款报告和其他财务信息。然而，最令人担忧的是，泄露的数据还包含患者信息，包括所欠金额和提供的患者护理服务的账单。

勒索攻击已使医疗巨头损失8.72亿美元

预计总额将超过10亿美元

时间：4月16日

根据该公司最新的财报，医疗保健巨头联合健康集团 (UHG) 旗下的一家公司遭受勒索软件攻击，迄今为止已造成8.72亿美元的损失。

UnitedHealth是Change Healthcare母公司，该公司在2月份因勒索软件攻击而瘫痪。Change Healthcare和UHG子公司Optum因该事件导致数百个系统离线，并因其对勒索软件攻击的处理而受到白宫和国会的批评。

在财报电话会议上，总裁兼首席财务官John Rex表示，该公司第一季度因“不利的网络攻击影响”而损失了8.72亿美元。“在8.7亿美元中，约5.95亿美元是由于票据交换所平台恢复和其他应对工作而产生的直接费用，包括与暂时中止某些护理管理活动直接相关的医疗费用。对于全年，我们估计这些直接成本为10亿至11.5亿美元，”雷克斯说。

大西洋渔业机构确认8Base

勒索软件团伙的攻击事件

时间：4月17日

东海岸的一个渔业管理组织正在处理一起网络事件，勒索软件团伙声称该组织窃取了数据。大西洋各州海洋渔业委员会 (ASMFC)——一个由国会创建、由大西洋沿岸各州官员组成的有 80 年历史的组织——本周表示，其电子邮件系统已瘫痪。该组织被迫创建一个临时电子邮件地址，并提供人们可以用来联系信息的电话号码。

ASMFC通讯总监蒂娜·伯杰 (Tina Berger) 告诉Recorded Future News，他们目前正在“对影响系统的网络事件做出回应”，但没有回应有关他们是否正在应对勒索软件攻击的进一步问题。

周一，8Base勒索软件团伙将该组织添加到其泄露站点，并给官员四天的时间来支付未公开的赎金。该组织声称窃取了发票、个人数据、合同等。

去年美国食品和农业部门

遭受了160多起勒索软件攻击

时间：4月17日

近日，据行业组织称，美国食品和农业部门去年至少遭遇了167起勒索软件攻击。截至2024年第一季度，该行业已发生40起攻击，较上年略有下降。

多家大型食品公司在2023年处理了网络攻击事件，包括都乐、西斯科和亿滋。美国农业部 (USDA)去年告诉Recorded Future News，它受到勒索软件组织利用流行文件传输工具的影响，导致大量行业信息被泄露。

报告称，2023年LockBit发起了40起攻击，约占所有攻击的四分之一，BlackCat攻击了15名不同的农业受害者，其次是Play、8Base和Akira等勒索软件团伙。

联合国机构称数据在

勒索软件攻击中被盗

时间：4月18日

两周前，8Base 勒索软件团伙声称攻击了联合国开发计划署，威胁要泄露从该组织系统中获取的未公开数据量。联合国开发计划署周三证实，它们遭到了勒索软件攻击。联合国开发计划署的一位发言人告诉Recorded Future News，本地托管的服务器遭到攻击，数据被盗。

“对于开发署来说，这包括一些过去和现在人员的个人身份信息以及与一些供应商和其他承包商有关的采购信息，”发言人说。“开发署已通知我们掌握其当前联系信息的受影响个人和实体，我们将在了解更多信息后继续通知受影响的个人和实体。我们目前没有证据表明实际或企图滥用被盗信息。”

当被问及开发计划署是否会支付赎金时，发言人表示，他们不会“与威胁行为者接触”，并且“不会支付任何赎金”。

RansomHouse据称袭击了

洛佩桑酒店：650GB数据泄露

时间：4月18日

洛佩桑（Lopesan）酒店集团是一家家族企业集团，于 1972 年作为承担公共建筑项目的集团开始活动。该连锁酒店后来扩大规模，成为一家跨国公司，总部位于大加那利岛。RansomHouse组织据称将洛佩桑添加到其勒索网站的受害者名单中，声称他们获得了650GB有关酒店收入的数据以及有关408名员工的详细信息。

该组织声称已于 2024年3月22日对数据进行加密，同时表示该公司对机密数据在互联网上泄露不感兴趣。RansomHouse还分享了一个不需要任何密码的可下载数据的链接，使数据泄露网站上的所有用户都可以使用这些数据。

RansomHouse开发了一种名为“MrAgent”的新工具，该工具针对的是通常用于存储有价值数据的VMware ESXi虚拟机管理程序。去年，该组织将几个大型组织作为目标，包括从半导体巨头 AMD窃取450 GB数据、扰乱西班牙巴塞罗那医院诊所医疗服务的攻击以及对非洲最大连锁超市Shoprite的攻击等。

Palo Alto防火墙漏洞受到攻击，

给数千家公司带来了破坏

时间：4月18日

在恶意黑客开始利用该漏洞闯入企业网络后，Palo Alto Networks本周敦促各公司修补其广泛使用的安全产品中新发现的零日漏洞。

该漏洞的正式名称为CVE-2024-3400，是在Palo Alto GlobalProtect防火墙产品上运行的PAN-OS软件的较新版本中发现的。由于该漏洞允许黑客无需身份验证即可通过互联网完全控制受影响的防火墙，因此帕洛阿尔托对该漏洞给予了最高严重等级。黑客可以轻松地远程利用该漏洞，使数千家依赖防火墙的公司面临被入侵的风险。

Palo Alto的零日漏洞是近几个月发现的一系列针对企业安全设备（如防火墙、远程访问工具和VPN产品）的漏洞中的最新一个。这些设备位于企业网络的边缘，充当数字看门人，但当存在严重漏洞时，其安全和防御毫无意义。

电信巨头Frontier在

网络攻击后关闭部分系统

时间：4月18日

总部位于德克萨斯州的电信公司 Frontier Communications 周四向美国证券交易委员会报告了一次网络攻击。该公司在超过25个州提供互联网服务，预计2023年收入为57.5亿美元。

该公司表示，4月14日检测到对其 IT系统进行未经授权的访问，并开始采取“遏制措施”，其中包括“关闭公司的某些系统”。该公司表示，关闭造成的运营中断“可能很重大”。

该公司在向SEC提交的文件中表示：“根据公司的调查，该第三方可能是一个网络犯罪组织，该组织获取了个人身份信息等信息。”