一周全球重大网络安全事件速递 第二十四期

Ticketmaster确认发生大规模泄露事件,5.6亿客户数据被盗

时间：6月2日

Live Nation已确认Ticketmaster 遭遇数据泄露，其数据在第三方云数据库提供商（据信是Snowflake）处被窃取。

Live Nation在周五晚上提交给美国证券交易委员会的文件中分享道：“2024年 5 月 20 日，Live Nation Entertainment, Inc.在包含公司数据的第三方云数据库环境中发现未经授权的活动，并与行业领先的取证调查员展开了调查，以了解发生了什么。”

此前，一个名为Shiny Hunters的威胁行为者曾试图在黑客论坛上以50万美元的价格出售Ticketmaster数据。据称被窃取的数据库包含1.3TB的数据，其中包括客户的完整详细信息（即姓名、家庭和电子邮件地址以及电话号码）以及5.6亿客户的门票销售、订单和活动信息。

RansomHub声称对电信巨头Frontier发起网络攻击

时间：6月4日

今年4月，一家大型电信公司遭受了网络攻击，勒索软件团伙声称对此负责，该网络犯罪活动正在蓬勃发展。

周六，RansomHub行动将Frontier Communications的信息发布到其泄密网站上，声称拥有超过200万人的敏感信息。该组织声称，他们花了两个多月的时间试图敲诈该公司，但从未得到任何回应。Frontier尚未回应置评请求，但于4月份向美国证券交易委员会 (SEC) 报告了一起网络事件。

当时，这家总部位于达拉斯的公司表示，它在4月14日检测到了对其IT系统的未经授权的访问，并开始制定“遏制措施”，包括“关闭公司的部分系统”。该公司表示，此次关闭造成了运营中断，并称其“可能被视为重大中断”。

亚洲科技公司涉嫌数据泄露，23万用户身份信息面临风险

时间：6月4日

据报道，总部位于新加坡和雅加达的新闻网站Tech in Asia遭遇大规模数据泄露。所谓的“Tech in Asia数据泄露”似乎影响了23万名用户。泄露的数据据称包含敏感的用户信息，这引发了人们对潜在身份盗窃和有针对性攻击的担忧。

Tech in Asia总部位于新加坡，该新闻网站涵盖亚洲初创企业和创新主题。该网站成立于2010年8月。威胁行为者 (TA) Sanggiero 已声称对Tech in Asia数据泄露事件负责。

据称，TA已在热门黑客论坛Breach Forums上发布了泄露的数据。泄露的数据据称包含大量与230,000名用户有关的信息。Sanggiero还声称敏感信息在2024年6月被泄露。据TA称，用户ID、全名、邮件地址等内容已被泄露。

勒索软件攻击导致伦敦多家医院中断，疑似攻击者网站崩溃

时间：6月5日

由于第三方提供商遭受勒索软件攻击，医疗专业人员无法获得病理学服务，伦敦几家最大的医院取消了手术，并宣布进入重大事件紧急状态。

根据社交媒体上发布的报道和内部电子邮件，此次攻击于周一被发现，影响了一家名为Synnovis的公司，该公司为许多医疗保健组织提供病理学服务，例如输血血液测试。

医院网络盖伊和圣托马斯NHS基金会信托的首席执行官伊恩·埃布斯写道：“我可以确认，我们的病理学合作伙伴Synnovis今天早些时候经历了一次重大IT事故，该事故仍在继续，意味着我们目前无法连接到Synnovis IT服务器。”

据信，英国最大的心脏和肺部专科中心皇家布朗普顿医院和哈里菲尔德医院也受到了影响。阿布斯写道，此次事件还影响了国王学院医院NHS基金会“以及整个伦敦东南部的初级保健，对我们服务的提供产生了重大影响，输血尤其受到影响。”

由于此次事件，一些预约已被取消，或患者被临时转至其他医疗机构。额外患者给其他医院带来的负担可能会导致资源进一步紧张，并宣布更多紧急事件。目前尚不清楚此次中断将持续多久。

周三，疑似对伦敦多家医院发动了攻击的麟勒索软件团伙的暗网勒索网站陷入瘫痪。近几个月来，执法机构一直在对多个勒索软件团伙采取高节奏的打击行动。尽管没有证据，但有可能一个国际联盟已经进入了麒麟系统，并选择了此时打击该团伙。

RansomHub勒索团伙与现已解散的Knight勒索软件有关

时间：6月5日

分析RansomHub勒索软件的安全研究人员认为，它是从目前已不复存在的Knight勒索软件项目发展而来的。RansomHub历史较短，主要作为一个数据盗窃和勒索集团运营，将被盗文件卖给出价最高的人。

该团伙在4月中旬引起关注，当时它在一次BlackCat/ALPHV攻击后泄露了United Health子公司Change Healthcare窃取的数据，这表明两者之间存在某种形式的合作。

Knight勒索软件于2023年7月下旬作为Cyclops行动的重新品牌推出，并开始侵入Windows、macOS、Linux/ESXi机器以窃取数据并索要赎金。2024年2月，Knight勒索软件3.0版源代码在黑客论坛上出售，受害者勒索门户网站下线，RaaS行动沉寂。

赛门铁克（Broadcom旗下子公司）的恶意软件分析师发现，这两个勒索软件家族之间存在多个相似之处，表明RansomHub很可能源自Knight。

网上发现的数百名Snowflake客户密码与信息窃取恶意软件有关

时间：6月5日

云数据分析公司Snowflake是最近一系列涉嫌数据盗窃事件的焦点，其企业客户正在了解他们的云数据存储是否遭到泄露。

Snowflake帮助一些最大的跨国公司（包括银行、医疗保健提供商和科技公司）在云端存储和分析大量数据，例如客户数据。

上周，澳大利亚当局发出警报，称他们已经意识到“多家利用Snowflake环境的公司被成功入侵”，但没有透露这些公司的名字。黑客在一个知名的网络犯罪论坛上声称，他们从Snowflake最大的两家客户Santander Bank和Ticketmaster窃取了数亿客户记录。Santander证实“由第三方提供商托管”的数据库遭到入侵，但未透露涉案提供商的名字。周五，Live Nation证实其子公司Ticketmaster遭到黑客攻击，被盗数据库托管在Snowflake上。

TechCrunch本周发现数百个所谓的Snowflake客户凭证在网上可供网络犯罪分子用于黑客活动，这表明Snowflake客户账户被盗的风险可能远比最初所知的要大。

FBI 恢复7000个LockBit密钥，鼓励受害者挺身而出

时间：6月6日

FBI 已检索到与LockBit行动相关的近7000个解密密钥，该行动影响了数千家企业。在一系列事件导致勒索软件组织被捕后，FBI现在要求 LockBit 受害者挺身而出，以便他们可以检索加密数据，而不必担心面临财务或法律后果。

在2024年波士顿网络安全会议上，美国联邦调查局网络部门助理主任Bryan Vorndran谈到了LockBit行动以及国家安全机构为反对该行动而采取的策略。

Vorndran继续概述了 FBI 阻止 LockBit 勒索软件攻击的复杂计划，并强调了对该勒索软件团伙采取预防措施的重要性。“破坏 LockBit 及其附属机构是一项全球性的努力，FBI 与其他 10 个国家的机构，特别是英国国家犯罪局，合作了三年多的时间，”Vorndran说道，这表明FBI坚定不移地致力于在线执法。

“通过持续破坏LockBit，我们现在拥有超过7000个解密密钥，可以帮助受害者恢复数据并重新上网。我们正在联系已知的LockBit 受害者，并鼓励任何怀疑自己是受害者的人访问我们的互联网犯罪投诉中心。”

Akira勒索软件声称对德国制造商ETA发起网络攻击

时间：6月6日

Akira勒索软件组织据称针对的是位于德国的Elektrotechnische Apparate GmbH公司。该勒索软件组织声称窃取了24 GB的敏感资料，包括客户信息、保密协议 (NDA)、财务记录和员工个人信息。

为了证实这些说法，威胁行为者附上了包含所有这些信息的截图。

ETA拥有六家生产工厂，业务遍及全球60个国家。该公司的产品范围包括对众多行业至关重要的各种电气保护解决方案。该公司以制造断路器、电子电路保护器和各种其他电子元件而闻名。

Akira勒索软件团伙已成为中小型组织的威胁，主要分布在欧洲、北美和澳大利亚。该组织使用先进的策略来渗透系统，经常非法获取公司虚拟专用网络 (VPN) 的访问权限。Akira的攻击策略针对的是范围广泛的行业和各种规模的企业，经常导致重大的运营中断和财务损失。

马来西亚铁路资产公司 (RAC) 面临数据泄露指控

时间：6月6日

一名暗网攻击者报告称，马来西亚铁路资产公司 (RAC) 遭到黑客攻击。马来西亚交通部下属的关键实体是 RAC 数据黑客攻击的目标。威胁行为者“billy100”实施了此次攻击，并在BreachForums平台上发布了其指控。

马来西亚铁路资产公司 (RAC) 是根据1991年《铁路法》成立的联邦法定实体，负责支持马来西亚的铁路基础设施。该公司负责管理和发展铁路资产，因此它非常重要。RAC数据泄露事件在暗网论坛上被公开，指的是据称被泄露的与铁路资产公司 (RAC) 有关的人事记录。

billy100称，被入侵的数据库中有481行文档。作为证据，威胁者提供了CSV文件“users_id”和“detail”的样本，其中包括散列密码、电子邮件地址和用户名。