正文

今日要闻丨网安一周资讯速览 063期

admin
admin V管理员 /0 评论 /100 阅读
0805
此篇文章发布距今已超过110天,您需要注意文章的内容或图片是否可用!

本期网安资讯要点

(07/29--08/04)

#01

网络攻击

  • 打破纪录!某财富50强公司向勒索组织支付5.4亿元赎金

  • 300家小型银行因勒索攻击导致支付系统中断

#02

恶意程序

  • GenAI账户凭证被盗,暗网每日交易量达400条

  • 攻击者劫持Facebook页面用于推广恶意AI照片编辑器

#03

数据安全

  • 「网证」来了《国家网络身份认证公共服务管理办法(征求意见稿)》发布

  • Sitting Ducks攻击,超过35000个域名被劫持!

  • 大规模短信窃取,全球113个国家的Android设备遭入侵

#04

国际视野

  • 美国一血液中心遭网络攻击 多地供血服务受到影响

  • 微软确认DDOS攻击导致全球Azure中

  • 制药巨头Cencora证实个人和健康信息被盗

#01 网络攻击

打破纪录!某财富50强公司向勒索组织支付5.4亿元赎金

2024年初,Zscaler ThreatLabz 发现一名受害者向 Dark Angels支付了7500万美元(约 5 亿 4000 万人民币),高于目前所有已知的赎金金额。加密情报公司 Chainalysis 进一步证实了这一破纪录的支付方式,并在 X 平台上发布了推文。
图源:Chainalysis 官方账号
虽然 Zscaler 并未透露是哪家公司支付了 约 5 亿 4000 万人民币的赎金,但他们提到该公司属于财富 50 强,攻击发生在 2024 年初。
据悉,财富 50 强中确有一家公司在 2024 年 2 月遭受了网络攻击,它就是制药巨头 Cencora,在榜单上排名第 10 位。但当时并未有任何勒索软件团伙声称对此次攻击负责,这说明在事件发生后受害者很可能已经支付了赎金。不过截至目前,Cencora并未回应有关赎金支付的相关说法。

Dark Angels 最早于 2022 年 5 月以全球公司为目标发起勒索攻击。与大多数人为操作的勒索软件团伙一样,Dark Angels 勒索组织的黑客会入侵企业网络并横向移动,直到最终获得管理权限。在此期间,他们还会从被入侵的服务器上窃取数据,然后在索要赎金时利用这些数据作为额外的筹码。

在获得 Windows 域控制器访问权限后,威胁者会部署勒索软件来加密网络上的所有设备。

黑客使用基于已泄露的 Babuk 勒索软件源代码的 Windows 和 VMware ESXi 加密程序发起攻击。

随着时间的推移,他们开始转而使用 Linux 加密程序,这与 Ragnar Locker 自 2021 年以来使用的加密程序如出一辙。2023 年,执法部门捣毁了 Ragnar Locker。

Dark Angels 此前曾对江森自控发动攻击,其使用了 Linux 加密器加密该公司的 VMware ESXi 服务器,他们声称窃取了 27 TB 数据,并要求江森自控支付 5100 万美元(约 3 亿 6700 万人民币)的赎金。

Dark Angels 的勒索信,来源:BleepingComputer

此外,黑客还运营着一个名为「Dunghill Leaks」的数据泄漏网站,专门用于敲诈受害者,还多次威胁称如果不支付赎金,就会泄漏数据。

Zscaler ThreatLabz 称,「Dark Angels」勒索组织采用的是「大猎杀」策略,即只针对少数几家高价值公司,希望获得巨额赔付,而不是同时针对多家公司,支付数量众多但金额较小的赎金。

对此,Zscaler ThreatLabz 的研究人员解释称,Dark Angels 组织采用的是一种更加具有针对性的方式,他们通常一次只攻击一家大公司,这与大多数勒索软件组织形成了鲜明对比。其他勒索组织通常是以受害者为目标,并将大部分攻击工作外包给由初始访问经纪人和渗透测试团队组成的附属网络。

据 Chainalysis 称,在过去几年中,这种「大猎杀战术」已成为众多勒索软件团伙利用的主流趋势。

300家小型银行因勒索攻击导致支付系统中断

近日,在一起重大网络安全事件中,印度小型银行的关键技术服务提供商C-Edge Technologies遭到勒索软件攻击,近300家当地金融机构的支付系统被迫暂时关闭。
据路透社报道,知情人士表示,此次攻击需要立即采取行动,将受影响的银行与更广泛支付网络隔离开来。
尽管多次请求,C-Edge Technologies并未回应评论,而印度银行和支付系统的主要监管机构——印度储备银行(RBI)也未发表任何声明。
周三晚间,负责监管印度支付系统的印度国家支付公司(NPCI)发布了一份公告,确认已「暂时禁止C-Edge Technologies接入NPCI运营的零售支付系统」。
公告指出,由C-Edge服务的银行客户在隔离期间将无法使用支付系统。
这种隔离是预防措施,目的是防止对国家支付基础设施产生更广泛的影响。据监管机构官员称,这些主要在大城市之外运营的近300家小型银行已被切断了与支付网络的连接。尽管此次中断规模较大,但一位知情人士指出,这些银行的业务量仅占该国整个支付系统总量的0.5%左右。
为了评估情况并进一步降低风险,NPCI目前正在进行审计。此外,印度央行和印度网络安全机构最近几周已向金融机构发出了关于潜在网络威胁的警告。
#02 恶意程序

GenAI账户凭证被盗,暗网每日交易量达400条

近日,eSentire威胁响应小组(TRU)发现网络犯罪分子正利用生成式人工智能(GenAI)平台的普及,通过在暗网市场销售被盗账户凭证来牟利。
据eSentire介绍,每天大约有400个GenAI账户凭证在暗网平台上交易,包括GPT、Quillbot、Notion、HuggingFace和Replit等平台的凭证。
这些凭证通常从感染了信息窃取恶意软件的企业用户计算机中获取,该软件会收集用户在互联网浏览器中输入的所有数据。
一个名为LLM Paradise的地下市场专门销售被盗的GPT-4和Claude API密钥。该市场已于最近关闭,但它的存在突显了问题的严重性,被盗密钥的广告价格低至15美元。
LLM Paradise的关闭并没有遏制这一趋势,网络犯罪分子仍在利用盗取的GenAI凭证来开展网络钓鱼活动、开发恶意软件和生成恶意聊天机器人。
eSentire警告,这一现象对企业数据的潜在影响极为严重。被盗的GenAI凭证可能使攻击者获得公司敏感信息的访问权,包括客户数据、财务记录、知识产权和员工的个人可识别信息(PII)。
此外,针对GenAI平台提供商的攻击者能够从企业用户那里获取大量数据,这加剧了整体的威胁态势。
eSentire在其的报告中还指出了与GenAI相关的几个关键威胁,包括LLM劫持、滥用被盗凭证进行网络犯罪以及通过即时注入攻击绕过平台防护措施。
报告还提到了激进的数据收集行为和供应链风险,比如OpenAI在2023年遭遇的数据泄露事件,凸显了这些平台的脆弱性。OpenAI的凭证成为最常被盗和出售的,平均每天有200个账户在暗网上挂牌。
为了降低这些风险,公司必须实施强有力的安全措施,如使用监控、先进的多因素认证(MFA)方法和暗网监控服务。

攻击者劫持Facebook页面用于推广恶意AI照片编辑器

近日,有攻击者劫持了 Facebook 上的网页,诱骗用户下载一个合法的人工智能(AI)照片编辑器,但实际上他们真正下载的却是一个专门用以盗取用户的凭据信息窃取程序。
趋势科技的研究人员发现的这一恶意广告活动利用了人工智能的流行性,并结合了各种流行的威胁策略,包括网络钓鱼、社交工程和以恶意方式使用合法工具。最终的有效载荷是 Lumma 窃取器,它的目标是敏感信息,包括用户凭据、系统详细信息、浏览器数据和扩展。
研究人员指出,此次攻击的关键之处在于滥用付费的 Facebook 促销活动,攻击者利用这些促销活动引诱用户参与,并最终发送恶意软件。
趋势科技威胁研究员 Jaromir Horejsi 提到:一旦攻击者获得了页面控制权,他就能发布广告推广 AI 照片编辑器,并引导受害者下载伪装成照片编辑器的端点管理实用程序。
攻击者利用当前大家对人工智能技术和相关工具的关注,使用这些工具作为恶意活动的诱饵,其中包括网络钓鱼诈骗、深度伪造和自动攻击。
到目前为止,与该活动相关的恶意软件包在 Windows 上产生了约 16000 次下载,在 macOS 上产生了 1200 次下载。不过,macOS 版本重定向到的是苹果网站,而不是攻击者控制的网站,这表明攻击者只针对 Windows 用户发起攻击。

此次钓鱼活动中的攻击始于潜在受害者看到广告之前。因为攻击者首先会向目标社交媒体页面的所有者发送网络钓鱼信息,以获得页面控制权供自己恶意使用。发送者账户的个人资料基本都是空的,因为用户名基本是随机生成的。

信息中的钓鱼链接通常以直接链接或个性化链接页面的形式发送,如 linkup.top、bio.link、s.id 和 linkbio.co 等。有时,攻击者甚至滥用 Facebook 的开放重定向 URL,使这些链接看起来更合法。

如果页面操作员点击这些链接,就会出现一个要求他们向 Meta 开发人员的 「业务支持中心」核实信息的页面。点击屏幕上的「在此验证您的信息」链接,就会进入一个虚假的账户保护页面,在随后的几个步骤中,该页面会要求用户提供登录和接管账户所需的信息,如电话号码、电子邮件地址、生日和密码等。

在目标用户提供这些信息后,攻击者会窃取其个人资料,并开始创建和发布人工智能照片编辑器的恶意广告,广告链接到一个使用合法工具(如 Evoto)名称的虚假域名。

Horejsi 写道:假冒的照片编辑器网页看起来与原始网页非常相似,这有助于欺骗受害者,让他们以为自己正在下载照片编辑器。

然而,上钩的用户实际下载的是免费的 ITarian 端点管理软件。攻击者利用一系列后端进程控制,最终控制受害者的机器下载最终的有效载荷--Lumma 窃取程序。

据趋势科技称,人们有很多方法可以避免成为滥用社交媒体页面的活动和威胁的受害者,这些活动和威胁不仅会损害用户的利益,而且还会通过被盗的凭据作为进入企业基础设施的初始入口而导致二次攻击。

研究人员建议社交媒体用户应在其所有账户上启用多因素身份验证,以增加一层额外的保护,防止未经授权的访问,并在所有账户上定期更新和使用强大、唯一的密码。

企业还应定期开展教育和提高认识活动,让员工了解在访问企业网络时社交媒体上潜伏的危险,以及如何识别与网络钓鱼攻击相关的可疑信息和链接。

最后,企业和个人用户都应监控其账户是否有任何异常行为,如意外登录尝试或账户信息变更,组织应采用某种检测和响应机制。

#03 数据安全

「网证」来了?《国家网络身份认证公共服务管理办法(征求意见稿)》发布

为强化公民个人信息保护,推进并规范国家网络身份认证公共服务建设应用,加快实施网络可信身份战略,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规,近日公安部、国家互联网信息办公室联合发布《国家网络身份认证公共服务管理办法(征求意见稿)》(以下简称《征求意见稿》)。

《征求意见稿》共16条,主要包括四个方面的内容:一是明确了公共服务和「网号」「网证」等概念;二是明确了公共服务的使用方式和场景;三是强调了公共服务平台和互联网平台的数据和个人信息保护义务;四是明确了公共服务平台和互联网平台违反数据和个人信息保护义务的法律责任。

据介绍,国家组织建设网络身份认证公共服务基础设施,旨在建成国家网络身份认证公共服务平台,形成国家网络身份认证公共服务能力,为社会公众统一签发「网号」「网证」,提供以法定身份证件信息为基础的真实身份登记、核验服务,达到方便人民群众使用、保护个人信息安全、推进网络可信身份战略的目标。基于国家网络身份认证公共服务,自然人在互联网服务中依法需要登记、核验真实身份信息时,可通过国家网络身份认证APP自愿申领并使用「网号」「网证」进行非明文登记、核验,无需向互联网平台等提供明文个人身份信息。

根据《征求意见稿》,持有有效法定身份证件的自然人,可自愿向公共服务平台申领网号、网证。不满十四周岁的自然人需要申领网号、网证的,应当征得其父母或者其他监护人同意,并由其父母或者其他监护人代为申领。已满十四周岁未满十八周岁的自然人需要申领网号、网证的,应当在其父母或者其他监护人的监护下申领。

《征求意见稿》提出,鼓励互联网平台按照自愿原则接入公共服务,用以支持用户使用网号、网证登记、核验用户真实身份信息,依法履行个人信息保护和核验用户真实身份信息的义务。互联网平台接入公共服务后,用户选择使用网号、网证登记、核验真实身份信息并通过验证的,互联网平台不得要求用户另行提供明文身份信息,法律、行政法规另有规定或者用户同意提供的除外。互联网平台应当保障使用网号、网证的用户与其他用户享有相同服务。

以下是《国家网络身份认证公共服务管理办法(征求意见稿)》全文。

国家网络身份认证公共服务管理办法

(征求意见稿)

第一条为实施网络可信身份战略,推进国家网络身份认证公共服务建设,保护公民身份信息安全,促进数字经济发展,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规,制定本办法。

第二条本办法所称国家网络身份认证公共服务(以下称「公共服务」),是指国家根据法定身份证件信息,依托国家统一建设的网络身份认证公共服务平台(以下称「公共服务平台」),为自然人提供申领网号、网证以及进行身份核验等服务。

本办法所称网号,是指与自然人身份信息一一对应,由字母和数字组成、不含明文身份信息的网络身份符号;网证,是指承载网号及自然人非明文身份信息的网络身份认证凭证。网号、网证可用于在互联网服务及有关部门、行业管理、服务中非明文登记、核验自然人真实身份信息。

第三条国务院公安部门、国家网信部门依照各自法定职责,负责国家网络身份认证公共服务的监督管理,监督、指导公共服务平台依法落实数据安全和个人信息保护义务。

国务院民政、文化和旅游、广播电视、卫生健康、铁路、邮政等部门依照本办法和有关法律、行政法规的规定,在各自职责范围内负责国家网络身份认证公共服务的推广应用和监督管理工作。

第四条持有有效法定身份证件的自然人,可自愿向公共服务平台申领网号、网证。

不满十四周岁的自然人需要申领网号、网证的,应当征得其父母或者其他监护人同意,并由其父母或者其他监护人代为申领。

已满十四周岁未满十八周岁的自然人需要申领网号、网证的,应当在其父母或者其他监护人的监护下申领。

第五条根据法律、行政法规规定,在互联网服务中需要登记、核验用户真实身份信息的,可以使用网号、网证依法进行登记、核验。

不满十四周岁的自然人使用网号、网证登记、核验真实身份信息的,应当征得其父母或者其他监护人同意。

第六条鼓励有关主管部门、重点行业按照自愿原则推广应用网号、网证,为用户提供安全、便捷的身份登记和核验服务,通过公共服务培育网络身份认证应用生态。

第七条鼓励互联网平台按照自愿原则接入公共服务,用以支持用户使用网号、网证登记、核验用户真实身份信息,依法履行个人信息保护和核验用户真实身份信息的义务。

互联网平台接入公共服务后,用户选择使用网号、网证登记、核验真实身份信息并通过验证的,互联网平台不得要求用户另行提供明文身份信息,法律、行政法规另有规定或者用户同意提供的除外。

互联网平台应当保障使用网号、网证的用户与其他用户享有相同服务。

第八条互联网平台需要依法核验用户真实身份信息但无需留存用户法定身份证件信息的,公共服务平台应当仅提供用户身份核验结果。

根据法律、行政法规规定,互联网平台确需获取、留存用户法定身份证件信息的,经用户授权或者单独同意,公共服务平台应当按照最小化原则提供。

未经自然人单独同意,互联网平台不得擅自处理或者对外提供相关数据信息,法律、行政法规另有规定的除外。

第九条公共服务平台处理个人信息不得超出为自然人提供申领网号、网证以及进行身份核验等服务所必需的范围和限度,在向自然人提供公共服务时应当依法履行告知义务并取得其同意。处理敏感个人信息的,应当取得个人的单独同意,法律、行政法规规定应当取得书面同意的,从其规定。

未经自然人单独同意,公共服务平台不得擅自处理或者对外提供相关数据信息,法律、行政法规另有规定的除外。

公共服务平台应当依照法律、行政法规规定或者用户要求,及时删除用户个人信息。

第十条公共服务平台在处理用户个人信息前,应当通过用户协议等书面形式,以显著方式、清晰易懂的语言真实、准确、完整地向用户告知下列事项:

处理敏感个人信息的,还应当向个人告知处理的必要性以及对个人权益的影响,法律、行政法规另有规定的除外。

第十一条公共服务平台处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,公共服务平台应当在紧急情况消除后及时告知。

第十二条公共服务平台应当加强数据安全和个人信息保护,依法建立并落实安全管理制度与技术防护措施。

第十三条公共服务平台的建设和服务涉及密码的,应当符合国家密码管理有关要求。

第十四条违反本办法第七条第二款、第八条、第九条、第十条、第十二条规定,依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》应当追究法律责任的,由国务院公安部门、国家网信部门在各自职责范围内依法予以处罚;构成犯罪的,依法追究刑事责任。

第十五条本办法所称法定身份证件,包括居民身份证、定居国外的中国公民的护照、前往港澳通行证、港澳居民来往内地通行证、台湾居民来往大陆通行证、港澳居民居住证、台湾居民居住证、外国人永久居留身份证等身份证件。

第十六条本办法自 年 月 日起施行。

Sitting Ducks攻击,超过35000个域名被劫持!

近期,Infoblox和Eclypsium的网络安全研究人员,在域名系统(DNS)中发现了复杂的攻击媒介“Sitting Ducks”。
Infoblox公司在报告中透露,自2018年以来,Sitting Ducks劫持超过35,000个域名,存在超过100万个易受攻击的目标域。
这次攻击是在研究俄罗斯托管的404TDS(一个流量分配系统)基础设施时发现的,系俄罗斯网络犯罪分子参与其中。
攻击者在伪装下执行恶意活动,包括恶意软件交付、网络钓鱼活动、品牌模仿和数据泄露等。

大规模短信窃取,全球113个国家的Android设备遭入侵

7月29日,安全企业Zimperium研究人员发布报告,他们发现一起针对全球Android设备的恶意活动,涉及113个国家的不同行业安卓用户。
研究者称自2022年2月以来,发现事件超过10.7万个恶意软件样本。
攻击者利用数千个Telegram机器人,这些机器人感染并植入了能够窃取短信的恶意软件,目的是窃取一次性双因素认证密码OTP,成功绕过这一安全措施。
短信窃取者通过恶意广告和Telegram机器人分发两种方式传播短信窃取器。
1、通过恶意广告:这种方式中,受害者被引导到模仿Google Play的页面。这些页面显示夸大的下载量,以增加其合法性并制造一种虚假的信任感。这是一种常见的网络诈骗手段,目的是让用户相信这些页面是可信的,从而下载恶意软件。
2、通过Telegram机器人:在这种方式中,Telegram机器人向用户提供Android平台的盗版应用程序。在用户下载APK文件之前,机器人会要求用户提供他们的电话号码。然后,Telegram机器人使用这个电话号码生成一个新的APK文件,这使得对特定用户进行个性化跟踪或未来攻击成为可能。
媒体称,网络犯罪分子的动机主要是经济利益,他们很可能利用被感染的设备来实现身份验证和匿名化中继。
Zimperium发现,该恶意软件将捕获的短信传输到网站fastsms.su上的特定API端点。
该网站允许访问者购买外国“虚拟”电话号码的访问权,他们可以使用这些号码进行匿名化,并对在线平台和服务进行身份验证。
#04 国际视野

美国一血液中心遭网络攻击 多地供血服务受到影响

新华社北京8月1日电 美国官员7月31日说,一家为美国东南部多地提供供血服务的血液中心日前遭到勒索软件攻击,相关服务受到严重影响。
2021年6月14日,在美国纽约州长岛地区的贝肖尔,工作人员在美国纽约血液中心举行的献血活动上处理采集的血液。美联社以多名官员为消息源报道,名为“OneBlood”的血液中心是一家非营利组织,因遭勒索软件攻击,眼下为佛罗里达、佐治亚、南卡罗来纳、北卡罗来纳等多州提供血液的服务受到严重影响,不得不通知超过250家医院启动血液紧缺应急预案。
目前,这家血液中心依靠人工维持基本运行。
该血液中心已与美国联邦、州、地方层级部门以及网络安全专家团队合作,以查明此次网络攻击的影响范围、找出解决办法。该组织高级管理人员苏珊·福布斯在一份声明中说:“我们正积极行动,以便让整个工作系统尽快全面恢复功能。”
事发后,全美各地血液中心积极驰援,向这家血液中心运送所需的血液和血小板。

微软确认DDOS攻击导致全球Azure中断

雷德蒙德已经确认,7 月 30 日长达 8 小时的 Azure 中断是由分布式拒绝服务攻击引发的,但“[他们的]防御实施错误”加剧了这种情况。

Microsoft 已确认 7 月 30 日中断的原因是分布式拒绝服务攻击。然而,其公告补充说,在缓解尝试期间,“实施防御方面的错误”加剧了这个问题。Azure 云服务在大约 11:45 UTC 到 19:43 UTC 之间被 Internet 流量淹没后受到影响。雷德蒙德安全专家表示,Azure Front Door 和 Azure 内容分发网络组件“的性能低于可接受的阈值,导致间歇性错误、超时和延迟峰值”。Microsoft 具有自动启动的 DDoS 保护机制。然而,他们实施中的错误“放大了攻击的影响,而不是减轻了它”。安全团队执行了网络配置更改和故障转移,以备用网络路径,以减轻主系统的负担。

大部分影响在两个半小时内得到缓解,但在 UTC 时间 18:00 时需要做更多的工作来恢复所有用户的可用性。该事件于 UTC 时间 20:48 宣布结束。

负责 DDoS 的一方尚未确定。然而,黑客行动主义组织“SN_blackmeta”声称对此负责。Microsoft表示,它将在本周末之前发布初步的事后审查,并在14天内发布更深入的审查。

TechRepublic 已联系 Microsoft 寻求置评。

请参阅:白帽黑客发现 Microsoft 通过 Azure 存储泄露 38TB 的内部数据

Azure 中断影响全球,影响了尝试连接到 Azure 应用服务、Application Insights、Azure IoT Central、Azure 日志搜索警报、Azure Policy、Azure 门户本身以及 Microsoft 365 和 Microsoft Purview 服务子集的客户子集。

许多不同的组织周二发表声明,通知用户他们的服务因Azure DDoS攻击而中断。其中包括Minecraft制造商Mojang,GitHub的CodeSpaces,DocuSign,自来水公司,法院和足球俱乐部。Microsoft后来为给您带来的不便道歉。

安全公司WithSecure的高级威胁情报分析师Stephen Robinson在一份电子邮件声明中告诉TechRepublic:“现代在线服务建立在堆叠的依赖层之上,在很大一部分服务堆栈中,你会发现Microsoft服务。受影响的 Microsoft 服务之一 Entra 用于允许人们登录服务和网站,没有它,用户将无法登录。

“因此,虽然这次停电只持续了很短的时间,并影响了一部分服务,但对许多人来说,这种影响仍然很明显。”

什么是拒绝服务攻击?

拒绝服务 (DoS) 攻击是一种攻击策略,其中恶意行为者试图通过向 Web 服务器、Web 应用程序或云服务发送大量服务请求来阻止他人访问 Web 服务器、Web 应用程序或云服务。

虽然 DoS 攻击本质上是单一来源的,但分布式拒绝服务 (DDoS) 攻击使用不同网络上的大量机器来破坏特定的服务提供商;由于攻击是从多个来源发起的,因此缓解这种情况更具挑战性。

DDoS 攻击呈上升趋势

DDoS 攻击正变得越来越普遍。Cloudflare 在 2024 年第二季度同比增长 20%,而第一季度增长 50%。有迹象表明,这种增长与地缘政治有关,反DDoS服务Stormwall指出,自加沙冲突升级以来,与选举期间以及对以色列的袭击有所增加有

关。

影响 Microsoft 服务的重大 DDoS 攻击很少见,但并非闻所未闻。2023 年 6 月,一系列针对 Azure 和其他在线平台的攻击被归咎于一个名为 Anonymous Sudan 的黑客组织,破坏了 Outlook 和 OneDrive 等服务。

Microsoft 还报告说,当年假日期间的 DDoS 攻击有所增加,因为攻击者试图利用员工人数较少的优势。

然而,今年夏天,非 DDoS 中断困扰着 Microsoft。7 月 19 日,美国数以万计的用户在 Azure 配置更改后无法访问 Microsoft 365 服务。就在几个小时前,CrowdStrike Falcon 传感器更新中的错误导致全球 850 万台 Windows 设备中断。

制药巨头Cencora证实个人和健康信息被盗

制药巨头 Cencora 证实,在 2024 年 2 月网络攻击之后,威胁行为者可以访问个人身份信息 (PII) 和受保护的健康信息 (PHI)。
2 月 21 日,Cencora 在向美国证券交易委员会 (SEC) 提交的文件中宣布了数据泄露。当时,该公司宣布正在调查安全漏洞的范围,以确定已被渗透的数据类型。
“2024 年 2 月 21 日,Cencora, Inc.(”公司“)获悉其信息系统中的数据已被泄露,其中一些可能包含个人信息。” “在初步发现未经授权的活动后,公司立即采取遏制措施并在执法部门的协助下开始调查, 网络安全专家和外部法律顾问。截至本文件提交之日,该事件尚未对公司的运营产生重大影响,其信息系统仍在运行。
在提交给美国证券交易委员会(SEC)的一份新文件中,该公司报告说,泄露的数据量大于最初确定的数据量。
这家制药巨头宣布,它已经审查了大部分泄露的数据,并确认其中包括个人身份信息和受保护的个人健康信息。大多数被泄露的数据都由提供患者支持服务的公司子公司维护。
“通过这项调查,公司了解到,除了最初确定的数据之外,其他数据已被泄露。公司已确定并完成了对大部分泄露数据(“数据”)的审查。本次审查已确认,数据包括个人身份信息(“PII”)和个人受保护的健康信息(“PHI”),其中大部分由提供患者支持服务的公司子公司维护。阅读新文件。“对于迄今为止在数据中发现的个人身份信息和 PHI,公司已向可能受影响的各方和个人以及监管机构提供了所需的通知。公司将继续审查数据,并打算向受影响和可能受影响的各方以及适当的监管机构提供任何其他必要的通知。公司没有证据表明任何数据已经或将要公开披露。
该公司宣布已完全控制了该事件,并通知了受影响的个人和监管机构。Cencora 尚未透露受影响的个人数量和感染其系统的勒索软件家族。
今年 5 月,Cencora 子公司 Lash Group 宣布,一起安全事件影响了个人的个人信息。
“Lash Group的母公司此前披露,其信息系统的数据已被泄露,其中一些可能包含个人信息。在初步发现未经授权的活动后,我们立即采取了遏制措施,并在执法部门、网络安全专家和外部律师的协助下开始调查。Lash Group现已确认,个人的个人信息受到该事件的影响。对于某些人,Lash Group 没有地址信息来提供直接通知。因此,Lash Group 在其网站上发布此通知。
根据我们的调查,包括个人健康信息在内的个人信息受到影响,包括可能的名字、姓氏、出生日期、健康诊断和/或药物和处方。
本周,Zscaler 宣布发现一家公司向 Dark Angels 勒索软件组织支付了创纪录的 7500 万美元赎金。Zscaler 没有透露在 2024 年初发生的袭击后支付 7500 万美元赎金的公司的名字。
这是公司历史上最大的勒索软件付款。
Bleeping Computer推测,2024 年 2 月,财富 50 强公司 Cencora 遭受了勒索软件攻击,然而,没有勒索软件组织声称对此事件负责,这可能表明受害者支付了赎金。

消息由湖南省网络空间安全协会整理编辑,涉及版权请联系删除,如有转载请标明出处。

编辑:周鸣宇

一审:陈孝兰

终审:邓庭波

END




湖南省网络空间安全协会

0731-84597382

长按识别二维码关注我们

等保测评 | 培训认证

会议举办 | 行业交流


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网