一周全球网络安全事件速递（第三十九期）

Fortinet 客户数据从第三方文件共享服务被盗

时间：9月13日

Fortinet 是世界上最大的网络安全公司之一，在全球防火墙市场占有15%的份额。该公司在上周四的一篇博客文章中表示，攻击者获得了存储在第三方云的共享文件驱动器上的 Fortinet 客户数据的访问权限。该公司表示，此次泄露暴露了“有限数量的文件”，包括与不到0.3%的 Fortinet 客户相关的数据。

他们在其关于该事件的通知中表示：“Fortinet 的运营、产品和服务没有受到影响，我们没有发现任何证据表明攻击者可以额外访问任何其他 Fortinet 资源。”Fortinet 客户数据泄露标志着又一次源自文件共享或传输服务的攻击。

Fortinet 未披露攻击的根本原因或命名第三方来源，也尚未在提交给美国证券交易委员会的文件中披露此次攻击，但他们表示目前不认为该事件会对其财务状况或经营业绩产生重大影响。

23andMe和解数据泄露诉讼

时间：9月16日

23andMe 已达成3000万美元的和解协议，以解决与数据泄露相关的诉讼，该事件暴露了690万客户的个人信息。从2023年4月开始，23andMe 数据泄露事件持续了大约五个月，影响了当时公司数据库中1410万客户中的近一半。黑客访问了550万份 DNA 亲属档案，这些档案允许客户连接和共享信息，以及来自140万使用 Family Tree 功能的客户的数据。

这项和解旨在解决 23andMe 未能充分保护其客户隐私的指控。拟议的和解包括向数据被泄露的客户支付现金，以及参加为期三年的隐私与医疗盾牌+基因监测计划。该计划旨在提供持续的保护和监控，以应对 23andMe 数据泄露事件。

23andMe 在周五的法庭文件中将和解描述为公平、充分和合理。该公司认为，这项和解符合其客户的最佳利益，并预计其网络保险将支付大约2500万美元的和解费用。

澳大利亚面临近年来最高水平的数据泄露激增

时间：9月16日

澳大利亚信息专员办公室（OAIC）发布的新统计数据显示，2024 年上半年的数据泄露通知数量是三年半以来最高的。从2024年1月到6月，OAIC 报告称，它收到了527份数据泄露通知，与前六个月相比显著增长了9%，是澳大利亚自2020年下半年以来的最高水平。网络安全事件仍然是数据泄露的主要原因，占所有报告案例的38%。

报告显示，泄露、勒索软件和网络钓鱼攻击等网络威胁仍然普遍存在，凸显了对强有力的网络安全措施的迫切需求。澳大利亚隐私专员 Carly Kind 对这种情况发表了评论：“几乎每天，我的办公室都会收到数据泄露的通知，澳大利亚人可能面临严重伤害的风险。这种伤害的范围从诈骗的增加和身份盗用的风险到情绪困扰，甚至身体伤害。”这也提醒各个组织保持警惕，并需要随着威胁的发展调整其防御措施。

勒索软件团伙滥用Microsoft工具窃取数据

时间：9月17日

BianLian 和 Rhysida 等勒索软件团伙越来越多地使用 Microsoft 的 Azure Storage Explorer 和 AzCopy 从被破坏的网络中窃取数据，并将其存储在 Azure Blob 存储中，随后威胁行为者可以将这些数据传输到他们自己的存储。

存储资源管理器是 Microsoft Azure 的 GUI 管理工具，而 AzCopy 是命令行工具，可以促进与 Azure 存储之间的大规模数据传输。

尽管每个勒索软件团伙都有自己的一套渗透工具，但勒索软件团伙通常使用 Rclone 与各种云提供商同步文件，并使用 MEGAsync 与 MEGA 云同步。Azure 是公司经常使用的受信任的企业级服务，不太可能被公司防火墙和安全工具阻止。因此，通过它的数据传输尝试更有可能通过并未被检测到。此外，当攻击者试图在尽可能短的时间内泄露大量文件时，Azure 的可伸缩性和性能使其能够处理大量非结构化数据，这非常有益。这是勒索软件团伙选择 Azure 进行数据窃取的原因。

黑客使用 INC 勒索软件攻击医疗保健行业

时间：9月18日

Microsoft 表示，它跟踪的一家勒索软件附属公司 Vanilla Tempest 现在在 INC 勒索软件攻击中以美国医疗保健组织为目标。

INC Ransom是一种勒索软件即服务（RaaS）操作，自2023年7月以来，其附属公司一直以公共和私人组织为目标，包括 Yamaha Motor Philippines、Xerox Business Solutions（XBS）在内的美国部门，以及最近的苏格兰国家医疗服务体系（NHS）。

Microsoft 周三透露，其威胁分析师观察到出于经济动机的 Vanilla Tempest 威胁行为者首次在对美国医疗保健行业的攻击中使用 INC 勒索软件。虽然 Microsoft 没有透露受 INC 勒索软件医疗保健攻击攻击的受害者姓名，但相同的勒索软件菌株与上个月针对密歇根州迈凯轮医疗保健医院的网络攻击有关。这次攻击破坏了IT和电话系统，导致卫生系统无法访问患者信息数据库，并迫使它“出于谨慎考虑”重新安排了一些预约和非紧急或选择性程序。

俄罗斯安全公司 Dr.Web 数据泄露

时间：9月18日

周二，俄罗斯反恶意软件公司 Doctor Web（Dr.Web）披露了一起安全漏洞，此前其系统在周末成为网络攻击的目标。

Dr.Web 在检测到其IT基础设施出现“未经授权干扰的迹象”后，断开了所有服务器与其内部网络的连接。该公司还被迫在周一停止向客户提供病毒数据库更新，同时开始调查违规行为。

该公司表示：“破坏我们基础设施的企图得到了及时阻止，系统受到 Dr.Web 保护的用户没有受到影响，按照既定的安全策略，我们断开了所有服务器的网络连接，并启动了全面的安全诊断。”

在周三发布的一份新声明中，Dr.Web 表示病毒数据库更新已于周二恢复，并补充说安全漏洞并未影响其任何客户。

Dr.Web 是近年来一系列俄罗斯网络安全公司遭受攻击事件中的最新一家。此前，亲乌克兰黑客 Cyber Anarchy Squad 在6月入侵了俄罗斯信息安全公司 Avanpost，并泄露了他们声称被盗的390GB数据，并加密了400多个虚拟机。

全球网络钓鱼网络在大型跨洲行动中被破获

时间：9月19日

欧洲刑警组织和 Ameripol 采取了前所未有的举措，共同拆除了一个影响全球超过480,000名受害者的网络钓鱼犯罪者。

这个名为 iServer 的网络钓鱼平台已经运行了五年多，主要服务于西班牙语国家，但也扩展到欧洲。iServer 的与众不同之处在于它的自动化。犯罪分子不需要高级黑客技能来操作该平台。基于 Web 的界面使用户可以轻松创建网络钓鱼页面并通过 SMS 发送恶意链接。受害者点击链接后，“重定向器”会过滤掉不符合特定条件的用户。通过测试的邮件将被发送到伪装成合法移动服务网站的最终网络钓鱼页面。该平台收集了登录凭据，然后犯罪分子使用这些凭据解锁被盗的手机。

该行动被称为“Kaerb行动”，针对一个专门通过网络钓鱼攻击解锁被盗手机的犯罪集团。调查人员证实，超过120万台设备已被解锁。

美国纳税人数据面临泄漏风险

时间：9月19日

在臭名昭著的 LockBit 勒索软件组织声称负责勒索 eFile.com（美国国税局（IRS）授权的著名在线报税服务）后，美国公民的敏感税务信息可能会被盗。此次泄露事件类似于2023年早些时候发生的恶意软件事件，引发了人们对关键金融服务提供商实施的网络安全措施的担忧。

目前，有关 Lockbit 勒索软件攻击的程度、数据泄露以及网络攻击背后的动机的详细信息仍未披露，尽管 Lockbit 提出了索赔，但该公司的官方网站仍然功能齐全。这种差异引发了人们对威胁行为者断言真实性的怀疑。为了确定这些说法的真实性，The Cyber Express 已经联系了 eFile 官员。截至撰写本新闻报道时，尚未收到任何回复，因此勒索软件攻击的说法尚未得到证实。