一周全球重大网络安全事件速递（第四十三期）

UnitedHealth 在泄露事件中被盗1亿个数据

时间：10月24日

UnitedHealth 首次证实，超过 1 亿人的个人信息和医疗保健数据在 Change Healthcare 勒索软件攻击中被盗，这是近年来最大的医疗保健数据泄露事件。

今年 5 月，UnitedHealth 首席执行官安德鲁·维蒂（Andrew Witty）在国会听证会上警告说，“可能三分之一”的美国人健康数据在这次攻击中被泄露。一个月后，Change Healthcare 发布了一份数据泄露通知。今天，美国卫生与公众服务部民权办公室数据泄露门户将受影响的总人数更新为 1 亿，这是 Change Healthcare 的母公司 UnitedHealth 首次对泄露事件提供官方数字。

Change Healthcare 自 6 月以来发送的数据泄露通知指出，在 2 月份的勒索软件攻击期间，大量敏感信息被盗，包括：健康保险信息、健康信息、账单、索赔和付款信息或其他个人信息，例如社会安全号码、驾驶执照或身份证号码/护照号码。

保险管理机构数据泄露影响了 800,000 人

时间：10月24日

Landmark Admin 是保险公司的第三方管理员，为大型保险公司提供后台服务，例如新业务处理和索赔管理。该公司警告说，其 5 月份遭受的网络攻击影响了超过 800,000 人。

在提交给总检察长办公室的一份文件中，Landmark 表示，它在 2024 年 5 月 13 日检测到可疑活动，导致该公司关闭 IT 系统和远程访问。Landmark 与第三方网络安全公司合作，以解决该事件并调查数据是否在攻击中被盗。

在这项调查中，Landmark 表示，它发现威胁行为者在攻击期间访问了一些文件，其中包含 806,519 人的个人信息。

“根据调查，受影响的个人的以下信息可能已被访问：姓名、地址、社保号码、税号、驾驶执照号码等等”，Landmark 数据泄露通知中写到。他们表示，调查正在进行中，如果有更多信息，将通知受影响的个人。

由于被盗数据的敏感性，受影响的人应该监控他们的信用报告和银行账户是否有可疑活动。目前，没有威胁行为者声称对此次攻击负责，因此尚不清楚是勒索软件还是数据盗窃攻击。

超过 6,000 个 WordPress 网站被黑客入侵

时间：10月21日

在过去的几年里，信息窃取恶意软件已成为全球网络安全的担忧。据统计，超过6,000 个 WordPress 网站被黑客入侵并安装恶意插件，这些插件会显示虚假的软件更新和错误提醒，以安装恶意软件窃取信息。

自 2023 年以来，一个名为 ClearFake 的恶意活动常被用于在网站上分发虚假更新信息以安装恶意插件。2024 年，一项名为 ClickFix 的新活动推出，它与 ClearFake 有许多相似之处，伪装成带有修复程序的软件错误消息。但是，这些“修复”是 PowerShell 脚本，执行时将下载并安装信息窃取恶意软件。

ClickFix 活动今年变得越来越普遍，威胁行为者入侵网站以显示 Google Chrome、Google Meet 会议、Facebook 甚至验证码页面虚假错误的横幅。

勒索软件团伙攻击残疾人非营利组织

时间：10月24日

一个曾攻击了多家医院的臭名昭著的勒索软件团伙近期新增了攻击目标——残疾非营利组织 Easterseals。该组织为残疾儿童、老年人、退伍军人等群体提供支持。

Rhysida 勒索软件团伙本周试图从该组织勒索 130 万美元，Easterseals 没有回应置评请求，但向缅因州监管机构提交了泄露通知文件，称其位于皮奥里亚的伊利诺伊州中部办事处在 4 月份遭遇了一次网络攻击。

通知信称，4 月 1 日，该组织“经历了一次网络中断，影响了某些系统的功能和访问”。该组织表示：“发现此事件后，Easterseals 立即断开了对网络的所有访问，并立即聘请了专门的第三方网络安全公司和 IT 人员协助搭建起环境来保护系统安全，并进行全面的取证调查以确定事件的性质和范围。研究员调查确定，未经授权的行为者从 Easterseals 的网络访问了某些文件，其中一些包含个人信息。”

缅因州的文件称，黑客访问了 14,855 人的全名、地址、驾驶执照、社会安全号码、医疗信息、健康信息和护照。受害者将获得 12 个月的身份保护服务。

Henry Schein 首次披露上一年度数据泄露事件

时间：10月24日

Henry Schein 是一家医疗保健解决方案提供商，也是财富 500 强公司。他在 2023 年受到 BlackCat Ransomware 团伙连续发动两次网络攻击后，终于披露了一起数据泄露事件，透露超过 160,000 人的个人信息被盗。

10 月 15 日，该公司披露，它被迫将一些系统下线，以遏制影响制造和分销业务的网络攻击。虽然 Henry Schein 没有透露攻击的性质，但 BlackCat 勒索软件团伙声称对此负责，称他们窃取了 35 TB 的敏感文件。将近一个月后，即 11 月 22 日，该公司再次披露，它遭受了另一次攻击，同样是 BlackCat 勒索软件团伙的手笔。

至今一年多过去，Schein 在给缅因州总检察长的数据泄露通知中证实，勒索软件团伙在这些攻击中窃取了 166,432 人的个人数据。

“事件发生后，公司与一家外部专家公司合作，审查可能受影响的文件，以识别未经授权的第三方在事件中获取的信息，”Henry Schein 的数据泄露通知中写道。

该公司现在为受影响的用户提供 Experian 的 IdentityWorksSM 的 24 个月免费会员资格，以帮助监控信用记录并检测欺诈迹象。

黑客利用网络邮件漏洞窃取电子邮件

时间：10月21日

Roundcube Webmail 是一个开源的、基于 PHP 的 Web 邮件解决方案，支持插件来扩展其功能，深受商业和政府实体的欢迎。事实表明，威胁行为者一直在利用 Roundcube Webmail 客户端中的漏洞进行网络攻击，主要以前苏联的继承者独立国家联合体（CIS）地区的政府组织为目标。

俄罗斯网络安全公司 Positive Technologies 于 9 月发现了一次攻击，但研究人员确定威胁行为者的活动始于 6 月。威胁行为者利用了一个中等严重性的存储 XSS（跨站点脚本）漏洞，该漏洞被确定为 CVE-2024-37383，该漏洞允许在打开特制电子邮件时在 Roundcube 页面上执行恶意 JavaScript 代码。该问题是由电子邮件中 SVG 元素处理不当引发的，它绕过了语法检查并允许在用户页面上执行恶意代码。

新的 FortiManager 漏洞被使用

时间：10月23日

Fortinet 于 23 号当天公开披露了一个关键的 FortiManager API 漏洞，被跟踪为 CVE-2024-47575，该漏洞在零日攻击中被用来窃取托管设备的配置、IP 地址和凭据等敏感文件。

从 10 月 13 日开始，该公司在高级通知电子邮件中私下警告 FortiManager 客户注意该漏洞，并附上缓解该漏洞的步骤。然而，Mastodon 上的网络安全研究员 Kevin Beaumont 本周开始在网上泄露有关该漏洞的消息，他将这个漏洞称为“FortiJump”。Fortinet 设备管理员还分享说，这个漏洞已经被利用了一段时间，一位客户报告说在该公司向客户发送通知前几周就受到了攻击。

渠道合作咨询田先生 15611262709

稿件合作微信:shushu12121