今年迄今为止最大的网络攻击

随着 2024 年接近尾声，众多备受瞩目的网络事件占据了头条新闻。仅剩两个半月的时间，我们很可能会在年底前看到更多此类事件。

在这篇文章中我们探讨了今年迄今为止发生的一些最严重的网络攻击。

2024 年 1 月对微软公司系统的攻击

2024 年 1 月，微软检测到国家对其公司系统的攻击，并立即启动响应以调查和缓解漏洞。微软威胁情报调查发现，威胁行为者是 Midnight Blizzard，这是俄罗斯政府支持的攻击者，又名 NOBELIUM。

攻击者使用密码喷洒攻击和 OAuth 应用程序利用等技术来未经授权访问敏感的公司数据，包括内部电子邮件。

此次事件凸显了平衡安全与业务风险的重要性。微软利用审计日志通过 Exchange Web 服务 (EWS) 跟踪了攻击者的活动，并开始通知其他受影响的组织。

该事件仍在调查中，并正在对 Midnight Blizzard 的策略进行持续分析，以便更好地保护和应对未来的类似威胁。

2024 年 1 月，亲乌克兰黑客活动分子抹去了俄罗斯空间研究中心 2PB 的数据

俄罗斯/乌克兰战争仍在继续，双方都发起了网络攻击。早在 2024 年 1 月，乌克兰国防部情报总局就报告称，亲乌克兰黑客入侵了俄罗斯空间水文气象中心（称为“Planeta”），抹去了 2PB 的数据。

Planeta 是一家国家研究中心，利用卫星和地面数据预测天气、监测自然灾害并提供气候见解。它隶属于俄罗斯航天局，为军事、民航和农业等部门提供支持。

乌克兰官员称，“BO 小组”的网络志愿者针对 Planeta 的远东分公司（该公司三个分公司中规模最大的一个）发动了攻击。他们据称摧毁了 280 台服务器，其中包含 2PB（2000TB）的数据。

乌克兰情报部门估计损失达 1000 万美元，影响了超级计算机集群和多年的研究成果。鉴于对俄罗斯的制裁，恢复复杂的计算机系统将非常困难，这对 Planeta 的运营构成了重大挑战。

Ivanti VPN 零日漏洞遭利用，引发重大网络攻击 – 2024 年 1 月

自从 1 月份披露两个高危零日漏洞后，Ivanti 广泛使用的 Connect Secure VPN 遭到威胁行为者的大规模利用。研究人员报告称，数千台 Ivanti VPN 设备遭到入侵，受害者包括美国网络安全和基础设施安全局 (CISA) 和联邦政府资助研发的重要提供商 Mitre。

虽然后来发现了更多漏洞，但谷歌云旗下的网络安全公司 Mandiant 指出，这两个原始漏洞被与有关的威胁组织 UNC5221 和其他未确定组织广泛利用。Mandiant 的研究表明，攻击可以追溯到 12 月 3 日。

为了应对大规模攻击，CISA 发布了一项紧急指令，要求民事行政机构在 48 小时内断开其 Ivanti Connect Secure VPN。1 月 31 日，在首次披露漏洞三周后，Ivanti 发布了其部分版本的 VPN 软件的第一个补丁。该公司表示，他们在开发补丁时优先发布缓解措施，这与行业最佳实践一致。

变革医疗网络攻击泄露患者数据，扰乱美国医疗系统 – 2024 年 2 月

2 月 22 日首次披露的针对 Change Healthcare 的网络攻击导致美国医疗系统数周内严重中断。为了应对勒索软件攻击，IT 系统被关闭，导致许多药房、医院和其他医疗机构无法处理索赔和接收付款。

俄语网络犯罪组织 BlackCat 或 ALPHV 声称对此负责。联合健康集团首席执行官 Andrew Witty 在今年 5 月的国会证词中证实，该公司在攻击后支付了 2200 万美元的赎金。

随后，另一个名为 RansomHub 的网络犯罪团伙发布了其声称从 Change 窃取的数据卫生保健。4 月底，联合健康集团透露，在针对其 Optum 子公司 Change Healthcare 的攻击中，属于“相当一部分”美国人的数据可能被盗。

Witty 作证称，“可能三分之一”的美国人受到了影响。6 月，Change Healthcare 披露，敏感的患者医疗数据被泄露，可能包括诊断、药物、测试结果、图像、护理和治疗。

Ascension Health System 勒索软件攻击泄露患者数据 – 2024 年 5 月

5 月，Ascension 宣布其临床运营因勒索软件攻击而中断。Ascension 是一家非营利性医疗系统，在 19 个州和华盛顿特区运营 140 家医院。

5 月 8 日，该组织在部分技术网络系统上检测到异常活动，这表明存在安全漏洞。攻击始于一名员工无意中下载了恶意软件，随后迫使 Ascension 将部分医院的急救护理转移，影响了患者服务。

后来的调查证实，包括患者健康信息在内的敏感数据很可能在攻击期间被盗。

Ascension 表示：“我们现在有证据表明，攻击者能够从我们的员工主要用于日常和例行任务的少数文件服务器中窃取文件。”

这一事件凸显了在医疗保健环境中采取强有力的网络安全措施的重要性，因为漏洞会对患者护理和数据隐私造成严重后果。对 Ascension 的攻击凸显了人为错误可能产生的漏洞以及对员工进行网络安全协议持续培训的必要性。

英国军方遭遇重大数据泄露 - 2024 年 5 月

黑客入侵英国国防部工资系统，泄露了 27 万名现役和退役军人的敏感个人信息。泄露内容包括姓名、银行详细信息和其他私人数据。

英国国防部经历了一次数据泄露，影响了英国军事人员，数据通过第三方工资系统泄露，泄露了姓名、银行详细信息和一些地址。国防部立即下线了承包商网络，并通知了受影响人员。

时任首相里希·苏纳克 (Rishi Sunak) 表示，一个“恶意行为者”瞄准了支付网络。时任英国国防部长格兰特·沙普斯 (Grant Shapps) 告诉议会，他们不相信数据被盗，但不能排除外国参与。这一事件进一步凸显了国家威胁行为者所构成的威胁。

戴尔数据泄露 4900 万客户信息遭重大网络攻击 - 2024 年 5 月

今年 5 月，一名威胁者声称窃取了约 4900 万个人的个人信息，戴尔向客户发出了重大数据泄露警告。

戴尔开始发出通知，确认包含与购买相关的客户数据的门户网站已被入侵。

戴尔当时的声明透露，泄露的数据包括客户姓名、实际地址、订单服务标签、产品描述、订单日期和保修信息。

幸运的是，没有涉及财务或付款信息、电子邮件地址或电话号码，戴尔认为这有助于降低客户的潜在风险。

这名网络犯罪分子名叫 Menelik，他曾试图在 Breach Forums 黑客网站上出售被盗数据，声称其中包括 2017 年至 2024 年期间的购买记录。

戴尔立即展开调查并通知受影响的客户。该公司向用户保证，没有任何高度敏感的信息被泄露。

Ticketmaster 违规行为 - 2024 年 6 月

2024 年 6 月，Ticketmaster 的母公司 Live Nation 证实发生了大规模数据泄露事件，该公司因此面临严厉审查。

名为 ShinyHunters 的黑客声称他们窃取了 5.6 亿客户的个人信息，并要求支付 50 万美元赎金，以防止这些数据在暗网上出售。

被盗信息包括姓名、地址、电子邮件地址、用户名和部分信用卡详细信息，使许多客户处于危险之中。

此次事件并非 Ticketmaster 首次出现安全问题。2020 年，Ticketmaster 承认对竞争对手进行了黑客攻击，并因此被罚款 1000 万美元。

最近，在 2023 年 11 月，据称一次网络攻击扰乱了泰勒·斯威夫特 Era 巡回演唱会的门票销售。此次事件凸显了娱乐行业持续存在的网络安全挑战。

Snowflake 数据泄露：数百家组织受到凭证被盗的影响 – 2024 年 6 月

在影响数百家公司的重大事件中，Snowflake 数据泄露凸显了与凭证安全相关的持续漏洞。

云存储提供商 Snowflake 面临一系列针对客户账户的网络攻击，利用被盗的登录凭证访问敏感数据。

值得注意的是，Ticketmaster 和 Santander 等知名客户受到了影响，攻击者访问了数据并索要巨额赎金。

此次入侵并未直接影响 Snowflake 的基础设施。相反，攻击者通过信息窃取恶意软件获取了客户凭证，在某些情况下，这使他们能够绕过多因素身份验证等标准安全措施。

Snowflake 一直否认其系统存在任何固有缺陷，并将此次入侵归咎于对客户账户的广泛凭证填充攻击。该公司对此作出了回应，加强了安全协议并分享了指南，以帮助客户加强防御能力。

这一事件强调了强大的身份和访问管理实践的必要性，特别是对于依赖第三方云服务的组织而言。

CDK Global 勒索软件给经销商造成超过 10 亿美元的损失 – 2024 年 6 月

2024 年 6 月，美国领先的汽车行业软件提供商 CDK Global 遭受了严重的勒索软件攻击。

该事件于 6 月 18 日首次报道，起因是一名员工无意中下载了恶意软件，导致关键文件和系统被加密。

与东欧和俄罗斯有联系的 BlackSuit 勒索软件团伙声称对此事件负责，索要的赎金从 1000 万美元增加到 5000 多万美元。

此次攻击迫使 CDK Global 关闭其 IT 系统，影响了北美近 15,000 家汽车经销商。此次中断使经销商损失超过 10 亿美元，并影响了宝马、日产和本田等汽车制造商。

由于经销商采用手动流程，客户在购买汽车和安排服务时面临延误。此次事件凸显了强大的网络安全措施和应急计划的重要性。

鼓励组织制定全面的事件响应计划，优先考虑数据保护，增强勒索软件防御能力，并改进沟通策略，以减轻此类攻击的影响。

伦敦交通局网络攻击导致客户数据严重泄露 – 2024 年 9 月

伦敦交通局 (TfL) 遭受网络攻击，攻击者入侵系统并获取敏感客户数据。泄露的信息包括 Oyster 退款数据、银行账号、分类代码以及约 5,000 名客户的个人联系方式。

TfL 的回应是暂停某些服务，例如 Oyster 照片卡和 Zip 卡的申请，以防止进一步的非法访问。国家犯罪局逮捕了一名与此次袭击有关的 17 岁嫌疑人。

这起事件凸显了公共基础设施面临的不断升级的威胁以及强大的网络安全措施的重要性。