安全简讯（2025.02.06）

1. 美国史上最大医疗数据泄露事件：Change Healthcare遭勒索软件攻击

1月25日，联合健康集团子公司Change Healthcare在2024年2月遭受了勒索软件组织ALPHV（又名Black Cat）的攻击，导致约1.9亿美国人的敏感医疗数据泄露，成为美国历史上最大的医疗数据泄露事件。此次攻击利用了缺乏多因素身份验证的受感染帐户和Citrix远程访问软件上的受感染凭据，造成了8.72亿美元的财务损失和6TB的数据泄露。尽管黑客近一年来一直在访问被盗数据，但UnitedHealth声称没有证据表明数据被滥用。然而，此次入侵暴露了包括健康保险详细信息、患者诊断、测试结果和治疗信息等在内的敏感医疗记录，以及个人姓名、地址、出生日期、社会安全号码、驾照号码等敏感数据。攻击发生后，该公司支付了2200万美元的赎金，但BlackCat欺骗了实施此次攻击的关联公司并骗取了赎金，导致被盗数据落入网络犯罪分子手中。此次泄密事件不仅直接窃取数据，还扰乱了全国的医疗服务，给运营带来了重大挑战，引发了人们对患者隐私和数据安全的担忧。为了遵守HIPAA，联合健康集团已向受影响最严重的个人通报了此次攻击事件。

https://hackread.com/unitedhealth-groups-data-breach-impacts-americans/

2. TalkTalk数据泄露事件：威胁者声称窃取1880万用户数据

1月27日，英国电信公司TalkTalk遭遇了一起数据泄露事件，一名自称为“b0nd”的威胁行为者在网络犯罪论坛上宣布对此次黑客攻击负责，并声称窃取了超过1880万TalkTalk用户的数据，包括姓名、电子邮件地址、IP地址、电话号码和PIN等敏感信息。然而，TalkTalk公司发言人表示这一说法“完全不准确且严重夸大”，并指出此次泄露涉及第三方平台。据透露，该事件源于一个第三方供应商的系统被意外访问和滥用，TalkTalk正与供应商合作解决该问题，但并未透露供应商名称。据称，泄露的数据是从电信提供商使用的Ascendon SaaS平台窃取的，而该平台提供商CSG承认数据是从其平台上窃取的，但表示只有一名客户受到影响，且没有证据表明其技术和系统受到了损害。这并非TalkTalk首次遭遇数据泄露事件，2015年该公司服务器也曾遭受网络攻击，影响了400万用户。

https://securityaffairs.com/173526/cyber-crime/talktalk-confirms-data-breach.html

3. 史密斯集团遭未知攻击者入侵，披露安全漏洞

1月28日，总部位于伦敦的跨国工程巨头史密斯集团（Smiths Group）近期遭遇了未知攻击者的系统入侵，导致安全漏洞被披露。作为一家在伦敦证券交易所上市的英国公司，史密斯集团在50多个国家拥有超过15,000名员工，去年营收高达31.32亿英镑，主要服务于能源、安全、安保、航空航天和国防市场。在周二提交给伦敦证券交易所的文件中，史密斯集团透露正在调查一起涉及“未经授权访问公司系统”的网络安全事件，并立即隔离了受影响的系统，启动了业务连续性计划。目前，该公司正与网络安全专家合作，努力恢复系统并评估对业务的广泛影响，同时承诺将采取一切必要措施遵守相关监管要求，并在获得更多信息时提供更新。然而，史密斯集团尚未透露入侵的具体时间和是否有业务或客户数据被盗。

https://www.bleepingcomputer.com/news/security/engineering-giant-smiths-group-discloses-security-breach/

4. 塔塔科技遭勒索软件攻击，部分IT服务短暂中断

1月31日，塔塔科技有限公司（Tata Technologies Ltd.），作为塔塔汽车的子公司，是一家专注于汽车设计、航空航天工程及综合研发工程的印度上市跨国科技公司。近日，该公司遭受了勒索软件攻击，导致部分IT服务不得不暂停。尽管塔塔科技迅速采取行动并宣布IT资产已恢复，但此次攻击的具体细节和影响仍在调查中。值得注意的是，客户交付服务在网络攻击期间保持全面运行，未对客户运营造成影响。目前尚不清楚攻击者是否成功窃取了该公司的任何数据，但勒索软件攻击通常涉及数据盗窃，对科技公司而言，此类事件可能导致公司机密数据泄露，损害知识产权和技术组合。此前，Hive勒索软件组织曾对印度最大的综合电力公司塔塔电力发动攻击，窃取并泄露了包括工程示意图、财务记录和个人客户信息在内的敏感数据。此次塔塔科技遭受的攻击再次提醒企业需加强网络安全防护。

https://www.bleepingcomputer.com/news/security/indian-tech-giant-tata-technologies-hit-by-ransomware-attack/

5. GrubHub遭数据泄露，攻击者利用第三方账户入侵系统

2月4日，食品配送公司GrubHub遭遇了一次数据泄露事件，攻击者通过第三方服务提供商的账户入侵了GrubHub系统，影响了客户、商家和司机的个人信息，但具体受影响数量未公开。GrubHub迅速采取行动，终止了入侵账户的访问权限，并删除了该服务提供商，同时聘请外部专家评估影响、轮换密码并加强了内部服务的异常检测。调查显示，攻击者未获取敏感的个人和财务信息，但可能获取了部分校园食堂用户的姓名、电子邮件地址、电话号码及部分支付卡信息（包括卡类型和最后四位卡号）。此外，攻击者还访问了某些遗留系统的散列密码，GrubHub已主动轮换可能存在风险的密码，并敦促客户使用独特密码以降低风险。GrubHub在全国4000多个城市拥有超过375000家商家和200000名配送合作伙伴，去年因多项违法行为支付了2500万美元和解金。

https://www.bleepingcomputer.com/news/security/grubhub-data-breach-impacts-customers-drivers-and-merchants/

6. CISA 将四个被积极利用的漏洞添加到 KEV 目录中

2月5日，美国网络安全和基础设施安全局（CISA）周二发布了一项重要安全公告，向其已知被利用漏洞（KEV）目录中新增了四个安全漏洞，并警告这些漏洞正被积极利用。这些漏洞包括：CVE-2024-45195，一个Apache OFBiz中的强制浏览漏洞，允许远程攻击者获取未授权访问权限并执行任意代码（已修复）；CVE-2024-29059，Microsoft .NET Framework中的信息泄露漏洞，可能暴露敏感信息并导致远程代码执行（已修复）；CVE-2018-9276，Paessler PRTG网络监视器中的操作系统命令注入漏洞，允许管理权限的攻击者执行命令（已修复）；以及CVE-2018-19410，同样是Paessler PRTG中的本地文件包含漏洞，可允许远程攻击者创建具有读写权限的用户（已修复）。尽管这些漏洞已由各自供应商修复，但目前尚无关于它们如何在真实攻击中被利用的具体公开报告。为此，联邦民事行政部门（FCEB）下属机构被紧急敦促在2025年2月25日前应用必要的修复措施，以有效防范这些主动威胁，确保网络安全。

https://thehackernews.com/2025/02/cisa-adds-four-actively-exploited.html