2024年上半年,网络攻击的势头不仅未见减弱,还发生了数起严重威胁公众安全的重大数据泄露和勒索软件攻击事件。例如,2月份针对UnitedHealth旗下处方处理商Change Healthcare的勒索软件攻击导致美国医疗保健系统中断数周,许多药店和医院无法处理索赔和接收付款;5月份,Ascension的医疗系统遭到勒索软件攻击,导致紧急护理无法正常开展。

这些攻击不禁让人怀疑,威胁行为者是否有意针对那些无法承受网络中断严重影响的公司,以便向这些组织施加更大的压力,要求它们支付赎金。如果是这样的话,这一策略似乎已经奏效了,因为UnitedHealth已经向网络犯罪组织支付了2200万美元的赎金。

虽然还不能确定这就是攻击者的策略,但可以肯定的是,攻击者会抓住一切可利用的机会来确保自身获得报酬。未来,攻击者或将利用先进技术开发出更复杂、更具针对性的攻击活动,以谋求利益最大化。

为了帮助组织更好地了解过去半年的威胁形势,我们整理了2024年迄今为止发生的10起重大的网络攻击和数据泄露事件(按时间顺序)。

Ivanti VPN攻击

今年1月,威胁情报公司Volexity发现,影响 Ivanti Connect Secure(以下简称ICS) VPN 和 Policy Secure 网络访问控制(NAC)设备的两个零日漏洞——CVE-2023-46805身份验证绕过和CVE-2024-21887命令注入漏洞——正在被大规模利用。

据悉,攻击者使用GIFTEDVISITOR webshell变体对目标系统进行了后门攻击,Volexity 发现有1700多台ICS VPN设备被GIFTEDVISITOR webshell入侵。这些设备对受害者进行无差别攻击。受害者名单包括世界各地的政府和军事部门、国家电信公司、国防承包商、技术公司、银行、金融和会计机构、全球咨询公司以及航天、航空和工程公司。

这些攻击促使CISA向美国联邦政府的行政部门发出紧急命令,要求采取紧急措施,在48小时内断开其ICS VPN的连接。1月31日,在首次漏洞披露三周后,Ivanti发布了其部分版本的Connect Secure VPN软件的首个补丁。

微软高管账户泄露

微软1月19日发布消息称,其系统被俄罗斯黑客入侵,他们访问了“极小比例”的企业电子邮件帐户。被泄露的账户属于该公司高级领导团队成员、网络安全和法律部门的员工以及从事“其他职能”的人员。

该科技巨头将这起攻击归咎于它所追踪的一个名为“午夜暴雪”(Midnight Blizzard)的组织,该组织曾在2020年对美国信息技术公司SolarWinds进行了大规模攻击,导致美国联邦政府的敏感信息暴露。

据微软称,Midnight Blizzard于11月底首次通过“密码喷洒”攻击访问该公司的系统,这种策略是恶意行为者在多个帐户上使用相同的口令。但微软表示,直到1月下旬才首次检测到对其系统的威胁。这意味着黑客获得上述邮箱的访问权限长达两个月,而且被突破的电邮账户可能没有启用2FA认证。

根据微软的初步调查,Midnight Blizzard似乎以企业电子邮件帐户为目标来查找有关其自身的信息,并设法撤回“一些电子邮件和附加文档”。微软称,这次攻击并非微软产品或服务中的漏洞造成的。而且,没有证据表明威胁行为者可以访问客户环境、生产系统、源代码或人工智能系统。

SOHO路由器攻击

今年2月份,Volt Typhoon组织劫持了位于美国的“数百台”小型办公室/家庭办公室(SOHO)路由器,并将其组成僵尸网络对美国关键基础设施发动攻击。联邦调查局表示,Volt Typhoon攻击的目标包括通信、能源、水和交通等关键服务提供商。

同月晚些时候,美国政府又消灭了俄罗斯网络间谍在恶意软件活动中使用的另一个小型办公室/家庭办公室(SOHO)路由器僵尸网络。该僵尸网络由网络犯罪分子使用已知的“Moobot”恶意软件构建,后来被俄罗斯APT组织(APT28,也被称为Forest Blizzard/Sofacy/Fancy Bear,与俄罗斯情报局GRU有联系)侵占。

据FBI介绍称,最初,非GRU网络犯罪分子在Ubiquiti Edge OS路由器上安装了Moobot恶意软件,而这些路由器仍然使用公开的默认管理员密码。GRU黑客随后使用Moobot恶意软件安装他们自己的定制脚本和文件,重新调整僵尸网络的用途,将其变成一个全球网络间谍平台。

Change Healthcare勒索软件攻击

Change Healthcare攻击事件于2月22日首次披露,导致美国医疗保健系统持续数周的大规模中断。为应对勒索软件攻击而被迫关闭IT系统,致使许多药店和医院以及其他医疗保健设施和办公室无法处理索赔和接收付款。

一个名为Blackcat(也称Alphv)的俄语网络犯罪组织声称对这起勒索软件攻击负责,并称收到了UnitedHealth公司在攻击后支付的2200万美元赎金。

随后,另一个名为RansomHub的网络犯罪团伙公布了据称是从Change Healthcare窃取的数据。UnitedHealth在4月底表示,在Change Healthcare攻击事件中可能有三分之一美国人的数据被盗。

今年6月,Change Healthcare承认有敏感的患者医疗数据在这次攻击中暴露,具体可能涉及“诊断、药物、测试结果、图像、护理和治疗方案等”。

ConnectWise ScreenConnect攻击

今年2月,ConnectWise披露发现了两个影响其ScreenConnect工具的漏洞,影响了在本地和云中使用ScreenConnect的MSP。安全公司Mandiant随后确定了各种威胁行为者对漏洞的大规模利用,并称他们中的许多人会部署勒索软件,进行多方面的勒索。

庆幸的是,ConnectWise很快意识到“任何补丁延迟都会增加被利用的风险”,并采取了额外的预防措施,然后在披露后的几天内就发布了补丁。CISA也就此事发布通知称,如果ConnectWise的合作伙伴和终端客户无法在攻击期间升级到最新版本,应该选择拔掉所有本地ScreenConnect服务器的连接线,以最大限度地降低攻击影响。

XZ Utils攻击

XZ Utils是Linux发行版中广泛使用的一套数据压缩工具和库。然而,今年3月,RedHat和CISA发布警告称,发现两个最新版本的XZ Utils遭到入侵。这一漏洞最初由一名微软工程师披露,而当时被入侵的软件还没来得及广泛传播。

2024年3月29日,微软PostgreSQL开发人员Andres Freund发了一封电子邮件给OSS-Security,说在xz/liblzma中发现了一个后门,涉及混淆恶意代码的供应链攻击。Andres在一篇帖子中说,他在注意到安装Debian(一种流行的Linux发行版)时的“奇怪”行为后发现了这个漏洞,这些异常行为包括登录时间更长,使用的CPU比平时多。

正如XZ Utils项目的原始维护者所披露的那样,XZ Utils的一个代码贡献者负责插入了恶意代码,最终导致在众多Linux发行版中成功为sshd植入了后门,引发了“噩梦般场景”的软件供应链攻击危机。

美国电话电报公司(AT&T)数据泄露

今年3月,美国AT&T公司表示,在暗网上发现了7000多万现任和前任客户的个人数据后,该公司正在调查可能的数据泄露事件。这家电信巨头表示,它已经确定“大约两周前在暗网上发布的一个数据集中包含了AT&T数据的特定字段。”根据初步分析,该公司表示,该数据集似乎来自2019年或更早的时间,影响了约760万AT&T当前账户持有人和约6540万前账户持有人。该公司表示,被发现的数据包括姓名、家庭住址、电话号码、社会安全号码等个人信息。

事件发生后,AT&T公司已经重置了受到影响的760万现有用户的密码,并表示正在积极联系这些客户以及同样遭受泄露的6540万前账户持有人。

Ascension勒索软件攻击

Ascension在19个州和华盛顿特区拥有140家医院和业务,是美国最大的医疗系统之一。该公司于今年5月透露,由于一名员工无意中下载了恶意软件,致使其遭受勒索软件攻击。此次攻击影响了MyChart电子健康记录系统、电话和用于订购测试、手术和药物的系统,促使这家医疗巨头将一些设备下线,以遏制勒索软件攻击影响。

Ascension还暂停了一些非紧急选择性手术、测试和预约,并将急救服务转移到其他医疗单位以避免分诊延误。包括美国卫生与公众服务部和联邦调查局在内的多个联邦机构都参与了恢复工作,以尽量减少对患者护理的干扰。

虽然Ascension后来证实,有证据表明威胁行为者仅访问并窃取了其网络上数千台服务器中的7台服务器上的文件。但这一事件再次提醒人们加强医疗保健网络安全弹性的紧迫性。

Snowflake数据泄露

据Mandiant的研究人员称,今年6月,针对Snowflake客户的大规模攻击导致“大量”数据被盗,已知有100多家客户可能受到影响,其中包括Ticketmaster、桑坦德银行、Pure Storage、Advance Auto Parts以及Cylance这样的网络安全巨头。

Mandiant的研究人员表示,一群黑客利用信息窃取恶意软件获取的凭据,对未启用多因素认证(MFA)的Snowflake账户和未对不受信任位置访问设置限制的Snowflake客户实例实施大规模攻击。黑客使用的某些凭据已有数年历史。

Snowflake公司在其咨询中表示,它正在“制定一项计划,要求客户实施先进的安全控制,如多因素身份验证(MFA)或网络策略。”

CDK Global网络攻击

在6月18日和19日接连遭遇两起网络攻击后,为1.5万家经销商提供软件的CDK Global被迫关闭了大部分系统。此次网络攻击对CDK Global的主要客户产生了深远影响,其中包括通用汽车经销商、Group 1 Automotive、Asbury Automotive Group、AutoNation、Lithia Motors、Penske、Sonic Automotive 和 Holman,这些经销商都严重依赖CDK的软件来管理从销售交易到库存管理的日常运营。

由于系统关闭,一些经销商开始用纸笔处理订单。其他服务,如州检查、维修和零件配送,在部分地区也陷入停顿。有媒体报道称,CDK计划支付据称价值数千万美元的赎金,目的是更快地恢复其系统,但CDK拒绝对此发表评论。