2023 年 10 月,网络事件激增凸显了组织面临的持续且不断变化的威胁。
2023 年 10 月发生了从大规模数据泄露到网络战等一系列恶意活动。值得注意的事件包括影响网络领域的以色列-巴勒斯坦冲突紧张局势升级、Facebook 官方页面令人震惊的黑客攻击以及针对王室网站的针对性网络攻击。勒索软件攻击继续肆虐,BlackCat 和 Knight 等臭名昭著的攻击者成为头条新闻。此外,多个组织因网络攻击而面临巨大的财务损失。
以下是2023 年 10 月的著名网络攻击,以全面了解这些事件以及不断变化的威胁形势。
威胁行为者提供了 8.15 亿印度公民与 ICMR COVID-19 测试相关的数据进行出售
研究人员于 2023 年 10 月 9 日发现了一篇名为“2023 年印度公民 Aadhaar 和护照数据库”的暗网帖子。该威胁行为者以“pwn0001”别名进行操作,出售8.15 亿印度人的信息。据称,这些数据源自印度医学研究委员会 (ICMR) 进行的 COVID-19 测试,包含各种个人身份信息 (PII)。
此次出售还包括护照详细信息和 Aadhaar 卡信息。Aadhaar 是一项政府举措,为每位印度公民分配一个唯一的 12 位身份号码。
据报道,如帖子中所示,ICMR COVID-19 测试数据大小超过 90 GB。数据在电子表格中共享,其中一个样本包含 100,000 个人的 PII,其中包括 Aadhaar 数据。报告显示,这些样本已经过验证,与 ICMR 的新冠病毒检测数据相符。然而,数据来源以及是否涉及 ICMR 系统违规仍不确定。
LastPass 数据泄露导致 80 个钱包的加密货币被盗,价值 440 万美元
10 月 25 日,由于涉及密码存储软件LastPass的 2022 年数据泄露,一起价值440万美元的加密货币失窃事件影响了 80 个钱包中的至少 25 人。10 月 27 日,匿名链上研究员 ZachXBT 和 MetaMask 开发者 Taylor Monahan 检查了这些受损钱包内的资金动向。
据 Monahan 称,受害者大部分是 LastPass 的长期用户,他们将加密钱包密钥或种子存储在 LastPass 中。怀疑自己可能在 LastPass 中存储了助记词或密钥的用户应立即将其加密资产转移到更安全的平台。
Cloudflare 利用 HTTP/2 快速重置漏洞,以 +100 RPS 缓解了数千次 HTTP DDoS 攻击
Cloudflare 报告称,挫败了数千起超大容量 HTTP 分布式拒绝服务 (DDoS) 攻击,其中 89 起每秒请求数 (RPS) 超过 1 亿次。该活动导致第三季度 HTTP DDoS 攻击流量增长了 65%,而 L3/4 DDoS 攻击流量也增长了 14%。
这些攻击源于HTTP/2 快速重置漏洞 (CVE-2023-44487),该漏洞是协调披露的一部分,该漏洞暴露了攻击者如何针对各种提供商,包括 Amazon Web Services (AWS)、Cloudflare 和 Google Cloud。
要了解有关快速重置攻击的更多信息,请参阅 SOCRadar 博客文章:“快速重置”DDoS 攻击上升:2023 年 10 月星期二补丁已发布(CVE-2023-36563、CVE-2023-41763、CVE-2023-44487)
Airbnb 涉嫌数据泄露,120 万用户个人信息遭泄露
Airbnb 涉嫌数据泄露事件已泄露120 万用户的个人信息,一名名为“警长”的威胁者声称对此事负责。
这些敏感数据包括姓名、电子邮件地址和其他信息,在暗网上以7,000 美元的价格出售。
尽管此次违规行为引发了用户的安全担忧,但 Airbnb 尚未证实此次违规行为,也没有就此发布官方声明。
勒索软件集团 Knight Struck 美国索赔解决方案 (USCS):600GB 数据被泄露
Knight 勒索软件组织(以前称为 Cyclops)据称对 US Claims Solutions (USCS) 实施了网络攻击。
US Claims Solutions 是一家专门从事货物和检查、商业损失索赔、枪支鉴定、法医库存等业务的保险公司。据报道,Knight 勒索软件组织在攻击期间从该公司窃取了超过600GB 的数据。
针对 USCS 勒索软件攻击,Knight 规定了 308 小时 2 分钟的赎金支付期限。
Knight 泄露的 600GB 敏感数据的内容并未公开。Knight 威胁称,如果 USCS 管理层在 2 天内没有做出回应,他们将出售或公开发布从勒索软件攻击中获得的数据。
23andMe 大规模数据泄露引发诉讼
10 月,一位名为“Golem”的黑客在 BreachForums 上泄露了来自英国和德国的410 万份被盗的 23andMe 基因数据档案。23andMe 表示,这些数据是通过对密码较弱的帐户或之前数据泄露中暴露的凭证进行撞库攻击而获得的,并且没有证据表明其 IT 系统发生过安全事件。
然而,少数账户选择了“DNA亲属”功能,使得威胁行为者能够窃取数百万人的数据。
威胁行为者声称,被盗数据包括皇室、罗斯柴尔德家族和洛克菲勒家族等知名人士的基因信息,但尚未得到证实。一些新泄露的数据与已知的公开用户信息相匹配,这些数据此前曾在现已关闭的黑客论坛 Hydra 上出售。
此次数据泄露事件引发了多起针对 23andMe 的诉讼,指控其缺乏有关泄露的信息以及对客户数据的保护不足。
科技巨头 CDW 未能满足 LockBit 的 8000 万美元赎金要求
以提供技术解决方案和服务而闻名的 CDW Corporation 已被添加到 LockBit 勒索软件团伙的受害者名单中。该团伙在8000 万美元的赎金要求未得到满足后泄露了数据。CDW-G 是一个专注于美国政府实体的部门,也受到了影响。正如研究人员的推文所示,档案中的数据包括员工徽章、审计、佣金支付和其他与帐户相关的信息。
与典型的勒索软件攻击不同,LockBit 没有加密文件或使用恶意软件,这使其更像是勒索勒索的数据泄露事件。该事件因高达 8000 万美元的赎金要求而引人注目,使其成为威胁行为者提出的最昂贵的赎金要求之一。
有关最高赎金要求的更多信息,请查看我们的其他博客文章:十大勒索软件要求
BlackCat 勒索软件针对 QSI 银行业务:5TB SQL 数据被盗
BlackCat勒索软件组织以 QSI 银行为目标,通过所谓的网络攻击窃取个人和 SQL 数据。QSI Inc. 是 NCR 产品的主要经销商,面临着各个行业敏感数据的潜在暴露问题。虽然 QSI Banking 网络攻击尚未得到该公司的证实,但网络安全研究人员根据暗网公告报告了这一事件。
BlackCat 组织声称,此次泄露涉及财务、客户和工作相关数据的泄露,其中包括 5TB SQL 数据库。据报道,Wesbanco Bank、Stock Yards Bank 和 SECU 等众多银行都受到了影响。此外,该事件可能与 BlackCat 于 2023 年 4 月声称的 NCR 公司网络攻击有关。
以巴冲突升级引发网络战
多个黑客组织加入了以色列与哈马斯冲突的升级行列,这场冲突是在巴勒斯坦激进组织对加沙地带发动重大袭击后引发的。作为回应,以色列向哈马斯宣战,引发报复循环,导致双方数百人死亡、数千人受伤。
除了国家支持的行为者可能增加网络攻击之外,支持双方的黑客活动团体也加大了网络攻击力度,标志着以色列-巴勒斯坦冲突进入激化阶段的开始。
在我们的博客文章中了解以色列-巴勒斯坦冲突的网络方面:网络世界中以色列-巴勒斯坦冲突的反思
Facebook官方页面遭黑客攻击:引发安全担忧
据报道,2023 年 10 月 6 日,Facebook 的官方页面遭到黑客攻击,其中发布了一些奇怪的帖子,要求释放 2023 年 8 月被捕的巴基斯坦前总理伊姆兰·汗 (Imran Khan)。虽然尚不清楚这是恶作剧还是真正的黑客攻击,但该事件引发人们对 Facebook 帐户和页面安全的严重担忧。社交媒体用户对批评 BCCI 的不寻常消息感到惊讶。Facebook 迅速删除了这些帖子,展开调查,并加强了页面的安全性。
此事件凸显了潜在的危险,因为攻击者可能会利用用户对 Facebook 的信任,诱骗用户下载恶意软件或进行诈骗。
Royal.uk 网站遭到 DDoS 攻击
英国王室的官方网站于 2023 年 10 月 1 日面临严重威胁,成为分布式拒绝服务 (DDoS) 攻击的受害者。报告显示,“Royal.uk”网站无法访问大约90 分钟,事件发生在当地时间上午 10 点。
虽然该网站在攻击后不久就恢复了全部功能,但仍采取了持续的安全措施。俄罗斯黑客组织 Killnet 声称对其 Telegram 频道的攻击负责,但这一说法尚未得到证实。
在王室网站遭受网络攻击后,安全专家强调了所有组织采取强有力的安全措施的重要性。
使用 SORadar XTI 主动防御网络威胁
在先进的监控算法的支持下,SOCRadar 扩展威胁情报 (XTI)持续跟踪威胁参与者、恶意软件、漏洞和相关趋势,以提供对新兴网络威胁的见解。
通过 SOCRadar 平台将资产监控、实时警报和稳定的可操作情报融合在一起,组织可以有效地防御试图利用漏洞的威胁行为者,从而将其网络安全防御提升到前所未有的水平。