一周全球重大网络安全事件速递（第二十七期）

BlackSuit勒索软件攻击是导致CDK Global中断的黑手

时间：6月23日

据多位知情人士透露，BlackSuit 勒索软件团伙是造成CDK Global大规模IT中断以及北美各地汽车经销店中断的幕后黑手。BlackSuit于2023年5月推出，据信是Royal勒索软件卷土重来的品牌。据称，CDK目前正在与勒索软件团伙谈判，以获得解密器并避免泄露被盗数据。

此次谈判是在 BlackSuit 勒索软件攻击迫使CDK关闭其IT系统和数据中心以防止攻击蔓延（包括其汽车经销商平台）之后进行的。该公司于周三试图恢复服务，但遭遇了第二次网络安全事件，导致其再次关闭所有IT系统。

CDK全球网络攻击连锁反应：多家汽车经销商报告业务中断

时间：6月24日

上周针对软件即服务 (SaaS) 提供商 CDK Global 的勒索软件攻击对其客户产生了连锁反应，多家服务于数千个地点的汽车经销商在向美国证券交易委员会提交的文件中报告了业务中断的情况。

CDK受勒索软件攻击事件导致北美数千家汽车经销商陷入瘫痪，扰乱了一些大型汽车零售商的运营。上周二开始的攻击影响了Asbury Automotive Group、AutoNation、Group 1 Automotive、Lithia Motors、Penske、Sonic Automotive等主要汽车经销商的运营，预计未来几天受影响的汽车经销商数量还会进一步增加。

CDK Global的系统对北美15,000多家汽车经销商至关重要。它促进了各种业务，包括汽车销售、维修和注册。经销商只有少数几家DMS公司可供选择。因此，数千家经销商高度依赖CDK的服务来安排融资和保险、管理车辆和零件库存以及完成销售和维修。

洛杉矶县称25个部门受到2月份网络钓鱼事件的影响

时间：6月25日

官员向Recorded Future News透露，在2月份发起的大规模网络钓鱼活动中，洛杉矶县政府多个部门遭到成功入侵。洛杉矶县是美国人口最多的县，遍布洛杉矶市和其他几个城市，共有近1000万居民。

总体而言，该县38个部门中有25个受到影响，但只有两个卫生相关机构发布了公告。卫生服务部和公共卫生部近几个月分别披露了这些违规行为，并明确指出网络钓鱼事件发生在2月19日至20日之间。  

公共卫生部发言人解释说，受影响的25个部门共有283名县雇员的账户受到网络钓鱼活动的影响。县官员拒绝提供有关可能从非医疗部门窃取的数据的更多信息。

猴痘爆发期间，南非国家卫生实验室因勒索攻击中断服务

时间：6月25日

南非国家卫生实验室服务局（NHLS）上周末遭到入侵，已关闭IT系统。该部门的电子邮件、网站以及检索和存储患者实验室测试结果的系统均已离线。

NHLS是南非公共医疗机构的诊断病理服务部门，拥有一个由265个实验室组成的网络。NHLS于2001年由多个机构合并而成，包括国家传染病研究所、国家职业健康研究所、国家癌症登记处和南非疫苗生产商等众多分支机构和部门。

NHLS首席执行官Koleka Mlisana教授发布备忘录，表示入侵造成了损害，说明NHLS遭受了勒索软件感染或类似的破坏性攻击。

勒索软件攻击通常会加密受害者的数据，向其勒索赎金，以换取解密密钥。攻击者还经常窃取敏感数据，威胁如果不支付赎金就会在线泄露这些数据。目前，南非正处于猴痘爆发期。今年3月，NHLS仍积压了大量等待接受毒理学测试的样本。

奢侈品零售商确认Snowflake账户遭黑客攻击后泄露超6万人数据

时间：6月25日

奢侈品零售商Neiman Marcus证实，该公司遭遇数据泄露，黑客试图出售在最近的Snowflake数据盗窃攻击中窃取的数据库。

在向缅因州总检察长办公室提交的数据泄露通知中，该公司表示，此次泄露影响了64,472人。

“2024年5月，我们了解到，在2024年4月至5月期间，未经授权的第三方获得Neiman Marcus集团使用的数据库平台的访问权限。根据我们的调查，未经授权的第三方获取了存储在数据库平台中的某些个人信息，”Neiman Marcus在数据泄露通知中警告道。

SnowFlake、Mandiant和CrowdStrike的联合调查显示 ，一个被追踪为 UNC5537的威胁行为者利用被盗的客户凭证攻击了至少165个未在其帐户上配置多因素身份验证保护的组织。

新型Medusa恶意软件变种瞄准七个国家的Android用户

时间：6月25日

Android版Medusa银行木马在针对法国、意大利、美国、加拿大、西班牙、英国和土耳其的攻击活动中低调活动了近一年之后再次出现。

自5月份以来，研究人员一直在跟踪这一新活动，该活动依赖于更紧凑的变体，这些变体需要更少的权限，并带有新功能，试图直接从受感染的设备发起交易。

Medusa银行木马也称为TangleBot，是一种于2020年发现Android恶意软件即服务(MaaS) 操作。该恶意软件提供键盘记录、屏幕控制和短信操纵功能。

虽然名称相同，但该行动与勒索软件团伙和基于Mirai的分布式拒绝服务 (DDoS) 攻击的僵尸网络不同。

在线欺诈管理公司Cleafy的威胁情报团队发现了最近的活动，他们表示恶意软件变体更轻，且需要的设备权限更少。

CISA：黑客于1月窃取了化工设施的数据

时间：6月25日

美国网络安全和基础设施安全局 (CISA) 周一证实，1月份发生的一次网络攻击可能已泄露与该国化学设施相关的敏感信息。该攻击最初3月份报告，利用了Ivanti产品的一个漏洞，导致两个系统暂时关闭。

在本周的一份公告中 ，CISA详细说明了1月23日至26日期间发生的网络入侵专门针对化学安全评估工具 (CSAT)。CSAT包含高度敏感的工业数据，虽然所有信息都经过加密，但CISA警告受影响的参与者可能存在未经授权的访问。

CISA的调查没有发现数据泄露的直接证据，但表明黑客可能已经访问了关键信息，例如站点安全计划、安全漏洞评估 (SVA) 和CSAT内的用户帐户。此外，“Top-Screen surveys”调查可能也已被曝光，该调查详细说明了化学品的类型和数量、其特性以及设施中的存储方法。

医疗组织Synnovis确认麒麟勒索软件团伙发布的数据真实有效

时间：6月25日

上周，麒麟勒索软件团伙在其泄密网站上发布了一个数据子集，作为入侵Synnovis系统的证据。如今，这家总部位于伦敦的病理学服务提供商已确认了数据真实性，称这些数据属于与行政工作相关的存储驱动器，并包含可识别患者身份的数据片段。

与俄罗斯麒麟勒索软件团伙有关的黑客于周五公布了约400 GB的敏感患者数据，他们声称这些数据包括姓名、出生日期、 NHS编号以及从Synnovis系统窃取的血液测试描述。

此次网络攻击严重推迟了血液检测工作，一些媒体报道称， NHS患者可能需要等待长达六个月才能采集样本。此前，Synnovis表示，勒索软件攻击已使伦敦各大医院的每日血液采样数量从10000人次大幅下降至每天仅400人次。

BSNL数据再次遭泄露？数百万用户面临SIM卡克隆、金融欺诈的风险

时间：6月26日

印度最大的国有电信服务提供商Bharat Sanchar Nigam Ltd ( BSNL ) 据称遭遇了大规模数据泄露，这是不到六个月内第二次发生此类事件。据报道，BSNL 数据泄露涉及关键数据，包括国际移动用户识别码 (IMSI) 号码、SIM 卡信息、归属位置寄存器 (HLR) 详细信息、DP卡数据，甚至还有BSNL SOLARIS服务器快照，这些数据可能被滥用于SIM卡克隆。

印度公司Athenian Tech在其威胁情报报告中首次披露了BSNL数据泄露事件。根据该报告，一名以别名“kiberphant0m”行事的威胁行为者泄露了大量敏感数据，影响了数百万用户。

威胁者在数据黑客网站BreachForums上发布了此信息，并分享了泄露样本以证明其说法的合法性。总体而言，大约278 GB的敏感信息可能被泄露。

威胁不仅限于消费者，还涉及BSNL的运营和安全。非法访问服务器可能导致服务中断、性能下降以及未经授权访问电信运营。此类信息的泄露对关键基础设施构成严重威胁，并为未来对复杂系统互联的攻击铺平了道路。

LockBit 撒谎：被盗数据来自银行，而非美联储

时间：6月27日

最近受到打击的LockBit勒索软件组织为了东山再起，本周声称已经攻击了美国中央银行美联储。但总部位于阿肯色州的Evolve Bank & Trust周三证实，黑客窃取了其客户信息并将其发布在暗网上。

该银行表示，黑客“在暗网上发布了非法获取的数据，包括个人身份信息（PII）。泄露的数据因人而异，但可能包括您的姓名、社会安全号码、出生日期、账户信息和/或其他个人信息。”

该团伙本周声称已经攻破美国联邦储备委员会，但据报道，首批泄露的据称与该机构有关的文件实际上属于Evolve Bank & Trust。该公司没有提供关于如何访问数据或有多少人受到泄露影响的任何其他信息。

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121