一周全球重大网络安全事件速递（第三十二期）

=====================================================================================================================================================================================

法国陷入困境：大面积光缆破坏导致电信网络中断

时间：7月29日

光纤电缆遭到协同攻击，导致法国多个电信服务一夜之间中断。SFR、Free和Alphalink等主要提供商报告网络中断和性能下降，影响了固定电话和移动用户。

此次光缆破坏事件被当局描述为“故意破坏”，发生在全国多个地区。尽管首都巴黎幸免于难，但袭击发生在奥运会期间，引发了人们对潜在安全威胁的担忧。

法国第二大电信运营商SFR证实其长途电缆遭到严重损坏。“我们的长途光纤网络昨晚在多个部门遭到破坏。受影响最严重的地区可能仍会中断。我们所有团队都已动员起来，让您重新连接网络。”该电信运营商表示。

430万人受到HealthEquity数据泄露的影响

时间：7月29日

总部位于犹他州德雷珀的著名金融科技和商业服务公司HealthEquity证实发生了一起重大数据泄露事件，影响了数百万个人。此次泄露事件于2024年3月发现，并于2024年6月确认，涉及未经授权访问430万人的敏感个人信息 (PII)，其中包括13480名缅因州居民。

根据美国证券交易委员会 (SEC) 的一份文件，HealthEquity检测到一名业务合作伙伴的个人设备上存在异常活动。后续调查显示，该合作伙伴的用户帐户已被盗用，允许未经授权访问信息，包括部分成员的个人身份信息和受保护的健康信息 。

印度报告2024年上半年发生593起袭击事件

时间：7月30日

印度的网络攻击已达到令人震惊的程度，2024年上半年报告了593起此类事件。根据最近的一份报告，教育、政府和技术部门成为最容易受到攻击的目标。

网络攻击激增凸显了印度经济所有部门迫切需要采取强有力的网络安全措施。报告提到，网络攻击的可能性只会增加，因此企业和政府实体必须领先于不断变化的威胁形势。

FalconFeeds发布的《印度数据泄露报告》显示，2024年上半年，印度发生了388起数据泄露事件（65.4%）、107起数据泄露事件（18.0%）、59 起访问权销售或泄露事件（9.9%）和39起勒索软件团伙活动（6.6%）。今年1月至6月，除教育、政府和技术外，医疗保健、银行、制造业和消费者服务业也遭遇了严重的网络攻击。

报告称：“数据泄露是最常见的网络攻击类型，表明许多组织缺乏强大的数据保护措施。敏感信息仍然极易受到未经授权的访问和曝光。数据泄露紧随数据泄露之后，进一步凸显了改进数据安全实践的必要性。”

破纪录！Dark Angels勒索软件收到7500万美元赎金

时间：7月30日

根据Zscaler ThreatLabz的报告，一家财富50强公司向Dark Angels勒索软件团伙支付了创纪录的7500万美元（约5.4亿元人民币）赎金。

“2024年初，ThreatLabz发现一名受害者向Dark Angels支付了7500万美元，高于任何公开的金额——这一成就必将引起其他攻击者的兴趣，他们希望通过采用他们的关键策略来复制这种成功，”  2024年Zscaler勒索软件报告中写道。

加密情报公司Chainalysis在X上发布了推文，进一步证实了这笔破纪录的付款。此前已知的最大赎金为4000万美元，是保险巨头CNA在遭受Evil Corp勒索软件攻击后支付的。

虽然Zscaler没有透露哪家公司支付了7500万美元的赎金，但他们提到该公司位列财富50强，并且攻击发生在2024年初。2024年2月遭受网络攻击的财富50强公司之一是制药巨头Cencora，在榜单上排名第10，没有任何勒索软件团伙声称对此次攻击负责，这可能表明有人支付了赎金。

Black Basta勒索软件转向更具规避性的自定义恶意软件

时间：7月30日

Black Basta勒索软件团伙表现出了强大的韧性和适应不断变化的空间的能力，他们使用新的定制工具和策略来逃避检测并在整个网络中传播。

Black Basta是一个勒索软件运营商，自2022年4月以来一直活跃，并对全球公司发动了500多次成功攻击。该勒索软件组织采用双重勒索策略，将数据窃取和加密相结合，并索要数百万美元的巨额赎金。该勒索软件团伙此前曾与QBot僵尸网络合作，以获得对企业网络的初步访问权。

然而，在QBot僵尸网络被执法部门捣毁后，Mandiant报告称勒索软件团伙不得不建立新的合作伙伴关系来入侵企业网络。

新版复杂间谍软件在谷歌应用商店中存在两年却未被发现

时间：7月30日

一种名为Mandrake的复杂网络间谍工具被发现出现在近两年在Google Play上可供下载的五款应用中，目标是加拿大、德国、意大利、墨西哥、西班牙、秘鲁和英国的用户。

根据网络安全公司卡巴斯基周一发布的报告，这些应用程序已被安装超过32000次，但未被任何安全工具检测到。

Mandrake之前被描述为“一种极其复杂的Android恶意软件”。它是2020年由罗马尼亚网络安全公司Bitdefender的研究人员发现的，但在此之前已在野外活跃了至少四年。研究人员估计四年期间的受害者人数达“数十万”。

IBM年度报告：

数据泄露成本接近500万美元，医疗保健行业受创最为严重

时间：7月30日

根据IBM的年度网络安全事件报告，遭遇数据泄露的企业预计平均遭受近500万美元的经济损失，比去年增长10%。

这家科技巨头与Ponemon Institute合作，研究了2023年3月至2024年2月期间受到数据泄露影响的604家组织。这些泄露事件影响了16个国家和地区的17个行业，泄露的个人记录数量从2,100条到113,000条不等。

最让IBM感到吃惊的是，全球数据泄露平均成本大幅上升，创下疫情以来的最大增幅。2023年，数据泄露成本为445万美元。IBM Security副总裁Kevin Skapinetz表示：“企业陷入了漏洞、遏制和后果应对的持续循环中。现在，这种循环通常包括投资加强安全防御，并将漏洞费用转嫁给消费者——这使得安全成为开展业务的新成本。”

俄罗斯和摩尔多瓦遭黑客组织新一轮网络间谍活动攻击

时间：7月30日

研究人员发现，一个名为XDSpy的网络间谍组织最近利用一种新的恶意软件变种攻击了俄罗斯和摩尔多瓦的受害者。

在本月初的一次活动中，这个疑似与国家有关的组织向俄罗斯的目标发送了网络钓鱼电子邮件，其中包括一家开发收银机软件的科技公司，以及位于俄罗斯控制的摩尔多瓦分离地区德涅斯特河沿岸的一个身份不明的组织。

俄罗斯网络安全公司FACCT发现的恶意电子邮件包含指向合法可执行文件档案的链接，这使得攻击者可以在不引起怀疑的情况下运行恶意代码。

在这些攻击中，黑客使用了一种之前未知的工具，研究人员将其称为XDSpy.DSDownloader。FACCT没有透露黑客是否成功侵入受害者的系统并窃取数据。据FACCT称，XDSpy的大多数目标与俄罗斯的军事、金融、能源、研究和采矿业有关。

CISA警告称VMware ESXi漏洞可能被利用于勒索软件攻击

时间：7月30日

CISA已命令美国联邦民事行政部门 (FCEB) 机构保护其服务器，以防止勒索软件攻击利用的VMware ESXi身份验证绕过漏洞。

博通子公司VMware在6月25日发布ESXi 8.0 U3时修复了微软安全研究人员发现的这个漏洞 ( CVE-2024-37085 )。

尽管成功利用该漏洞需要用户交互和高权限才能实现，并且VMware将该漏洞评定为中等严重性，但微软周一透露，多个勒索软件团伙已在利用该漏洞升级到加入域的虚拟机管理程序的完全管理员权限。

到目前为止，CVE-2024-37085已被追踪的多家勒索软件运营商利用，以部署Akira和Black Basta勒索软件。

美国主要血液中心遭受勒索软件攻击，导致数百家医院实施短缺协议

时间：7月31日

在勒索软件黑客关闭其部分系统后，美国最大的血液中心之一的运营能力下降。

为东南部医疗机构提供血液的非营利组织OneBlood于周三发表声明，警告公众勒索软件攻击正在影响他们的运营能力。“我们实施了手动流程和程序以保持运营。手动流程需要更长的时间才能完成，并且会影响库存可用性，”OneBlood企业传播高级副总裁Susan Forbes表示。

“为了进一步管理血液供应，我们已要求我们服务的250多家医院启动紧急血液短缺协议，并暂时保持该状态。”

OneBlood表示，目前正与网络安全专家以及联邦和州政府官员合作解决危机。该组织向阿拉巴马州、南卡罗来纳州、佛罗里达州、佐治亚州和北卡罗来纳州的数百家医院提供血液和其他医疗用品。

哥伦布正在调查勒索软件攻击后可能出现的数据泄露

时间：8月1日

俄亥俄州哥伦布市政府表示，已经获悉一个勒索软件团伙声称正在出售大量敏感的城市信息。此次攻击是在7月18日被发现的。

周四，当记者就该帖子联系到一位市政府发言人时，他表示他们已经知道此事，但无法发表评论，并补充说情况“既严重又持续”。这位发言人表示，他们无法透露更多细节，因为他们正在支持“有效调查”，并且需要“保护我们的IT基础设施和机密信息”。

城市调查人员表示，黑客“通过互联网网站下载，而不是电子邮件链接”进入了该市的系统。

NCA宣布取缔“Russian Coms”仿冒服务，犯罪嫌疑人在伦敦被捕

时间：8月1日

英国国家犯罪局 (NCA) 周四宣布，两名涉嫌开发和管理“Russian Coms”来电显示欺骗服务的人员已在伦敦被捕。

NCA表示， Russian Coms成立于2021年，“据信造成了数千万美元的经济损失”，仅在英国就有约17万名受害者。尽管它的名字如此，但据信它与俄罗斯联邦没有任何联系。

据悉，使用该服务的诈骗者 — — 该服务最初是通过改装的摩托罗拉智能手机提供的，最近则以网络应用程序的形式提供 — — 已经拨打了全球107个不同的国家，其中包括美国、新西兰、挪威、法国和巴哈马。

尽管目前尚不清楚该平台造成的损失总额，但警方表示，他们已检测到俄罗斯通讯用户向50万个唯一电话号码拨打了130多万个电话，其中约17万个电话持续时间超过5分钟，这表明诈骗行为已成功实施。

矿业巨头弗雷斯尼洛确认发生网络安全事件：业务正常继续

时间：8月1日

全球最大的原银生产商和墨西哥最大的黄金生产商Fresnillo plc报告了一起网络安全事件，导致某些IT系统和数据遭到未经授权的访问。该公司在得知Fresnillo网络安全事件后，立即按照既定程序启动了应对措施。

Fresnillo plc宣布其遭遇网络安全事件，导致某些IT系统和数据被未经授权访问，”官方通知中写道。

该公司是贵金属行业的重要参与者，在伦敦和墨西哥证券交易所上市，在墨西哥经营八座矿山。作为全球领先的主要白银生产商和黄金生产的重要参与者，弗雷斯尼洛股份有限公司的网络安全事件凸显了采矿业面临的网络攻击威胁日益增加。采矿业严重依赖技术和数据管理系统，正日益成为网络犯罪分子的目标。

FBI和CISA发出紧急警告：

DDoS攻击可能会破坏2024年美国选举基础设施

时间：8月1日

随着2024年美国大选临近，美国联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA) 发布了联合声明，以提高人们对分布式拒绝服务 (DDoS) 攻击对选举基础设施的潜在影响的认识。虽然这些低级DDoS攻击可能会破坏公众对选举相关信息的访问，但它们不会损害投票过程的安全性或完整性。

预计DDoS攻击将针对与选举相关的功能，例如选民查询工具或非官方选举之夜报道，可能会造成暂时中断。不过，FBI和CISA强调，这些攻击不会影响实际投票过程。

威胁行为者可能会利用DDoS攻击制造选举妥协的虚假故事，旨在破坏公众对2024年美国大选的信心。从历史上看，DDoS攻击一直是具有社会、政治或意识形态动机的黑客活动分子和网络犯罪分子青睐的策略。

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121