为此2024年,网络安全领域经历了一场前所未有的风暴。从微软高管邮箱被黑客攻陷,到全球数百万系统因软件故障陷入瘫痪,这一年充满了惊心动魄的网络安全事件。随着数据泄露规模的不断扩大和勒索软件攻击的愈演愈烈,企业和个人都面临着前所未有的挑战。
在2024年即将结束之际,安全牛盘点了2024年发生的一些网络安全的重大事件,揭示这些事件背后的复杂攻击手段和对全球安全格局的深远影响。在这个数字化时代,网络安全已不再是一个可选项,而是每个组织和个人必须面对的现实。
十大网络安全事件
1.微软高管邮箱被“午夜暴雪”攻陷
2024年1月,微软披露其遭到了威胁组织“午夜暴风雪”的攻击。攻击者主要针对微软的高级领导团队成员以及网络安全、法务等部门的员工,窃取了部分电子邮件和附件,同时还访问了一些源代码库和内部系统。
攻击者首先通过一个遗留的非生产测试租户账户获得访问权限,使用密码喷洒攻击,这种攻击方式涉及同时对多个账户尝试大量常见密码。在获得初步立足点后,他们从被攻陷的账户中窃取了电子邮件和文件。
虽然微软表示此次攻击并未影响客户环境、生产系统、源代码或人工智能系统,但事件暴露了微软内部网络的安全漏洞,包括未启用的多因素认证(MFA)和测试账号权限过大等问题
2.CrowdStrike更新失误致全球Windows系统崩溃
2024年7月19日发生的CrowdStrike更新故障导致的微软“蓝屏死机”故障被认为是历史上最大的IT中断事件之一,影响了全球数百万个系统,并导致各行业面临重大运营挑战。此次故障的估计财务损失约为100亿美元,使其在规模和对全球商业运营的影响方面成为历史性事件。
此次故障是由于CrowdStrike的Falcon Sensor安全软件的配置更新错误引发的。该更新被识别为Channel File 291,包含一个逻辑错误,导致软件驱动程序(CSagent.sys)发生越界内存读取,从而导致系统崩溃。受影响的Windows系统出现了臭名昭著的蓝屏死机。
全球约有850万台微软Windows系统受到影响,导致航空、银行、医疗和紧急服务等关键行业出现广泛中断。此次事件导致的运营失败包括航班取消、支付处理问题和基本服务中断。
3.黎巴嫩突发寻呼机大规模群体爆炸
在2024年9月,黎巴嫩首都境内用于通讯的大量寻呼机被远程引爆,造成至少12人死亡,约2800多人受伤,其中包括数十名真主党成员和伊朗驻黎巴嫩大使。
爆炸是由发出信号的寻呼机引发的,这些寻呼机在引爆前会发出声响。报告显示,这些设备在爆炸前会发出哔哔声或震动,促使用户将其靠近脸部,从而增加了使用者遭受重伤的可能性。调查显示,爆炸物可能隐藏在寻呼机的锂电池内。这种复杂的方式使得在设备被激活之前几乎不可能被检测到。
黎巴嫩移动设备爆炸事件揭示了一个令人不安的趋势:网络攻击正在从虚拟领域向现实物理世界扩展,并已经能够对现实世界造成切实的破坏和伤害。传统的网络攻击主要侧重于窃取数据、破坏数字系统,或通过软件和网络漏洞削弱基础设施。然而,黎巴嫩移动终端爆炸事件表明,网络手段能够直接造成物理破坏,数字攻击可能转化成为实际的人员伤亡。
4.Change Healthcare 因勒索攻击损失25亿美元
2024 年2 月披露的美国医疗支付服务提供商 Change Healthcare 遭遇的勒索软件攻击事件,导致数千家药房和医疗提供者因此面临重大运营挑战,约 1亿人的个人信息受到影响。
臭名昭著的勒索软件组织 ALPHV/BlackCat 声称对此次泄露事件负责。攻击者通过从缺乏多因素认证的 Citrix 门户获取的被盗凭证访问了 Change Healthcare 的系统。他们在网络中潜伏了大约九天,未被发现,随后部署了勒索软件。
此次攻击干扰了超过100个Change Healthcare 应用程序,导致系统中断,影响了全国范围内的计费、保险索赔处理、处方药交付等关键功能。由于系统被加密,许多医院和药房无法正常处理索赔和接收付款,导致医疗服务中断。此外,攻击还导致了大量敏感数据被盗,包括个人身份信息、医疗记录、账单记录和保险数据等。
与此次攻击相关的总成本预计将超过 24.5 亿美元,包括赎金支付、恢复工作和法律责任。据报道,Change Healthcare 支付了 2200 万美元的赎金,尽管这一支付并未阻止另一个名为 RansomHub 的组织进行进一步的敲诈。
5.Snowflake 被黑导致165家企业数据泄露
2024年4月中旬开始,Snowflake披露遭遇重大数据泄露事件,影响了包括Ticketmaster、Santander和AT&T等大型公司在内的至少165个组织,导致大量敏感数据被盗。此次泄露导致超过3000万条银行账户信息、2800万条信用卡号码和大量员工的个人身份信息(PII)被曝光。
黑客组织ShinyHunters利用了Snowflake客户的薄弱安全实践,特别是缺乏多因素认证(MFA)和不良的密码管理,使用从非Snowflake系统的恶意软件攻击中获得的有效凭证获得了访问权限。此次泄露导致敏感客户数据的未经授权访问,包括财务信息和个人身份信息。报告显示,黑客试图在暗网论坛上出售这些数据,声称拥有数百万客户的记录。
在泄露事件发生后,Snowflake公司强调此次事件并非由于其平台的缺陷,而是由于用户账户被攻陷。他们敦促客户实施多因素认证并加强安全配置。
6.美国国家公共数据黑客事件影响1.7亿人
2024年8月,美国国家公共数据披露发生严重的敏感数据泄露事件,引发了对处理敏感个人信息的组织的数据安全实践的严重担忧。在该事件中,黑客暴露了敏感的个人信息,包括社会安全号码、地址和电话号码。此次数据泄露事件涉及 29 亿条记录,可能影响到多达 1.7 亿人,涵盖美国、英国和加拿大。
2023 年底,黑客试图渗透国家公共数据的系统。攻击者利用了NPD基础设施中的多个安全漏洞,包括未修补的软件缺陷和薄弱的访问控制。这些弱点使他们能够获得未经授权的访问权限,并在网络内横向移动,未被检测到长达数月。到 2024 年4 月,被盗数据已在暗网上出售。泄露的全部范围在 2024 年8 月变得明显,导致多起针对该公司的诉讼。
国家公共数据因此面临严重后果。该公司于 2024年10 月申请破产,并最终在 12 月关闭。
7.网络攻击导致西雅图机场陷入混乱
2024年8月,由美国西雅图港管理的西雅图-塔科马国际机场(SEA)遭遇了一次重大的勒索软件攻击,导致广泛的运营混乱和干扰。这一事件因其对机场服务的影响以及在高峰旅行期间给旅客带来的挑战而备受关注,并提醒业界针对关键基础设施的网络犯罪分子所带来的威胁正在不断增长。
勒索软件组织Rhysida在发起攻击后,要求支付600万美元的比特币,威胁称如果不满足他们的要求,将公开从机场系统中窃取的敏感数据。
此次攻击影响了多个关键系统,包括乘客显示屏、Wi-Fi连接、自助值机、售票和行李处理系统和flySEA移动应用程序和西雅图港网站等。尽管航班继续运营,但许多服务受到严重影响。由于自动化系统的故障,乘客不得不依赖人工值机和纸质登机牌。这种情况在繁忙的劳动节周末造成了长队和旅客间的混乱。
到9月初,西雅图港宣布大部分受影响的系统已恢复。然而,一些关键功能在攻击后仍然离线数周。联邦调查局(FBI)和其他机构对该事件展开了调查。虽然在攻击过程中一些数据被加密,但在系统恢复后没有发现其他恶意活动的证据。
8.AT&T泄露超亿个客户敏感信息
2024年7月,AT&T披露遭遇了一次重大的数据泄露事件,暴露了近乎1.09亿客户敏感信息,这一数据几乎覆盖所有其无线客户。该事件对这家电信巨头造成了广泛的影响。
该泄露事件发生在2024年4月14日至4月25日之间,涉及对托管在第三方云平台上的AT&T工作区的未经授权访问。黑客组织ShinyHunters利用云服务上不安全的存储账户窃取客户数据。
此次泄露涉及约1亿AT&T无线客户的通话和短信记录,以及使用AT&T网络的移动虚拟网络运营商(MVNO)客户的数据。
AT&T在2024年5月向攻击者支付了约37万美元的加密货币,以确保删除被盗数据并获得其销毁的证明。联邦通信委员会(FCC)在泄露事件后对AT&T的数据保护措施展开了调查。2024年9月,AT&T同意支付与该调查相关的1300万美元和解金。在泄露事件后,AT&T面临多起来自受影响客户的集体诉讼,寻求对其数据暴露的问责。
9.伦敦多家NHS医院因勒索攻击运营受影响
2024年6月初,病理学和诊断服务提供商Synnovis遭受勒索软件攻击,严重影响伦敦几家大型英国国家医疗服务体系(NHS)医院的运营,攻击迫使受影响的医院取消部分医疗程序,部分患者被转至其他医院。NHS发出紧急呼吁,倡议伦敦市民捐献O型血。
Synnovis是欧洲最大的医疗检测和诊断提供商SYNLAB的病理学合作伙伴。6月3日,Synnovis在其网站上发布公告,承认遭遇勒索软件攻击,攻击影响了Synnovis的所有IT系统,导致许多病理学服务中断。
伦敦NHS发表了关于Synnovis勒索软件攻击的声明,证实该事件对盖伊医院和圣托马斯医院、伦敦国王学院医院以及伦敦东南部初级保健服务产生重大影响。
NHS确认勒索软件攻击已扰乱血液配型测试,因此受影响的医院正在为无法等待血液配型检测的患者使用O型血液,NHS呼吁市民紧急捐献O型血。
10. Ivanti零日漏洞被大规模利用
在2024年初,研究人员观察到Ivanti 云服务设备的Connect Secure和Policy Secure网关中存在多个零日漏洞被利用。关于进一步漏洞和实际利用的报告迅速出现,影响了包括政府、军事、电信、技术、金融、咨询和航空航天等多个行业的Ivanti客户。
在攻击过程中,攻击者同时利用了多个漏洞,特别是 CVE-2024-9379、CVE-2024-9380 和 CVE-2024-9381,以及之前披露的路径遍历漏洞 CVE-2024-8963。这种链接允许攻击者提升权限并执行任意命令,从而显著增加数据泄露和系统泄露的风险。
美国网络安全和基础设施安全局(CISA)在1月发布了一项紧急指令,要求所有政府民用联邦机构缓解这些零日漏洞的风险。
2024年网络攻击的几个关键特征
安全牛分析发现,2024年发生的重大网络安全事件主要呈现出以下6个特点:
1. 多因素认证的缺乏和密码管理不善
多个事件(如微软和Snowflake的攻击)表明,缺乏多因素认证和不良的密码管理是导致数据泄露的主要原因之一。攻击者利用这些弱点,通过密码喷洒和凭证盗窃等方式获得访问权限。
2.勒索软件攻击的广泛影响
勒索软件攻击在2024年继续对各行业造成重大影响,包括医疗、航空和公共基础设施等领域。攻击者不仅窃取数据,还通过加密关键系统来中断运营,要求高额赎金。
3. 物理世界的网络攻击
黎巴嫩的寻呼机爆炸事件表明,网络攻击正在从虚拟领域扩展到物理世界,能够直接造成物理破坏和人员伤亡。这种趋势显示出网络攻击的复杂性和潜在的危险性。
4.关键基础设施的脆弱性
西雅图机场和NHS医院的攻击事件突显了关键基础设施在面对网络攻击时的脆弱性。这些攻击导致了广泛的运营中断,影响了大量人员的日常生活。
5.日漏洞的利用
Ivanti的零日漏洞被大规模利用,显示出攻击者对新发现的漏洞迅速加以利用的能力。这种情况增加了各行业面临的安全风险,尤其是那些依赖于特定技术和服务的行业。
6. 数据泄露的规模和影响
2024年发生的多起数据泄露事件(如AT&T和美国国家公共数据)涉及数亿条记录,影响范围广泛。这些事件引发了对数据保护措施的质疑,并导致了法律和财务后果。
总体而言,2024年的网络攻击显示出攻击手段的多样化和复杂化,强调了加强网络安全措施和提高对新兴威胁的响应能力的重要性。通过对这些事件的回顾,我们希望能够为企业和个人提供有价值的见解,帮助他们在这个充满挑战的数字时代更好地保护自己的信息和资产。
