号外:2020年值得关注的20起网络攻击事件!

  • A+
所属分类:安全新闻

号外:2020年值得关注的20起网络攻击事件!


编 者 按

2020年1月至4月,基于云的攻击增加了630%。到目前为止,2020年已发生的大量网络攻击,暴露了数以百万计的数据记录,并对个人和组织实施了最危险的网络犯罪。在今年迄今为止发生的数千起网络攻击中,我们精心挑选了20起最值得关注的网络攻击事件,包括了数据泄露、DDOS攻击、勒索攻击、网站攻击等不同类型事件。对于每个组织、企业和政府实体而言,知道如何预防和降低网络安全风险都是至关重要的。网络安全是基本安全活动和策略的组合,要防止、检测或减轻网络攻击,网络安全最佳实践和基础必须发挥作用。


本文首先分享针对人员、企业和其他实体的网络攻击案例,以及由此引发的数据泄露。其中包括有关攻击者使用泄漏的数据进行财务欺诈、身份盗用、勒索软件攻击、暴力攻击以及未经授权访问用户账户的信息。其次探讨一些网络安全缓解建议,可以通过实施这些安全缓解建议来保护网络安全。


2020年到目前为止的20个网络攻击案例


这些是2020年过去仅半年时间最严峻的网络攻击事件。为了便于追踪,按时间顺序(从1月到8月)整理了2020年值得关注的网络攻击事件清单。


1  |  伊朗黑客攻击美国政府图书馆计划网站

联邦储备图书馆计划(FDLP)网站在2020年1月6日遭到黑客破坏,黑客在该网站上张贴了一张图片,该图像内容包括:
  • 向伊朗已故少将Qassim Soleimani致敬;
  • 一份为指挥官之死报仇的宣言;
  • 一张被篡改的手臂和拳头被贴上“伊朗”标签的照片,打在美国总统唐纳德·特朗普的脸上;
  • 一条信息称“这只是伊朗网络能力的一小部分!”。

攻击者利用错误配置的内容管理系统(CMS)插入图像和消息。虽然这次网络攻击没有涉及数据泄露,但此事件让人们看到了政府拥有网站的面临的网络威胁。攻击者不断搜索可以利用的网站安全状态中的错误配置和小漏洞。


2  |  黑客组织从数学应用Mathway数据库中窃取2500万学生数据

2020年1月,一个名为Siny Hunters的黑客组织从数学解题应用程序Mathway中窃取了2500万名学生的电子邮件地址和口令。报告显示攻击者于2020年5月18日在暗网上以4000美元的价格出售这些数据。

口令是加密的,解密的责任落在了买家身上。即使数据的购买者无法解密口令,拥有2500万个电子邮件地址的列表对于向学生发送带有恶意软件的网络钓鱼或垃圾邮件仍然很有用。


3  |  暗网论坛中出售368万MobiFriends用户敏感数据

根据Risk Based Security的报告,2020年1月12日,一个名为“DonJuji”的黑客试图在暗网黑客论坛上出售近400万MobiFriends用户的敏感数据。2020年4月12日,另一个人在同一网站上没有限制地发布了同样的数据。
MobiFriends是一家总部位于巴塞罗那的颇受欢迎的交友网站。该数据库包括3688060个用户的以下信息:
  • 电子邮件地址;
  • 用户名;
  • 加密口令;
  • 手机号码;
  • 出生日期;
  • 性别;
  • 网站活动。

这些数据包括财富1000强公司的企业电子邮件地址,包括美国国际集团(AIG)、益百利(Experian)、沃尔玛(Walmart)和维珍传媒(Virgin Media)。如果用户使用相同的口令登录他们的公司电子邮件地址,这些公司可能面临与商业电子邮件泄露(BEC)相关的网络犯罪的风险。尽管Risk Based Security报告口令是用MD5算法加密的,但它不被认为是非常强大的哈希算法。


4  |  攻击者对亚马逊发动大规模DDoS攻击

2020年2月,亚马逊网络服务(AWS)成为大规模分布式拒绝服务(DDoS)攻击的目标。该公司经历并缓解了DDoS攻击,其规模为每秒2.3兆比特(Tbps)。它的数据包转发速率为293.1 Mpps,每秒请求速率为694201(rps)。DDoS攻击在一周内造成了三天的威胁加剧,被认为是历史上最大的DDoS攻击之一。


5  |  黑客访问GoDaddy的服务器并窃取用户登录凭据

全球最大的托管服务提供商之一GoDaddy通知其一些客户,GoDaddy托管环境中的SSH文件被更改,导致了2020年4月23日的数据泄露事件。该信通知用户,一个未经授权的人试图使用公开的凭据访问用户的托管账户。
GoDaddy重置了托管账户的用户登录凭据,以防止进一步损坏。他们还向受影响的客户免费提供了为期一年的网站恶意软件清除工具订阅,以弥补此事件。

此事件最令人不安的是时间间隔。虽然这件事发生在2019年10月19日,但GoDaddy直到2020年4月23日才注意到这一点。根据IBM的《2020年数据泄露成本报告》,2020年识别和遏制数据泄露平均需要280天。在这段时间内,攻击者不仅可以利用系统,还可以在暗网上将被攻破的凭据出售给其他网络罪犯。

号外:2020年值得关注的20起网络攻击事件!


6  |  勒索软件攻击从W&T Offshore窃取800 GB敏感数据

安全研究公司Cyble Inc.于2020年4月28日发表了一份关于W&T Offshore遭受勒索软件攻击的报告。报道称,Netfilim勒索软件运营商从这家总部位于德克萨斯州的石油和天然气公司窃取了800G的敏感数据。
报告进一步指出,该公司与攻击者的赎金谈判失败,导致网络罪犯在暗网上泄露了10 GB的数据。泄露的数据包括以下敏感的财务文件:
  • 银行对账单;

  • 日志条目;

  • 公司的风险分析模型;

  • 长期债务报告。


7  |  哥斯达黎加银行1100万信用卡凭证被盗

2020年5月1日勒索软件Maze声称对从哥斯达黎加银行(BCR)网络窃取1100万张信用卡凭证负责。Banco BCR是一家国有商业银行,该银行的网络在2019年8月和2020年2月分别被攻击,但攻击者声称窃取了“几年的数据,其中包括1100万张信用卡”。在这1100万条记录中,400万条是唯一的,有14万条属于美国居民。作为证据,黑客发布了以下信息:
  • 240个信用卡号(没有透露最后四位数字);
  • 卡片到期日;
  • 卡片验证码(CVV)。

攻击者表示,他们无法联系银行相关部门协商赎金。2020年5月22日,Cyble Inc.发布了一份报告,称勒索软件Maze运营商已经开始在暗网上发布Banco客户的信用卡详细信息。攻击者发布了一个2 GB的CSV文件,其中包含各种万事达卡、Visa信用卡和借记卡信息,因为银行没有认真对待他们的泄密勒索。


8  |  黑客在暗网上出售1500万Tokopedia用户数据

该事件源自于数据泄露监测和防范服务下的漏洞。2020年5月2日一条推文分享了一名黑客将1500万Tokopedia客户的个人数据在黑暗网络上出售的消息。这些数据来自3月份发生的一次黑客攻击。5月3日,该公司发布了最新消息,称攻击者拥有9100万条受害者记录,他们以5000美元的价格出售。这些数据包括:
  • 全名;
  • 电子邮件地址;
  • 电话号码;
  • 口令哈希;
  • 出生日期;
  • Tokopedia配置文件相关详细信息。

幸运的是,口令是使用SHA2-384哈希算法加密的,因此黑客无法解密口令HASH。该公司发言人表示,他们已经采取措施保护客户的数据,但仍建议用户更改口令,以防万一。


9  |  澳大利亚内政部泄露774000名移民数据

媒体《卫报》在2020年5月2日发表了一篇报道,指出澳大利亚民政事务总署存在数据库泄漏,该数据库在网上暴露了77.4万名现有和潜在移民的个人详细信息。该数据库泄露了移民的信息,例如:
  • 774326个称为ADUserID的唯一标识符;
  • 189426份已填写完成的意向书;
  • 申请结果;
  • 申请人的出生国国家、年龄、资历和婚姻状况。

在《卫报》发表报道之后,澳大利亚政府将该信息下线。


10  |  黑客在暗网出售Unacademy的21909709名注册用户数据

2020年5月8日一名黑客在暗网上出售印度最大的教育平台Unacademy近2200万用户的数据。安全公司Cyble报告称,黑客以2000美元的价格出售了整个Unacademy数据库,这些数据包含:
  • 姓名;
  • 用户名;
  • 加密口令;
  • 电子邮件地址。

它还包括与Unacademy的用户个人资料及其角色和状态相关的详细信息。泄露的数据库还包含属于Wipro、Reliance Industries、TCS、Google和Facebook等知名组织的公司电子邮件地址。如果用户对其公司电子邮件账户使用相同的口令,攻击者也可以侵入这些公司的电子邮件网络。

当被问及Mint为保护数据而采取的安全措施时,Unacademy的联合创始人Hemesh Singh回应说,滥用泄露的数据获取口令是“极不可能的”。因为他们使用SHA256算法来保护自己的口令,并使用基于一次性口令(OTP)的登录系统来提供双重身份验证(2FA)。 


11  |  网络钓鱼邮件导致超过12000名Nikkei员工数据泄漏

日本著名报纸出版商日经公司(Nikkei Inc.)宣布。其发生了数据泄漏事件,涉及12514名合同工的个人数据。造成该事件的原因是一封来自日经内部网络的钓鱼电子邮件中含有病毒。

该病毒感染了日经内部电子邮件系统的一部分,窃取了12514名合同工的详细信息,包括姓名、隶属关系和电子邮件地址。这些数据是在2020年5月8日泄露的。


12  |  黑客组织ShinyHunters出售7320万条用户记录

黑客组织ShinyHunters列出了包含来自10家公司的总计7320万条记录的个人数据库,在暗网上以1.8万美元的价格出售。2020年5月9日报告中称,ShinyHunters与3月份发生的Tokopedia数据泄露事件是同一个组织。数据被泄露的10家公司名单包括:

号外:2020年值得关注的20起网络攻击事件!


13  |  航空公司EasyJet遭受网络攻击900万客户信息被盗

英国BBC报道称,廉价航空公司易捷航空(EasyJet)是一场高度复杂的网络攻击的受害者,其中900万客户的电子邮件地址和旅行详细信息被盗。报告称,攻击者还可以通过CVV访问2208个客户的信用卡/借记卡号。

尽管EasyJet从1月份就知道了数据泄露事件,但直到5月19日才向公众披露此事。然而,该航空公司确实在4月份通知了支付卡详细信息被盗的客户。易捷航空已经向英国信息专员办公室(ICO)通报了这起入侵事件,以帮助他们进一步调查。


14  |  黑客在暗网上公开230万印尼选民数据

据路透社报道,2020年5月20日一名黑客在黑客论坛RaidForum上公布了230万印尼选民数据。这些数据包含敏感信息,如选民的家庭地址和国民身份证号码。攻击者还威胁要公布其他2亿选民的数据。印尼大选委员会证实了选民数据的真实性。


15  |  Bigfooty.com的泄漏数据库包含132GB客户数据

2020年5月29日,安全研究员Anurag Sen和他的团队在Bigfooty的母公司Big Interest Group LLC的服务器上发现了一个泄露的bigfoy.com数据库。Bigfoy.com是澳大利亚著名的球迷论坛,拥有超过10万会员。
泄漏的Elasticsearch数据库有132 GB的数据,其中包含大约7000万条用户记录。此泄漏影响了多达100000个用户,其中包括以下数据:
  • 用户名;
  • 口令;
  • 电子邮件地址;
  • 手机号码;
  • 与行为和活动有关的个人信息和数据。

在Bigfooty中,用户可以选择匿名。然而,有了上述细节,就有可能追踪到匿名用户的身份,包括那些在私人消息中发送个人威胁和种族主义材料的用户。澳大利亚警察和政府雇员等知名用户发布的评论也可以追踪到。攻击者可以很容易地利用这些细节进行勒索软件攻击、勒索、个人报复以及破坏个人和组织的形象或声誉。
泄露的数据还包括与IP地址和GPS位置相关的网站内部技术信息、操作系统和服务器数据、访问和错误日志等,这些信息可能被黑客用来对网站实施其他严重犯罪。


16  |  加州大学旧金山分校支付114万美元勒索赎金

2020年6月1日,加州大学旧金山分校(UCSF)遭到勒索软件攻击。Netwalker勒索软件运营商对大学医学研究机构的一些重要服务器进行了加密,该机构正在研究新冠肺炎的治疗方法。

尽管该大学的工作人员将被恶意软件感染的服务器与加州大学旧金山分校的核心网络隔离开来,但他们没有任何计划去解锁被黑客入侵的服务器并解密数据。因此,加州大学旧金山分校与黑客进行了谈判,并于2020年6月26日向Netwalker运营商支付了114万美元(116.4比特币)。作为回报,黑客将解密密钥发送给UCSF,他们用来重新访问服务器和丢失的数据。


17  |  Cloudflare成为大规模DDoS攻击目标

2020年6月18日,攻击者对美国领先的网络基础设施和安全公司Cloudflare发动了大规模DDoS攻击。攻击持续了四天,直到6月21日结束。以下是Cloudflare分享的有关攻击严重程度的详细信息:
  • 2020年6月的DDoS网络攻击持续了几个小时,攻击速率超过每秒4-6亿个数据包(PPS)。它的峰值数次超过每秒7亿个数据包;
  • 在攻击的高峰期,超过316,000个不同的IP地址发出了7.54亿个PPS;
  • 使用了三种类型的TCP攻击向量的组合:SYN洪水、SYN-ACK洪水和ACK洪水。

攻击者的目标是一个特定的Cloudflare IP地址,该地址主要用于免费订阅计划中的网站。
幸运的是,Cloudflare的DDoS检测和缓解工具Gatebot检测和处理了该攻击。客户没有感受到停机时间和服务差异。虽然Cloudflare能够成功缓解DDoS攻击,但并不是所有公司都能够做到。对于其他公司,特别是初创公司和小公司来说,几乎毫发无损地逃脱如此大规模的DDoS攻击是一项巨大的壮举。


18  |  130位名人Twitter账户发布比特币诈骗信息

2020年7月15日,几名攻击者侵入了130个知名Twitter账户,并从他们的个人资料中发布了加密货币诈骗信息。Twitter数据显示,这些帖子是遭受社会工程攻击的结果,导致45个账户发表了推文,访问了36个账户的直接消息收件箱,并下载了另外7个账户的Twitter数据。例如,使用乔·拜登(Joe Biden)账户发布的欺诈信息如下:“我在回报社会。所有发送到以下地址的比特币将被加倍退回!如果你转1000美元,我就返2000美元。只有30分钟。”

号外:2020年值得关注的20起网络攻击事件!

受害名人名单包括巴拉克·奥巴马(Barack Obama)、乔·拜登(Joe Biden)、埃隆·马斯克(Elon Musk)、坎耶·韦斯特Kanye West)和比尔·盖茨(Bill Gates),这些人都拥有数百万粉丝。黑客通过这次社会工程攻击获得了Twitter自身内部管理工具的访问权限。Twitter立即暂停所有已验证的用户发布他们账户中的任何内容。然而,攻击者能够欺骗一些人上当,并获得了价值超过10万美元的比特币。


19  |  雅芳泄漏1900万条客户及员工数据

安全检测小组在2020年7月28日揭露了化妆品巨头雅芳服务器中的一些重大漏洞。他们发现一个包含7 GB客户和员工数据的泄漏数据库。这些数据,任何拥有服务器IP地址的人都可以访问,包括姓名、GPS坐标、电子邮件地址、电话号码等所有内容。这些详细信息可用于网络钓鱼攻击和与身份盗窃相关的犯罪。该数据库还包括雅芳内部技术组件的详细信息,例如:
  • 安全令牌、SMS验证服务日志;
  • OAuth tokens;
  • 300万条技术日志条目;
  • 账户设置信息;
  • 11000多个标记为“ salesLeadMap”的条目;
  • 技术服务器信息。

攻击者可以轻松地利用这些详细信息对网站进行大规模网络攻击,或者将数据出售给竞争对手或营销商。
安全侦探团队自己在2020年6月3日发现了泄露的数据库。在向公众公布信息之前,他们联系了雅芳,该公司采取了措施确保信息的安全。


20  |  新西兰各类网站遭受网络攻击

新西兰的各类服务和网站发现其在8月份成为了2020年各种网络攻击的目标。例如Westpac银行、MetService气象新闻网站、Kiwibank和TSB银行之类的实体由于网络攻击而遭受服务中断和问题。

然而,最大的目标之一是新西兰股市(NZX)。8月24日起由于遭受持续五天的严重DDoS攻击,NZX不得不暂停交易。攻击的强度最高时超过每秒1太比特(Tbps)。在受到攻击之前,黑客向NZX发送了一封电子邮件,并就潜在的网络攻击发出了警告。根据Stuff.co.nz的说法,攻击者可能一直在寻求勒索比特币赎金,以阻止攻击。


缓解网络攻击措施及安全建议


从上述2020年的网络攻击事件中可以看到,即使在大型知名组织和政府机构数据也不安全。网络安全是一个持续的过程,因此所有大型组织都有一支致力于数据保护和防止各种类型的网络攻击的网络安全团队。但初创企业、小企业和中小企业通常预算紧张,不一定负担得起聘请网络安全专家的费用。但是,可以遵循一些网络安全技巧来加强公司的网络安全态势。


1  |  加强安全意识培训和教育

员工安全意识淡漠,是一个重要问题。必须经常提供网络安全培训,以确保员工可以发现并避免潜在的网络钓鱼电子邮件,这是勒索软件的主要入口之一。将该培训与网络钓鱼演练结合使用,以掌握员工的脆弱点。确定最脆弱的员工,并为他们提供更多的支持或安全措施,以降低风险。


2  |  强化端点防护

及时加固终端、服务器,所有服务器、终端应强行实施复杂口令策略,杜绝弱口令;安装杀毒软件、终端安全管理软件并及时更新病毒库;及时安装漏洞补丁;服务器开启关键日志收集功能,为安全事件的追溯提供基础。


3  |  关闭不需要的端口和服务

严格控制端口管理,尽量关闭不必要的文件共享权限以及关闭不必要的端口(RDP服务的3389端口),同时使用适用的防恶意代码软件进行安全防护。


4  |  采用多因素认证

利用被盗的员工凭据来进入网络并分发勒索软件是一种常见的攻击方式。这些凭据通常是通过网络钓鱼收集的,或者是从过去的入侵活动中获取的。为了减少攻击的可能性,务必在所有技术解决方案中采用多因素身份验证(MFA)。


5  |  全面强化资产细粒度访问

增强资产可见性,细化资产访问控制。员工、合作伙伴和客户均遵循身份和访问管理为中心。合理划分安全域,采取必要的微隔离。落实好最小权限原则。


6  |  深入掌控威胁态势

持续加强威胁监测和检测能力,依托资产可见能力、威胁情报共享和态势感知能力,形成有效的威胁早发现、早隔离、早处置的机制。


7  |  制定业务连续性计划

强化业务数据备份,对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性;建立安全灾备预案。同时,做好备份系统与主系统的安全隔离,避免主系统和备份系统同时被攻击,影响业务连续性。业务连续性和灾难恢复(BCDR)解决方案应成为在发生攻击时维持运营的策略的一部分。


8  |  定期检查

每三到六个月对网络卫生习惯、威胁状况、业务连续性计划以及关键资产访问日志进行一次审核。通过这些措施不断改善安全计划。及时了解风险,主动防御勒索软件攻击并减轻其影响。

此外,遭到勒索攻击后,无论是企业还是个人受害者,都不建议支付赎金。支付赎金不仅变相鼓励了网络攻击行为,而且解密的过程还可能会带来新的安全风险。



参考资源

【1】https://sectigostore.com/blog/cyber-attacks-2020-notable-2020-cyber-attacks/
【2】天地和兴,2020上半年典型勒索软件,2020.07
【3】https://sectigostore.com/blog/how-to-prevent-malware-risks-in-9-ways/
【4】https://sectigostore.com/blog/5-best-ransomware-protection-tips-to-protect-your-organization/
【5】https://sectigostore.com/blog/top-25-recommendations-for-small-business-cyber-security/




往期精选

1

德国威步公司CodeMeter产品被爆六个严重漏洞使工业控制系统面临重大风险

2

警惕这8种不同类型的恶意软件

3

可信基因生根工控安全

号外:2020年值得关注的20起网络攻击事件!


点击“在看”鼓励一下吧

号外:2020年值得关注的20起网络攻击事件!

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: