2023年12月国外重大网络攻击回顾

2023 年 12 月，数字世界发生了一系列重大网络攻击，波及多个行业。这些事件（其中一些是由BlackCat (ALPHV) 勒索软件、KillNet、Cyber Av3ngers、Cyber Toufan 和 BidenCash 等知名威胁行为者发起的）生动地说明了加强我们的数字防御和保护我们的数据的重要性。

在这篇博文中，我们将深入研究 2023 年 12 月发生的重大网络攻击，检查其后果，为加强未来的网络安全工作汲取宝贵的经验教训。

美国国家信用社管理局(NCUA)证实，Trellance 旗下的云 IT 提供商 Ongoing Operations 遭受勒索软件攻击，导致全美约 60 家信用社的服务中断。

据信，该事件利用了 Citrix Bleed 漏洞，给 Ongoing Operations 的客户造成了数天的中断，其中 Mountain Valley Federal Credit Union 就遭遇了系统停机。 

Tipalti 遭遇 ALPHV/BlackCat 勒索软件攻击：超过 265 GB 数据受损

2023 年 12 月初，以复杂网络攻击而闻名的ALPHV/BlackCat勒索软件组织将目标锁定为 Tipalti，这是一家专门从事自动支付处理服务的著名金融科技公司。

9 月 8 日披露的此次泄露事件泄露了超过 265GB 的敏感业务数据，影响了 Tipalti 及其知名客户，包括 Roblox 和 Twitch。

您可以在我们的博客文章中阅读有关此事件的更多信息：ALPHV/BlackCat 勒索软件攻击 Tipalti，威胁 Tipalti 的客户

Kyivstar 网络攻击中断了一半乌克兰移动用户的服务

乌克兰电信运营商 Kyivstar 遭受网络攻击，导致互联网访问和移动通信中断。该事件发生之际，乌克兰总统泽伦斯基正在访问华盛顿寻求更多军事援助。 

虽然 Kyivstar 保证用户的个人数据不会受到损害，但市场分析公司 Telegeography 估计由 Kyivstar 提供服务的乌克兰移动用户群中约有一半受到了影响。首席执行官亚历山大·科马罗夫（Oleksandr Komarov）并未直接将此次攻击归咎于俄罗斯国家黑客，但表示其可能是攻击来源。

这次停电导致空袭警报器出现故障，影响了军事警报，并扰乱了全国零售商店的信用卡支付和 ATM 访问。俄罗斯黑客组织KillNet声称对此事负责，但网络安全专家对这一说法的合法性表示怀疑。

GUR 声称俄罗斯税务服务遭受网络攻击：超过 2,300 个区域服务器可能受到影响

2023 年 12 月，乌克兰国防情报局 (GUR) 声称对俄罗斯国家税务局遭受的网络攻击负责，声称感染了数千台服务器，其中包括一台受到良好保护的关键中央服务器和2,300多个地区服务器。

据称，这次行动导致该机构的基础设施被完全破坏，包括支持俄罗斯税务系统的关键配置文件。GUR 声称联邦税务局 (FNS) 瘫痪了一个月，中央办公室和地区分支机构之间的互联网连接也中断了。

虽然这些说法未经证实，也没有得到俄罗斯或 FNS 的承认，但所谓的影响仍然很大。

Delta Dental 的 MOVEit 数据泄露导致约 700 万患者暴露

牙科保险公司 Delta Dental of California 披露，由于通过 MOVEit 文件传输软件进行未经授权的访问， 导致6,928,932 名患者遭受数据泄露。

该事件是 Cl0p 勒索软件造成的第三大 MOVEit 泄露事件，仅次于Maximus和Welltok泄露事件。 

Delta Dental 于 2023 年 6 月 1 日检测到该漏洞，并确认 2023 年 5 月 27 日至 30 日期间存在未经授权的访问和数据盗窃。此次泄露暴露了姓名、财务帐号和信用卡/借记卡详细信息，包括安全代码。

Cooper 先生的网络攻击暴露了近 1500 万人的个人信息

美国最大的非银行抵押贷款服务商库珀先生透露，2023 年 10 月的一次网络攻击导致14,690,284人的个人信息泄露。该公司在 11 月份遭遇技术故障，影响了尝试付款的客户。 

经过调查，库珀先生透露，2023 年 10 月 30 日至 11 月 1 日期间，其系统遭到未经授权的访问。泄露的数据包括姓名、地址、电话号码、社会安全号码、出生日期和银行账号。 

虽然该公司没有确认这是否是勒索软件攻击，但已采取措施控制事件并保护客户信息。

Xfinity 客户数据因 Citrix 服务器泄露而受损

Comcast Cable Communications (Xfinity) 透露，10 月份 Citrix 服务器遭到破坏后，敏感的客户信息遭到泄露。

10 月 16 日至 19 日期间，Xfinity 网络内发现了可疑活动，导致攻击者窃取了某些客户数据。经过调查，Xfinity 于 2023 年 12 月 6 日确认，被窃取的客户数据包括用户名和哈希密码，可能包括姓名、联系方式、社会安全号码 (SSN) 的最后四位数字、出生日期和安全问题。

Xfinity 立即解决了被跟踪为CitrixBleed 的漏洞，敦促客户重置密码作为预防措施。

在 SOCRadar 上阅读有关 CitrixBleed 漏洞 (CVE-2023-4966) 的更多信息：Citrix NetScaler 和 WinRAR 中的零日漏洞正在被积极利用（CVE-2023-4966、CVE-2023-38831）

针对 ESO 解决方案的勒索软件攻击导致供应链受损：270 万名患者受到影响

医疗保健软件提供商 ESO Solutions 于 9 月 28 日遭遇勒索软件攻击，导致270 万名患者的数据泄露，并导致供应链出现问题。

黑客在加密公司系统之前窃取了数据，影响了与 ESO 客户的美国医院和诊所相关的患者。泄露的信息包括全名、出生日期、电话号码、医疗记录、诊断和治疗详细信息以及社会安全号码 (SSN)。

受影响的客户于 12 月收到通知，密西西比浸信会医疗中心和普罗维登斯圣约瑟夫健康中心等受影响的医院向患者发出了违规通知。

拜登现金 (BidenCash) 泄露 190 万张信用卡详细信息

SOCRadar 暗网团队在一个黑客论坛上发现了一起重大数据泄露事件，揭露了2022 年 6 月成立的信用卡市场拜登现金 ( BidenCash)的190 万张信用卡详细信息被泄露的情况。

2023 年 12 月，BidenCash 在一个黑客论坛上披露了 190 万张信用卡号码，并声称实施了买家保护系统。正如威胁行为者的帖子中提到的，该系统旨在确保数据新鲜度，并通过实时跟踪对过时材料的供应商进行惩罚——这表明地下市场的演变。

此类泄密构成严重威胁，可能导致未经授权的交易、财务损失以及受影响个人身份盗用的风险增加。

请在以下 SOCRadar 博客文章中了解最新 BidenCash 数据泄露的详细信息：BidenCash 大规模数据泄露：黑客论坛上暴露了 190 万张信用卡详细信息

LoanCare 数据泄露：超过 130 万人因房地产交易中断而受到影响

2023 年 12 月下旬，Fidelity National Financial 的子公司 LoanCare 在 11 月发生网络攻击后向监管机构报告了一次数据泄露事件，此次攻击由 ALPHV/Blackcat 勒索软件团伙负责。

此次泄露影响了1,316,938人，并对房地产交易造成了数天的严重中断，富达国家金融网络内的某些系统遭到未经授权的访问。威胁行为者获得了包括姓名、地址、社会安全号码和贷款号码在内的信息。

还需要注意的是，该事件发生后不久，执法行动就查获了 ALPHV 的数据泄露站点。有关详细信息，请访问我们的博客文章“ ALPHV 被扣押、未扣押、解密；潘多拉魔盒可能会重新打开。”

网络复仇者据称泄露了以色列的电力基础设施数据

2023 年 12 月，Cyber Av3ngers 黑客组织声称出售来自以色列电力基础设施的 1TB 数据。该数据集的要价定为5 BTC，并在“DAILY PARK WEB”平台上发布。

该组织在 Twitter 上提供了证据文件，其中包含有关联合循环燃气轮机 (CCGT) 的信息、发电厂的航拍图、供电蓝图和其他关键细节。不过，他们的说法的真实性尚未得到证实。

您可以在我们的暗网简介帖子中找到有关网络 Av3ngers 的操作以及策略、技术和程序 (TTP) 的详细信息。

Cyber Toufan 声称已泄露 60 多名受害者，其中包括 SpaceX、丰田、宜家

在加沙持续的冲突中，一个名为 Cyber Toufan 的亲巴勒斯坦黑客组织声称对以色列实体实施了数十起数据泄露事件。 

该组织于 11 月底开始行动，到 12 月底，该组织声称已成功泄露并泄露了 60 个站点的数据。这些目标涵盖各个行业的组织，包括网络安全公司、政府机构等，其中包括 SpaceX、丰田和宜家等以色列和外国公司。

原文始发于微信公众号（河南等级保护测评）：2023年12月国外重大网络攻击回顾