重大网络攻击回顾：2024 年 1 月

在这篇文章中，我们将回顾 2024 年 1 月发生的关键网络安全事件、它们的重要性，以及它们可以为我们提供有关保护数字未来的经验教训。

    此外，我们强烈建议您查看我们最近关于今年网络安全预测的博客文章。本文从 Fortinet 的报告中汲取见解，并引用了 2023 年引起我们关注的关键事件，让我们一睹 2024 年的威胁格局，为展望未来的网络安全挑战提供了宝贵的背景。

PJ&A 违规影响了治疗提供商和数百万患者

总部位于德克萨斯州的治疗提供商 Concentra Health Services 披露，由于医疗转录机构 Perry Johnson & Associates (PJ&A) 遭到黑客攻击，导致近400 万患者遭受数据泄露。

此次泄露泄露了个人数据，包括姓名、出生日期、地址、医疗记录，在某些情况下还包括社会安全号码和临床信息。

该事件已向美国卫生与公众服务部报告，影响了不同客户的至少 1400 万人。此外，它引发了针对 PJ&A 及其客户的多起诉讼，指控其数据安全疏忽。

黑客发现像 PJ&A 这样的医疗转录公司很有吸引力，因为它们处理大量详细的患者数据，而且安全措施历来薄弱。建议医疗保健组织优先考虑此类业务伙伴的网络安全政策，以降低违规风险。

Akira 声称英国化妆品巨头 Lush 的 110GB 数据被盗

Akira 的 Lush 受害者名单

2024 年 1 月，Akira 声称从英国全球化妆品品牌 Lush窃取了110 GB数据。这些数据包括与会计、财务、税务、项目和客户有关的公司文件，威胁行为者威胁要公开披露这些数据。

此外，据称被盗数据包含大量个人文件，包括 Lush 在招聘过程中收集用于身份验证的护照扫描件。这表明 Akira 的附属机构可能有权访问包含员工相关信息的系统。

目前没有证据表明客户数据被泄露。

Lush 的系统是否经过加密仍不清楚；Akira团伙主要从事敲诈勒索计划。尽管如此，Lush 的运营并未受到明显干扰，这表明加密可能不是本次事件的重要因素。

1500 万个 Trello 账户信息被泄露

1 月 16 日，一名威胁行为者在黑客论坛上发布了Trello 数据库，其中包含15,115,516 个条目，包括来自 Trello.com 的电子邮件、用户名、全名和其他帐户详细信息。威胁行为者打算通过 Telegram 将这些数据出售给单个买家。

虽然数据库中的大部分数据可以从公共来源获得，但相关的电子邮件地址应该是私人信息。

后来发现，公开的 API 用于将电子邮件地址与公共 Trello 个人资料链接起来。Trello 提供了一个 REST API 来集成到应用程序中，其中一个 API 端点允许开发人员使用用户的 Trello ID 或用户名请求有关配置文件的公共信息。

然而，数据库帖子背后的威胁行为者发现，使用电子邮件地址查询此 API 端点还会获取关联的帐户详细信息。他们编制了数百万个电子邮件地址的列表来检查关联性，从而导致了泄露的 Trello 数据库的创建。

LoanDepot 勒索软件事件导致 1660 万客户数据受损

LoanDepot 遭受网络攻击（SOCRadar 暗网新闻）

2024 年 1 月，针对 LoanDepot 的网络攻击导致约1660 万客户的敏感个人数据受损。该攻击被标记为勒索软件事件。

LoanDepot 没有透露有关被盗的具体客户数据的详细信息。尽管努力恢复了一些客户门户，但在攻击发生后的第二周，一些在线服务仍然无法访问。截至目前，受影响的客户报告说，自 1 月 8 日左右发生事件以来，付款或访问在线账户时遇到困难。尽管如此，loanDepot 报告称，在迅速恢复系统和恢复正常业务运营方面取得了进展。

VF Corp. 遭遇勒索软件攻击：3550 万客户数据遭到泄露

去年 12 月，Vans、Supreme 和 The North Face 等品牌的母公司 VF Corp. 遭到网络攻击，导致 3550 万客户的个人数据遭到泄露。被盗的具体数据仍未公开。不过，该公司强调，它不包括敏感的客户数据，如社会安全号码、银行详细信息和支付卡信息；也没有证据表明密码被盗。

VF Corp. 之前的确认暗示运营中断可能与勒索软件攻击有关。随后，网络犯罪组织ALPHV（也称为 BlackCat）声称对此次泄露负责。

乌克兰男子因运营 100 万台虚拟服务器并通过加密货币劫持敛取 200 万美元而被捕

当局在乌克兰逮捕了一名 29 岁男子，他被指控策划大规模加密货币劫持行动，通过被黑帐户创建的 100 万个虚拟服务器积累了200 万美元的加密货币。

欧洲刑警组织披露了嫌疑人的被捕情况，并称他为一项大规模计划背后的策划者，该计划利用云计算资源进行加密货币挖矿。

调查是在一家云服务提供商于 2023 年 1 月报告账户遭到泄露后展开的。欧洲刑警组织与乌克兰执法部门和提供商合作，收集运营情报以跟踪和识别黑客。

通过受感染帐户的管理访问权限，犯罪者生成了超过一百万台用于加密货币挖掘的虚拟计算机。乌克兰官员证实嫌疑人使用 TON 加密货币钱包转移非法收益，总计约 200 万美元。

2024 年 1 月 9 日，当局查获了计算机设备、银行卡、SIM 卡、电子介质和其他活动证据。嫌疑人的网络活动被发现可以追溯到 2021 年，当时他使用自动化密码破解工具入侵了一家全球电子商务子公司的1,500 个账户，但具体实体仍不明。

Hathway 数据泄露暴露了数百万用户帐户

Hathway 违反 SORadar暗网新闻

2023 年 12 月，一个名为“dawnofdevil”的威胁行为者利用 Laravel 框架中的漏洞，策划了针对印度著名 ISP Hathway 的数据泄露事件。

威胁行为者试图以 10,000 美元的价格出售这些数据，然后将其泄露到违规论坛上。此次泄露暴露了包括姓名、电子邮件地址、电话号码和 KYC（了解您的客户）详细信息在内的数据。他们后来开发了一个暗网搜索引擎，允许潜在的受害者检查他们的数据是否受到影响。

消除重复项后，受感染用户帐户的初始计数显示了 400 万条唯一记录。

用户会收到针对与该事件相关的网络钓鱼尝试的警告，但会放心密码并未包含在泄露中。

美国证券交易委员会通过 SIM 卡交换进行的网络攻击引发了比特币价格飙升

美国证券交易委员会（SEC）这个负责监管金融市场和保护投资者的机构面临着网络漏洞。

1 月 9 日，未经授权的一方访问了 SEC 在 X 上的官方账户（Twitter）。漏洞背后的攻击者发布了欺骗性公告，谎称 SEC 批准了有史以来第一个现货比特币交易所交易基金 (ETF)。这导致比特币价格从略高于 45,000 美元的每日低点飙升至近 48,000 美元，然后在 SEC 澄清未获得此类批准后暴跌至 46,000 美元以下。

经过调查发现，未经授权的一方通过“SIM 交换”攻击控制了 SEC 与受感染帐户相关的手机号码。

您可以通过我们的博客文章找到有关 SIM 交换攻击的危险以及影响 SEC 的具体事件的更多详细信息：什么是 SIM 交换？

Cross Switch 漏洞导致 360 万用户个人数据泄露

跨交换机数据库泄露帖子（SOCRadar暗网新闻）

在线支付网关管理平台 Cross Switch 面临重大数据泄露事件，据称该事件是由名为“IntelBroker”的威胁行为者策划的，该行为者泄露了 360 万用户的个人详细信息。

IntelBroker 在论坛上披露了这一漏洞，引发了人们对网络安全和用户隐私的担忧。暴露的信息包括姓名、用户名、电话号码、银行详细信息、电子邮件、位置和出生日期。

原文始发于微信公众号（OSINT研习社）：重大网络攻击回顾：2024 年 1 月