首頁 > 安全研究 > 安全通報 > 安全簡訊

Guardian Healthcare重組期間遭Stormous勒索軟件攻擊

發布時間 2024-11-12

1. Guardian Healthcare重組期間遭Stormous勒索軟件攻擊


11月8日,賓夕法尼亞州的Guardian Healthcare在重組期間遭遇了Stormous勒索軟件攻擊,導致3GB包含受保護的患者健康信息的文件被泄露,盡管未涉及EMR系統或整個數據庫。DataBreaches試圖聯系Guardian Healthcare了解應對措施,但未獲回應。據Stormous發言人透露,攻擊者通過Office獲取了多個賬戶訪問權限,冒充賬戶針對Guardian的一組關鍵員工或群組發起攻擊,7GB數據被提取,其中3GB被泄露。盡管Guardian已知曉入侵事件并與Stormous有過接觸,但未采取重大反應,導致數據最終被泄露。Stormous還證實,Guardian的文件在攻擊期間被加密。然而,目前尚不清楚Guardian是否有可用備份或患者數據是否因攻擊而受損或丟失,受影響患者可能也不知情。


https://databreaches.net/2024/11/08/in-the-midst-of-restructuring-guardian-healthcare-hit-by-ransomware-attack/


2. AT&T遭遇大規模數據泄露,數百萬客戶信息面臨風險


11月8日,AT&T近期遭遇了大規模數據泄露事件,數百萬客戶的個人信息在2022年5月至10月及2023年1月期間被盜,并于2024年4月被發現。泄露的數據包括客戶姓名、地址、電話號碼和賬戶詳細信息,但不含通話內容、短信或社會安全號碼。此次事件影響深遠,使客戶面臨身份盜竊和欺詐的風險,同時損害了AT&T的聲譽。據信,泄露事件與未經授權的個人訪問AT&T系統有關,而具體的入侵細節尚不清楚。此次泄密事件還引發了人們對AT&T是否遵守行業標準和法規的質疑。為應對此次事件,AT&T向受影響的客戶提供免費信用監控服務,并實施了額外的安全措施。同時,該事件也提醒我們網絡安全措施的重要性,組織必須采取主動措施保護客戶信息,并從一開始就防止泄密事件發生。作為客戶,我們也應保持警惕,密切監控賬戶活動,更改密碼并啟用雙因素身份驗證,考慮凍結信用報告,以及及時了解網絡安全新聞和最佳實踐,以降低成為網絡犯罪受害者的風險。


https://www.cyberdefensemagazine.com/the-att-phone-records-stolen/


3. 亞馬遜及多家知名企業遭MOVEit數據盜竊攻擊,員工信息泄露


11月11日,亞馬遜證實,在2023年5月發生了一起數據泄露事件,涉及280多萬行員工信息,包括姓名、聯系信息、建筑位置和電子郵件地址等,這些數據是從一家第三方服務提供商的系統中被盜的,并在黑客論壇上被泄露。據稱,此次泄露是由威脅行為者Nam3L3ss所為,他還泄露了其他25家公司的數據。這些數據盜竊攻擊利用了MOVEit Transfer安全文件傳輸平臺中的零日安全漏洞,影響了全球數百家組織,包括聯想、惠普、TIAA、施瓦布、匯豐銀行、達美航空、麥當勞和大都會人壽等知名公司。據稱,這些數據是從一家供應商那里被盜的,現在已作為受影響客戶的單獨數據集發布。網絡犯罪團伙隨后開始勒索受害者,并在暗網泄漏網站上暴露了他們的名字。這些攻擊的后果嚴重,導致數千萬人的數據被盜,被用于勒索計劃或泄露到網上。亞馬遜表示,被入侵的供應商只能訪問員工聯系信息,沒有敏感的員工信息被訪問或竊取,該供應商已經修補了安全漏洞。


https://www.bleepingcomputer.com/news/security/amazon-confirms-employee-data-breach-after-vendor-hack/


4. 新勒索軟件家族“Ymir”嶄露頭角,與RustyStealer惡意軟件有關聯


11月11日,近期一種名為“Ymir”的新型勒索軟件家族在野外被發現,它與已知的RustyStealer惡意軟件家族有關聯。Ymir勒索軟件以其內存執行、使用非洲林加拉語注釋、PDF勒索筆記及擴展配置選項等特點著稱。據卡巴斯基實驗室研究人員分析,Ymir通常在RustyStealer憑證收集工具滲透目標系統后部署,利用高權限帳戶進行未授權訪問和橫向移動。攻擊者使用WinRM、PowerShell等工具,并安裝Process Hacker、Advanced IP Scanner等,執行與SystemBC惡意軟件相關的腳本,建立秘密通道。在鞏固立足點并可能竊取數據后,Ymir作為最終有效載荷被部署。Ymir完全從內存中運行,利用特定函數逃避檢測,執行系統偵察,避免加密關鍵系統文件,并使用ChaCha20流密碼加密文件。它還修改Windows注冊表以顯示勒索請求,并可能使用PowerShell刪除可執行文件以逃避分析。盡管Ymir尚未建立數據泄露網站,但卡巴斯基警告稱,它可能迅速成為一種廣泛的威脅。


https://www.bleepingcomputer.com/news/security/new-ymir-ransomware-partners-with-rustystealer-in-attacks/


5. Hot Topic等三品牌數據泄露,5690萬賬戶信息遭曝光


11月11日,據Have I Been Pwned警告,Hot Topic、Box Lunch和Torrid客戶的個人信息遭到泄露,涉及56904909個賬戶。泄露信息包括全名、電子郵件地址、出生日期、電話號碼、實際地址、購買歷史以及部分信用卡數據。2024年10月21日,一名威脅分子在BreachForums上聲稱從這三家公司竊取了3.5億條用戶記錄,并試圖以2萬美元出售數據庫,同時要求Hot Topic支付10萬美元贖金。Hot Topic是一家美國零售連鎖店,專門從事反主流文化相關的服裝、配飾和特許音樂商品。Hot Topic未對此事作出回應。數據分析公司Atlas Privacy報告稱,實際受影響客戶數為5400萬,包含2500萬個弱密碼加密的信用卡號碼。數據泄露似乎發生在10月19日,數據跨度從2011年到該日期。Hot Topic已建立網站供客戶檢查信息是否泄露??赡苁苡绊懙目蛻魬杈W絡釣魚攻擊,并密切監控財務賬戶。


https://www.bleepingcomputer.com/news/security/hibp-notifies-57-million-people-of-hot-topic-data-breach/


6. 哈里伯頓遭勒索軟件攻擊,損失3500萬美元并面臨數據泄露風險


11月11日,哈里伯頓是一家在70個國家擁有48000名員工、年收入超過230.2億美元的全球能源行業產品和服務供應商,在2024年8月遭受了勒索軟件攻擊。此次攻擊導致該公司關閉IT系統并斷開客戶連接,造成約3500萬美元的損失。據向美國證券交易委員會提交的文件顯示,未經授權的第三方訪問了其系統,哈里伯頓隨后關閉了部分IT基礎設施以應對這一漏洞。幾天后,勒索軟件團伙RansomHub對此次襲擊負責,并從公司網絡中竊取了數據,但具體信息類型和范圍仍在調查中。盡管該事件對哈里伯頓的財務影響有限,但如果勒索團伙出售或泄露哈里伯頓客戶的數據,該公司可能會面臨法律訴訟和額外的財務成本。哈里伯頓公司董事長、總裁兼首席執行官杰夫·米勒表示,盡管受到網絡安全事件和風暴的影響,公司對自由現金流和股東現金回報的全年預期保持不變。


https://www.bleepingcomputer.com/news/security/halliburton-reports-35-million-loss-after-ransomware-attack/

上一篇 下一篇