首頁 > 安全研究 > 安全通報 > 安全簡訊

Gunra勒索軟件團伙竊迪拜美國醫院4.5億條記錄

發布時間 2025-06-06

1. Gunra勒索軟件團伙竊迪拜美國醫院4.5億條記錄


6月4日,一個勒索軟件團伙聲稱竊取了迪拜美國醫院(AHD)多達4.5億條的患者記錄,并威脅將在6月8日公開這些數據。AHD是迪拜地區最負盛名的私人醫療保健提供商之一,成立于1996年,擁有254張床位的急癥護理機構,提供40多個專業的服務,以醫療創新聞名。據稱,該勒索軟件團伙竊取了總計4TB的未壓縮數據,包括個人信息、信用卡號、賬單歷史記錄、阿聯酋身份證號碼以及臨床記錄等敏感信息。然而,研究團隊檢查的樣本數據似乎主要涉及財務信息,如財務報告、工資單和賬單記錄等醫院內部文件。若完整數據集確實包含該團伙所聲稱的內容,此次泄露將可能對隱私和監管產生嚴重影響,特別是在涉及金融和國家身份證數據且網絡安全法嚴格的地區。值得注意的是,實施此次攻擊的Gunra勒索軟件集團是勒索軟件領域的新興威脅行為者,于2025年4月出現,自成立以來已造成12名受害者。該團伙針對房地產、制藥和制造業等多個行業,采用雙重勒索手段,威脅泄露被盜數據以獲取經濟利益。


https://cybernews.com/security/gunra-ransomware-american-hospital-dubai-breach/


2. 塞浦路斯旗艦航空系統遭入侵,41GB乘客信息泄露


6月4日,塞浦路斯旗艦航空公司系統遭入侵,攻擊者聲稱竊取了多達41GB的乘客數據,包括姓名、電子郵件、旅行記錄、旅行日期、已付金額、文檔信息、電話號碼等,并表示仍能訪問該系統,可實時查看航班動態。目前,研究團隊已對攻擊者附上的數據樣本展開調查,初步判定大部分數據真實有效,涵蓋乘客及部分員工信息,部分數據可追溯至2025年6月3日。攻擊者很可能通過票務管理軟件獲取了這些信息,不過幸運的是,目前尚未發現支付卡數據泄露的跡象。此次數據泄露事件若屬實,將給相關方帶來嚴重威脅。攻擊者可能利用這些信息進行網絡釣魚攻擊、金融欺詐和身份盜竊,冒充航空公司誘騙客戶泄露更多敏感信息,或利用竊取的信息創建虛假身份,危及個人隱私。此外,更專業的威脅行為者可能利用乘客出行信息尋找空置房屋進行入室盜竊,甚至嘗試冒充受害者欺騙銀行等機構。值得注意的是,航空公司因掌握大量敏感乘客信息,已成為黑客攻擊的重點目標。


https://cybernews.com/security/cyprus-airways-breach-passenger-data-stolen/


3. FBI警告:BADBOX 2.0惡意軟件感染超百萬家庭設備


6月5日,美國聯邦調查局警告,BADBOX 2.0惡意軟件活動已感染超100萬臺家庭互聯網連接設備,將消費電子產品轉變為用于惡意活動的住宅代理。該僵尸網絡常見于中國基于Android的智能電視、流媒體盒等物聯網設備上,由數百萬臺受感染設備組成,維護大量代理服務后門,網絡犯罪分子可通過出售或免費提供受感染家庭網絡訪問權限用于犯罪活動。這些設備可能預裝該惡意軟件,或在安裝固件更新、通過惡意Android應用程序感染。網絡犯罪分子通過在用戶購買產品前配置惡意軟件或在設備下載包含后門的應用程序時感染設備,從而獲得對家庭網絡的未經授權訪問。一旦受感染的物聯網設備連接到家庭網絡,就易成為BADBOX 2.0僵尸網絡和住宅代理服務的一部分。感染后,設備會連接到攻擊者的命令和控制服務器,接收執行命令,如住宅代理網絡、廣告欺詐、憑證填充等。BADBOX 2.0由原始BADBOX惡意軟件演變而來,2023年首次被發現,后不斷擴張,雖2024年德國網絡安全機構破壞了該國僵尸網絡,但威脅行為者未停止,一周后該惡意軟件已安裝在19.2萬臺設備上,還出現在更主流品牌上。到2025年3月,已有超100萬臺消費設備受感染,覆蓋222個國家,受感染設備數量最多的是巴西、美國、墨西哥和阿根廷。在聯合行動中,BADBOX 2.0僵尸網絡再次被破壞,阻止了超50萬臺受感染設備與攻擊者服務器通信,但僵尸網絡仍在增長。


https://www.bleepingcomputer.com/news/security/fbi-badbox-20-android-malware-infects-millions-of-consumer-devices/


4. 美水務公司多控制室儀表板可無密碼連公網


6月5日,TLS證書中的遺留問題暴露出美國水務公司存在嚴重安全隱患。去年10月,Censys研究團隊對工業控制主機進行例行掃描時,發現證書中嵌入“SCADA”字樣,該標簽與工業控制環境中的監控系統相關。團隊在多個基于瀏覽器的HMI平臺實例中發現相同證書識別名,并從每個IP地址獲取屏幕截圖,發現水處理廠的實時過程圖形,包括水箱水位、氯泵狀態及警報等。深入挖掘后,研究人員發現每家受影響的公用事業公司都使用由HMI軟件生成的相同Web服務器布局,且證實主機為市政供水設施。這些系統處于三種狀態:已驗證、只讀和未驗證,其中40個系統完全未經身份驗證,任何人都能通過瀏覽器控制。鑒于目標為公共事業單位,Censys跳過逐一披露程序,向美國環境保護署和未具名的HMI供應商發送批量報告。電子表格列出每個IP地址、端口、可能位置及安全狀態。九天內,美國環保署報告24%的暴露系統已設置防火墻或強化;一個月后,在供應商推出多因素身份驗證和更嚴格訪問規則指南后,這一數字躍升至58%。截至2025年5月,只讀或未經身份驗證的系統數量已降至不足20個。


https://www.securityweek.com/misconfigured-hmis-expose-us-water-systems-to-anyone-with-a-browser/


5. ClickFix仿Booking.com郵件詐騙激增,含RAT與竊密程序


6月5日,Cofense Intelligence發現,冒充Booking.com的ClickFix電子郵件詐騙數量激增,此類詐騙包含遠程攻擊工具(RAT)和信息竊取程序。自2024年11月以來,ClickFix廣告系列關注度穩步提升,2025年3月其廣告投放量占總投放量的47%。Cofense主動威脅報告顯示,75%的偽造驗證碼事件都使用了以Booking.com為主題的ClickFix模板,此外還有偽造Cloudflare Turnstile和Cookie同意橫幅的變體。該騙局始于一封包含虛假驗證碼網站鏈接的電子郵件,點擊后不會發送真正的驗證碼,而是向用戶計算機發送有害腳本。ClickFix網站會指示用戶按下特定鍵盤快捷鍵,在Windows中打開“運行”命令,粘貼并執行隱藏的惡意腳本,這些腳本通常包含偽裝成驗證碼的有害命令。這些網站設計巧妙,看似知名品牌的合法頁面,且僅針對Windows電腦。一旦惡意腳本運行,便會安裝XWorm RAT等遠程訪問木馬,以及Pure Logs Stealer和DanaBot等信息竊取程序,這些惡意軟件旨在從遠處秘密控制受害者計算機或竊取敏感數據。在某些情況下,RAT和信息竊取程序會同時出現。ClickFix的新方法誘導用戶自行激活惡意軟件,無需直接下載文件,凸顯了對可疑電子郵件保持警惕的重要性。


https://hackread.com/clickfix-email-scam-fake-booking-com-emails-malware/


6. 全球3.5萬套太陽能系統曝露于網絡,存在重大安全隱患


6月5日,一項全面的網絡安全調查揭示了快速擴張的太陽能基礎設施中存在嚴重漏洞,全球42家供應商的近35,000臺太陽能設備面臨基于互聯網的攻擊風險。隨著可再生能源系統日益融入關鍵電網基礎設施,這一發現凸顯了日益增長的安全擔憂。歐洲在暴露設備方面占據主導地位,占易受攻擊太陽能發電系統的76%,德國和希臘在受影響設備暴露程度上領先,意大利緊隨其后。2025年5月9日,Forescout分析師使用Shodan搜索引擎發現了這些暴露在互聯網上的太陽能設備,包括逆變器、數據記錄器等。這項研究基于該網絡安全公司早期的SUN:DOWN調查,該調查發現了46個影響太陽能系統的新漏洞。CONTEC SolarView Compact設備是太陽能漏洞被利用的典型案例,其互聯網曝光率在短短兩年內大幅增長,存在多個嚴重漏洞,目前正被僵尸網絡運營商積極利用。當800臺SolarView Compact設備在日本被成功劫持并用于銀行賬戶盜竊行動時,這些漏洞的現實影響變得顯而易見。Forescout研究人員確定了過去一年內專門針對這些太陽能設備的43個唯一IP地址,這些地址大多與已知的僵尸網絡操作或自動漏洞掃描活動有關。為緩解這些風險,組織應避免將逆變器管理界面直接暴露給互聯網,而是按照CISA指南實施基于VPN的遠程訪問。


https://cybersecuritynews.com/35000-solar-power-systems-exposed/

上一篇 下一篇