澳大利亚一家妇女儿童医院的睡眠研究患者的姓名、地址和其他敏感数据在一次勒索软件攻击后遭到泄露。
南澳卫生部首席执行官罗宾·劳伦斯(Robyn Lawrence)表示,她的部门于 4 月 17 日收到了该医疗公司的通知,该公司在 3 月底遭遇了严重的数据泄露。
南澳大利亚卫生部周四证实,数据泄露事件影响了阿德莱德妇女儿童医院的患者。
技术提供商Compumedics发送的一封信显示,网络攻击发生在3月22日,早在2018年患者数据就被访问。
南澳卫生部表示,超过2200名患者“可能受到影响”。
南澳大利亚卫生部首席执行官罗宾·劳伦斯博士表示,此次漏洞“直接影响了康柏美迪(Compumedics)公司的软件,没有证据表明南澳大利亚卫生部运营的任何信息技术系统遭到了破坏”。
她说:“在康柏美迪公司披露了首次全国性勒索软件攻击后,我们立即采取行动,暂停从我们的网络访问康柏美迪公司的软件和相关设备。”
“现在,当我们得知南澳大利亚睡眠研究患者可能受到影响时,我们立即采取行动核实信息,通知患者和公众。”
康柏美迪公司(Compumedics)与南澳大利亚州卫生部(SA Health)签订了合同,提供睡眠、大脑和其他监测应用。
南澳大利亚州卫生部在一份声明中表示:“WCHN 已立即采取行动,从网络中移除 Compumedics 软件和相关设备。”
Compumedics 总监戴维·劳森(David Lawson)在给患者的一封信中表示,公司在数据泄露当天努力控制数据,但“我们的一些文件可能已被窃取,并可能被发布在暗网上”。
他写道:“我们对此次事件的发生以及给您带来的影响深表歉意,感谢您的理解,我们将继续努力做出回应。”
劳伦斯博士在新闻发布会上表示,“第三方提供商的安全系统不足以防止外界访问我们患者的数据,这令人非常失望”。
据称,医院保存的医疗记录和付款详细信息未被访问,但一些“临床研究笔记”被泄露。
目前还不清楚该事件是哪一个暗网勒索软件团伙所为,“暗网下/AWX”将继续保持追踪。
影响Compumedics Limited的网络安全事件 Compumedics Limited已确认其遭受勒索软件攻击,导致其IT网络近期检测到异常活动,并因此遭受网络安全事件的袭击。
Compumedics称已采取措施控制和修复事件,并加强网络安全。受影响的数据已每日备份。虽然目前业务运营未受影响,但出于安全考虑,所有服务器均已下线。Compumedics的澳大利亚服务器正在检查并恢复中。一些 Nexus360 客户仍然处于离线状态。Nexus360 是Compumedics基于 Web 的患者数据和实验室管理系统,为睡眠和神经科诊所提供集成的硬件和软件解决方案。
Compumedics正在对该事件进行独立取证调查,以了解事件发生的原因、其对客户数据(包括患者报告)的影响,并确保自身的系统安全,以便尽快恢复正常服务。
Compumedics已向澳大利亚网络安全中心(隶属于澳大利亚信号局)提交了报告。
关于 Compumedics Limited Compumedics Limited [ASX: CMP] 是一家医疗器械公司,致力于开发、生产和商业化用于睡眠、脑部和超声波血流监测应用的诊断技术。该公司旗下拥有总部位于美国的 Neuroscan 和总部位于德国的 DWL Elektronishe GmbH。凭借这两家子公司,Compumedics 的业务范围遍布全球,覆盖美洲、澳大利亚、亚太地区、欧洲和中东地区。
2025年1月30日,Tor项目官方的X(以前称为Twitter)帐户遭到入侵,并被用于推广欺诈性的加密货币计划。Tor项目迅速在其他社交媒体提醒用户对网络钓鱼和诈骗保持警惕,尤其是涉及加密货币的诈骗。截至目前,Tor项目已经重新获取账号控制权限,并删除了盗号者发布的诈骗推广推文。
发现X账户被入侵后,Tor项目迅速通过其包括BlueSky和Mastodon账户在内的其他官方社交媒体渠道发出了警告:
Our X (Twitter) account has been compromised. We are working to regain access.
Please do not trust or interact with any posts, DMs, or links from our account until further notice.
Tor项目在声明中确认其X帐户已被入侵,并敦促粉丝不要信任或与来自被黑帐户的任何帖子、直接消息或链接互动。他们向用户保证,正在努力重新控制该帐户(最新:账户已经恢复)。
Tor项目建议其社区通过其博客和Mastodon等经过验证的渠道获取最新信息,并敦促其粉丝在另行通知之前不要与受感染的X帐户分享的任何帖子或链接互动。
在评论中,有网友在评价中质疑这一切怎么发生的,称X账户是怎么被盗的,他们应该知道什么是安全密码和2FA?还有网友说Tor项目的X账户被黑了,本来可以走得更远,赚更多的钱,结果只发了一条推文?
盗号者利用Tor项目官方X账户推广是的一个基于Solana区块链的Meme币$TOR,地址为:Du24pykXZDNvpcJBRfDaXV8AtwoxN1UB6AGcjPvupump,盗号者精心设计了该Meme币,并盗取Tor项目官方X账户进行推广,已经成功销售(骗取)了超过340万美元。
这一事件凸显了网络犯罪分子瞄准知名账户、利用其信誉进行诈骗日益增多的趋势。此次X账户被盗事件也强调了加强数字平台安全措施的必要性。
“暗网下/AWX”强烈建议用户在进行任何在线加密货币投资交易之前核实来自官方来源的信息。如需了解Tor项目的真实最新情况,需同时访问Tor项目自己的博客或关注其在其他平台上的已验证帐户。
国家考试局(NTA,National Testing Agency)正面临着暗网威胁带来的挑战,考试的安全进行和教学日历都受到了影响。由于担心机构的凝聚力,工作人员不确定能否按时进行考试。NTA的信息技术(IT)部门的消息人士相信CUET-UG考试成绩可以在6月30日之前公布,但他们不确定是否重新安排已取消和推迟的考试。虽然对考试机构近期的运作提出了质疑,但内部人士坚称“比哈尔邦的试卷没有泄露”。
有报道称印度国家考试机构(NTA)网站遭到黑客攻击,其工作人员对考试的安全性感到担忧,该机构正面临重大危机。
印度国家考试局(NTA)正在经历彻底崩溃,由于“暗网”威胁,工作人员不确定任何考试是否安全交付。尽管面临这些挑战,但人们仍然期望按时进行考试并公布成绩,以防止教学日历出现延误,而在2020年Covid-19考试中断后,去年的教学日历已成功回到正轨。
另一个主要问题是,在有传言称代表团官员希望离职的情况下,如何让该机构保持团结。
资深工作人员认为,无论是基于计算机的考试还是离线的考试,在该机构的基本面重新整合之前,都很难恢复信心。NTA不得不取消三项国家级考试,其中包括两项——2024年全国普通入学考试(NCET),用于四年制综合教师教育计划(ITEP)的入学考试和大学资助委员会-国家资格考试(UGC-NET)——在考试结束后。CSIR-UGC-NET在考试前几天被推迟。
官员:需要对技术进行重大改革以确保考试顺利进行 “需要对技术和能力建设方面进行重大改革,”一位高级官员说。他指出,仅仅关注即将成立的高级委员会提出的考试模式是不够的。例如,尽管考生人数相对较少,但基于计算机的ITEP考试还是不得不取消。每个文件大约5GB,在中心下载时,他们收到的试卷是扭曲的。
ITEP是印度针对部分中央和州立大学、IIT、NIT、RIE和公立学院的综合师范教育课程的入学考试。
信息技术部门的消息人士相信,CUET-UG考试成绩可以在6月30日之前准备好,但他们不确定取消和推迟的考试是否会重新安排。NTA的一位消息人士以2004年全印度医学预科考试(AIPMT)试卷泄露事件(当时CBSE设法在一周内举行了考试)为例,该机构的保密部门、IT和行政人员“认为现在不可能了”,因为他们担心使用“暗网”的黑客组织已经完全侵入NTA的安全系统,并“决定在今年公开这些漏洞”。
“他们不会停止。黑客组织使用暗网。我们甚至不确定我们的黑盒子(存放试卷的地方)有多安全,”一位忧心忡忡的官员表示,这表明NTA没有能力阻止这种“有组织的网络攻击”。一位政府消息人士补充说:“需要一个国家级智库来努力应对此类威胁。”
在质疑该机构最近运作的同时,内部人士坚称没有发生过“比哈尔邦试卷泄露事件”。“两天前,比哈尔邦警方要求提供六名考生的详细信息,并告知他们考号。其中两名考生的考号不存在,另外两名考生的姓名和考号不匹配。有很多矛盾之处,包括查封的时间,当时考试结束后,所有试卷都已公开。”NTA计算机部门的一名官员说。
印度中央政府于6月22日表示,由印度空间研究组织前主席 K·拉达克里希南 (K Radhakrishnan) 领导的一个由七人组成的高级小组已经成立,负责调查国家考试管理局的考试运作情况和公平性,并将在 2 个月内提交报告。
面对竞争性考试中涉嫌存在不符点的批评,印度中央政府于周六撤换了国家考试机构 (NTA) 局长 Subodh Singh,并将对医学入学考试 NEET-UG 违规行为的调查移交给了印度中央调查局
在这个自治组织内部,有强烈的传言称,大量官员“大举出逃”,他们觉得自己的职业生涯岌岌可危。
国家考试局网站及其所有其他门户网站都是完全安全的 国家考试局(NTA)网站及其所有其他门户网站都是完全安全的,有关这些网站遭到入侵和黑客攻击的报道是错误和误导性的,官员周日表示。
此次澄清是在竞争性考试涉嫌违规行为引发激烈争论之际做出的,这些考试包括 NEET-UG 和 UGC-NET。教育部周六成立了一个小组来审查 NTA 的运作,提出考试改革建议并确保数据安全。
“NTA 网站及其所有门户网站都是完全安全的。任何有关它们被入侵和黑客攻击的信息都是错误和误导性的,”一位高级官员说。
“官员们称:NTA网站及其所有其他门户网站都是完全安全的;有关它们被入侵或黑客攻击的信息是错误的。”PTI在推特上写道。
NTA website, all its other web portals fully secure; information that they have been compromised or hacked wrong: Officials
— Press Trust of India (@PTI_News) June 23, 2024
AnyDesk于2024年2月2日在一份公开声明中证实,它最近遭受了一次网络攻击,黑客可以访问该公司的生产系统。 AnyDesk称:“作为预防措施,我们将撤销我们门户网站 my.anydesk.com 的所有密码,如果使用相同的凭据,我们建议用户更改密码。”据了解,AnyDesk的源代码和私有代码签名密钥在攻击期间被盗。
AnyDesk 是一种远程访问解决方案,允许用户通过网络或互联网远程访问计算机。该程序非常受企业欢迎,企业使用它来提供远程支持或访问托管服务器。
该软件在威胁行为者中也很受欢迎,他们使用它来持续访问受破坏的设备和网络。
该公司报告称拥有17万名客户,包括 7-11、康卡斯特、三星、麻省理工学院、英伟达、西门子和联合国。
AnyDesk被黑 AnyDesk表示,他们在检测到生产服务器上发生事件的迹象后首次得知此次攻击。
在进行安全审计后,他们确定自己的系统受到了损害,并在网络安全公司 CrowdStrike 的帮助下启动了响应计划。
AnyDesk 没有透露有关攻击期间数据是否被盗的详细信息。然而,BleepingComputer 了解到威胁行为者窃取了源代码和代码签名证书。
该公司还证实勒索软件并未参与其中,但除了表示他们的服务器遭到破坏之外,没有透露太多有关此次攻击的信息,该报告主要关注他们如何应对这一事件。
作为回应的一部分,AnyDesk 表示他们已吊销与安全相关的证书,并根据需要修复或更换系统。他们还向客户保证 AnyDesk 可以安全使用,并且没有证据表明最终用户设备受到该事件的影响。
AnyDesk在公开声明中表示:“我们可以确认情况已得到控制,使用 AnyDesk 是安全的。请确保您使用的是最新版本,并带有新的代码签名证书。”
虽然该公司表示没有身份验证令牌被盗,但出于谨慎考虑,AnyDesk 正在撤销其门户网站的所有密码,并建议在其他网站上使用密码时更改密码。
数据在暗网销售 根据Resecurity的博文,在俄罗斯背景的暗网论坛Exploit.in里,用户名为“Jobaaaaa”的账号,提供大量AnyDesk客户凭证出售,该账号注册于2021年。该账号强调——“这些数据非常适合技术支持诈骗和邮件(网络钓鱼)”。
攻击者提供的样本与属于不同消费者和企业的受损访问凭证有关,允许访问 AnyDesk 客户门户网站。该攻击者者提供了18317个账户,以15000美元的加密货币(比特币或者门罗币)支付。作为一项安全措施,攻击者使用*号对密码的部分内容进行了隐藏。他还同意在著名的地下论坛上通过托管方式进行交易。
获取此类数据的来源和方法可能会有所不同,并且取决于特定不良行为者的策略、技术和程序 (TTP),这种发展创造了一个新的关注领域。例如,暗网参与者可以利用信息窃取者来收集此类信息。在这种情况下,考虑到最新的事件披露,及时重置密码将成为所有客户的强制缓解措施。使用 AnyDesk 的受众包括 IT 管理员,他们经常成为威胁行为者的目标。确保恶意活动不会影响对他们可能拥有特权访问的任何其他关键系统的访问至关重要。
通过访问AnyDesk门户,威胁行为者可以了解有关客户的有意义的详细信息,包括但不限于使用的许可证密钥、活动连接数量、会话持续时间、客户 ID 和联系信息、与帐户关联的电子邮件以及激活远程访问管理软件的主机总数,及其在线或离线状态和 ID。
熟悉该事件的网络犯罪分子可能会急于通过从不同来源获得的暗网将可用的客户凭据货币化,因为他们知道 AnyDesk 可能会采取主动措施来重置其凭据。此类数据对于初始访问代理和熟悉 AnyDesk 的勒索软件团体来说可能非常有价值,AnyDesk 经常被滥用为成功网络入侵后的工具之一。值得注意的是,根据从攻击者处获得的额外上下文,暗网上大多数暴露的帐户都没有启用 2FA。
AnyDesk 根据维基解密,AnyDesk是由AnyDesk Software GmbH公司开发的远程桌面应用程序。该软件程序提供对个人计算机和运行主机应用程序的其他设备的独立于平台的远程访问。 它提供远程控制、文件传输和VPN功能。 但是AnyDesk通常也被恶意用于技术支持诈骗和其他远程访问诈骗。
AnyDesk Software GmbH公司于2014年在德国斯图加特成立,目前在美国、中国和香港设有子公司,并在乔治亚州设有创新中心。
9月21日,法国布列塔尼菲尼斯泰尔省莫尔莱 (Morlaix)当局在其Facebook账户上发布消息称,该镇成为计算机攻击的受害者。这次攻击完全中断了所有部门的电子邮件服务。不过,物理接待和电话服务未受影响。
该市的网站也仍然可以访问。“不过,处理时间可能会比平时长一些,”市政府表示,并补充说,“正在采取一切措施以迅速恢复正常”,但没有具体说明时间表。
两台服务器受到影响 莫尔莱市市长Jean-Paul Vermot在接受采访中透露 ,详细情况是,在发现入口点仍未知的网络入侵后,“两台受影响的服务器”立即被“停止” 。他说,他按照法律规定向法国国家计算机系统安全局(Anssi)发出了警报。他没有具体说明是否有任何数据被黑客窃取,以及是否会在暗网上发布。
莫尔莱是遭受网络攻击的众多法国城镇中新的一员。最近,雷恩大都会区的一个小镇贝顿(Betton)也遭到了勒索软件的攻击。黑客通过在暗网上发布了2%的被盗数以此来实施威胁。其他例子还包括舍维利-拉鲁埃(Chevilly-Larue)、昂古莱姆(Angoulême)、新莫尔森克斯(Morcenx-la-Nouvelle)和里尔(Lille)。
法国国家计算机系统安全局在其2022年威胁全景图中强调了这一现象,地方政府是继VSE、中小型企业和ETI之后受勒索软件影响最严重的第二类受害者。
重点关注需抵御网络攻击的地方城市 为了彰显地方政府对网络安全的承诺,国家宪兵队、数字信任联盟和公共利益团体Cybermalveillance已经推出了“Commune Cyber Dynamique”(原“Ville Cyber Responsable”)标签。
这个标签并不是为了审核政府当局的网络安全水平,而是为了表彰所有当选代表致力于采取负责任的网络措施的政府当局。
所有希望获得该标签的地方当局,无论其初始水平如何,只要致力于改善网络安全并解决其薄弱环节,都将获得这一称号。
获取“Commune Cyber Dynamique”的四项标准 首先,地方政府需要有自己的”网络卫士“,他是这方面的联络人,是行政部门与公众之间的纽带,尤其是在提高公众意识方面。但有一个条件:这个人不能是市长。
接下来,地方政府当局必须完成由法国国家宪兵队开发的”I.M.M.U.N.I.T.É.Cyber“测试,目的是找出需要解决的漏洞。根据测试结果,地方政府当局将能够正式制定一项行动计划,其中除宣传活动外,还包括针对测试中强调的至少两个”红色“标准的改进措施。
最后,地方政府当局必须缴纳会员费,居民少于499人的城市为100 欧元,居民超过12万人的城市为3000 欧元。然后,作为”持续改进“方法的一部分,标签的保持将取决于其政府所采取的措施。
对社会负责的态度 证书将由Isaia先生担任主席的协会颁发,该协会的董事会成员包括数字信任联盟总代表Yoann Kassianides和网络空间宪兵司令Marc Boget。主席强调说:”这是一项真正具有公民意识的倡议。地方政府掌握着大量公民数据,必须加以保护。”旺代省议会议员菲利普-拉通贝(Philippe Latombe)说:“这些奖项是地方政府致力于解决网络安全问题的积极信号。”
5月中旬,一个被盗的数据库出现在暗网上,内容是《瑞士评论》(Swiss Review)订阅者信息的外部下载链接。这是一份联邦政府杂志,可以让国外的瑞士公民了解本国的最新动态。
这个数据库很全面,它包含超过42.5万个地址,其中40%是邮政地址,60%是电子邮件地址。任何在瑞士注册为海外公民的人都会自动通过电子邮件或邮寄方式收到《瑞士评论》。据外交部称,80万海外瑞士人中只有33万没有选择接受《瑞士评论》——其中包括讲意大利语的瑞士人。
瑞士外交部在处理这些地址时遵守所有数据保护规则,因为这些数据不是自愿提交的,它来自瑞士驻外领事馆。
任何在瑞士注销身份登记的人都有义务向相关瑞士代表处申报其在国外的居住地。这创造了《瑞士评论》的订户基础。
任何人都不能访问 瑞士政府认为这些数据非常敏感,甚至连《瑞士评论》的出版商SwissCommunity都无法获得这些数据。
但是,现在正是这些数据库可以在暗网中找到——或者至少是其中的一部分,具体情况尚不清楚。暗网是互联网中普通计算机用户无法访问的部分。
“联邦外交部不知道实际上有多少数据被窃取。”外交部写道。
联邦数据保护和信息专员阿德里安·洛比格(Adrian Lobsiger)表示:“非自愿收集的数据以这种方式公开,这一事实令人非常遗憾。”他正在呼吁让受影响的人得到通知。
已经提交了一份刑事投诉,网络安全专家正在进行调查。
网络攻击的副产品 但是,这怎么可能发生呢?简单地说,海外瑞士人的425000个地址是对两家瑞士出版社(NZZ出版集团和CH Media)进行勒索攻击的副产品。这两家出版社的数字基础设施是相互联网的。
对这次攻击负责的犯罪组织自称“Play”。这是一个活跃于国际舞台的黑客组织,据说与俄罗斯有联系。2023年5月3日,“Play”在暗网上公布了从瑞士出版集团CH Media窃取的大量数据。
公布窃取的数据是勒索扑克游戏的一部分,这在黑客所谓的勒索软件攻击中很常见。他们的做法冷酷而奸诈。
首先,犯罪分子侵入公司的IT系统。然后他们经常加密受害者的数据。与此同时,他们威胁要公布敏感数据。如果被勒索的公司拒绝支付赎金,数据记录就会发布在暗网上。
受攻击的公司表示,他们尚未支付赎金。
NZZ和CH Media数字生态系统遭受的攻击发生在3月底。据编辑部主任马克·莱托(Marc Lettau)称,《瑞士评论》编辑部也因编辑系统中断而受到了此次攻击的影响。《瑞士评论》也通过其IT基础设施与受到攻击的环境相连。
2023年5月3日,即“Play”公布被盗数据的当天,CH Media通知其IT客户。合作伙伴公司了解到客户数据也受到了影响。此消息也被发送至《瑞士评论》。
到5月中旬,很明显,这些数据包括《瑞士评论》订阅者的详细地址信息。每年六次,当该杂志印刷时,瑞士外交部会将这些数据发送给负责发送《瑞士评论》的印刷公司。
工作流程中的数据保护? 此工作流程中是否有数据保护措施?外交部的回应是:“发送是通过加密的政府文件传输进行的。该流量没有受到影响,没有被黑客攻击,也不是数据被盗的对象。根据政府的数据保护规定,这些数据必须以加密的形式存储在印刷公司。”
目前尚不清楚相关数据库最终是否经过加密。CH Media写道:“我们不对个别客户关系发表评论。”
针对瑞士公司的勒索攻击 外交部上周才发表声明,即在泄密事件发生六周后。其中的核心要点是:除了地址之外,印刷公司不掌握任何个人数据。
显然,外交部几周来一直在努力做出正确的评估和正确的沟通。但专家们确信:“错误不在于政府,”《Inside-IT》杂志主编雷托·沃格特(Reto Vogt)表示。他说,政府以其对数据保护的敏感态度而闻名。“这一特殊案例可能只是运气不好。”
电子投票面临风险? 然而,这次攻击有可能引发有关瑞士电子投票系统的安全争论,该系统于2023年重新推出。新系统的首次试用伴随着瑞士发生的几起网络攻击,引起了人们的关注。
除了勒索出版商之外,“Play”还对瑞士IT公司Xplain发起了一次惊人的攻击。该公司为瑞士司法和警察当局提供软件。
这次勒索软件攻击也导致了敏感数据的发布。受影响的包括军队、联邦海关和边境安全局以及联邦警察。调查仍在进行中,损坏程度尚无法确定。
六月初,另一个黑客团体使瑞士重要网站瘫痪。这次袭击是由亲俄组织NoName发起的,是对乌克兰总统泽连斯基在瑞士议会的视频演示的回应。
许多州的网站以及联邦政府和瑞士证券交易所的网站都受到了攻击。这些攻击的原理是不同的。它们被称为DDoS攻击,包括精心策划的大规模调用流量访问网站,使其不堪重负,导致网站暂时瘫痪。
无论勒索软件攻击和DDoS攻击都与电子投票技术没有直接关系。然而,如果此类攻击频繁发生,就会产生后果。IT企业家格吕特(Franz Grüter)表示:“即使这一事件与电子投票系统没有直接联系,随着每一次额外的网络事件的发生,人们对国家IT系统安全性的信心也会下降。”
“可疑的安全思维” 对于格吕特来说,这些事件“让人们对政府的安全思维产生了怀疑”。格吕特是议会的人民党议员,对电子投票持怀疑态度。他认为这次事件很严重,并指出,在选举年,可购买的包含所有海外瑞士人地址的数据集特别有价值。“有人可以利用它来进行非常有针对性的选举广告。”
瑞士外交部写道,它“不知道这些数据目前是否在暗网上被提供”。
加拿大最大的电信供应商之一Telus正在调查其系统可能遭到的重大破坏,此前一名黑客在暗网论坛上发布了样本,该人声称这些样本是来自该公司的敏感数据。
泄露的数据包括对手声称的员工工资记录样本、该电信公司私有GitHub存储库的源代码以及其他信息。
据报道,在BreachForums上的一篇帖子中,自称为“Seize”的威胁行为者出售一个电子邮件数据库,声称包含Telus每位员工的电子邮件地址。该数据库的价格为7000美元。另一个数据库据称包含电信公司高层管理人员(包括其总裁)的工资单信息,售价为6000美元。
该威胁行为者还以50000美元的价格出售了一个数据集,该人声称该数据集包含属于Telus的1000多个私人GitHub存储库。可供出售的源代码显然包含一个API,该API允许恶意行为者进行SIM卡交换——在这个过程中,攻击者通过将号码转移到自己的SIM卡上来劫持另一个人的手机。
一次完全的泄露? “这是一次完全的泄露,”被指控的黑客在BreachForums的帖子中写道。“您将收到与Telus相关的所有内容”,包括完整的子域列表和活动站点的屏幕截图,该帖子继续说道。目前尚不清楚所谓的攻击者似乎拥有的任何数据是否真实或是否如所声称的那样属于Telus。
Telus发言人Richard Gilhooley称:“我们正在调查有关少量与Telus内部源代码相关的数据和选定的Telus团队成员的信息出现在暗网上的说法。”“我们可以确认,到目前为止,我们在得知该事件后立即展开的调查尚未发现任何公司或零售客户数据。”
暗网是指需要特定浏览器和其他配置才能访问的互联网子集。这个似乎不太受欢迎的网络不仅仅用于非法活动,而且通常被希望逃避监视或执法工作的个人使用。
针对电信运营商的网络攻击越来越多 如果Telus的漏洞如威胁行为者所声称的那样发生,这将是最近针对电信公司的一系列攻击中的最新一起。就在今年年初,攻击者已经攻破了多家大型电信公司,包括澳大利亚最大的三家公司:Optus、Telestra和Dialog。本月早些时候,SentinelOne的研究人员报告称,他们观察到一个以前未知的不良行为者针对中东地区的电信公司,似乎是一场网络间谍活动。
就在上个月,另一家运营商T-Mobile US承认了一起数据泄露事件,其中有人滥用API下载了属于3700万用户的个人信息。这是该网络运营商在五年内发生的第六次安全事故。
分析师认为有几个因素正在推动这一趋势。例如,用于多因素身份验证(MFA)的移动设备的广泛使用和不断增长,使电信公司及其网络成为目标。希望访问在线账户的出于经济动机的网络犯罪分子也开始越来越多地以电信提供商为目标,进行所谓的SIM交换攻击,以劫持手机并拦截用于双因素身份验证的SMS授权。
另一个使电信公司成为重要目标的因素——一个长期存在的因素——是它们为对监视感兴趣的人提供了机会。近年来发生了多起事件,伊朗、土耳其等国家支持的威胁行为者闯入电信网络,窃取通话数据记录以监控目标个人和团体的对话。
针对加拿大零售商的网络攻击越来越多 数据泄露已成为企业和公共部门领域的一个常见特征,近几个月来加拿大零售商遭受的网络攻击越来越多。
2020年,Telsus旗下的另一家公司Medisys Health Group成为勒索软件攻击的受害者,骗子在攻击中窃取了属于约6万名客户的个人信息。
该事件影响了该公司约5%的客户,其中包括姓名、联系信息、省级健康号码和测试结果。该公司当时说,财务信息和社会保险号码没有在这次攻击中被盗。
在Telus再次发起调查之际,连锁书店Indigo证实其在2月8日遭到勒索软件攻击,该攻击泄露了一些前任和现任员工的信息。
加拿大第二大连锁超市Sobeys的母公司Empire Co. Ltd.去年11月遭遇安全漏洞。该事件导致其连锁药店四天内无法配药,而自助结账机、礼品卡使用和忠诚度积分兑换等其他店内功能则关闭了大约一周。
新西兰《先驱报》最新的头条新闻称,新西兰一家主要初级医疗机构遭受网络攻击后,被盗的敏感病人文件和高级数据,已被一个与俄罗斯有联系的勒索软件集团发布到暗网上。
在昨晚的一份声明中,经营数十家北岛全科医生诊所的Pinnacle Midlands健康网络证实,在上周发生“网络事件”后,被盗材料已被上传至暗网网络。
虽然受影响的患者人数尚未公开,但初步报告显示,黑客可能已经获得了多达45万人的信息。
Pinnacle公司首席执行官贾斯汀·布彻(Justin Butcher)告诉《先驱报》,非法获得的信息是由“恶意行为者”上传到暗网上的。
这些信息和数据涉及到Pinnacle集团在怀卡托、湖区、塔拉纳基和泰拉维提地区过去和现在的病人和客户。它还包括塔拉纳基、罗托鲁瓦、陶波-图兰吉、泰晤士-科罗曼德和怀卡托地区的初级保健有限公司(PHCL)的做法。
漏洞中的信息包括与使用医院服务有关的高级数据,与Pinnacle提供的服务有关的索赔信息,以及围绕个别病人的免疫和筛查状态发送给诊所的信息。
Butcher证实:“在过去的24小时里,我们的安全专家通知我们,从我们的IT平台上获取的数据已被恶意行为者发布。”
“我们承认,这将涉及到我们的病人和他们的家族,我们正在认真对待这个问题,我们当前的重点是支持那些可能受到影响的人,并与当局合作,以确保我们正在做我们需要做的一切。”
虽然Pinnacle没有持有全科医生的笔记和咨询记录,但Butcher说公司“现在对被盗数据的广度有了更清楚的了解”。
“这是非常不幸的,我们很伤心,因为这也影响了我们的家庭。像这样的网络事件是一个持续的威胁,虽然它们是恶意行为者的行为,但我们对可能受到影响的每个人都感到同情。”
Pinnacle一直在与警方和隐私专员办公室联系。警方昨天不愿发表评论。
消息人士告诉《先驱报》,一个名为ALPHV的勒索软件团伙,也被称为黑猫,发布了Pinnacle集团旗下一家诊所的病人评估,标有“机密”字样。它还发布了关于预算目标的财务备忘录、电子表格和护照扫描件,以及其他文件,这些文件似乎取自Pinnacle的内部系统。
《先驱报》没有访问ALPHV在暗网上发布的Pinnacle文件,但网络安全行业的一位人士向其展示了屏幕截图。
总部设在新西兰的网络安全公司Emisoft的威胁分析师Brett Callow告诉《先驱报》:“与其他勒索软件操作一样,ALPHV使用发布数据的威胁作为敲诈勒索的额外手段。”
“近年来,世界各地的医疗保健行业越来越成为营利性网络犯罪分子的目标。”
像ALPHV这样的组织经常在暗网上提供数据样本的“尝鲜”,要么迫使受害者支付网络赎金,要么在某些情况下征求数据的投标价格。在其他国家,曾有黑客试图勒索个别病人,以及向医疗机构勒索款项的案例。
ALPHV在8月因其对能源公司的攻击而成为头条新闻,并开创了可搜索的被盗数据在线数据库,以此作为打击受害者的一种方法。
Unit 42是纳斯达克上市的网络安全巨头Palo Alto Networks的一个部门,其董事会包括前总理约翰·基爵士,该部门已将ALPHV成员与俄罗斯联系起来,称该组织使用俄语与其成员或附属机构进行沟通,并且以运营着称在俄罗斯网络犯罪论坛上。
5月,GCSB总干事安德鲁·汉普顿(Andrew Hampton)警告说,新西兰可能成为支持普京的黑客的目标。
如果第一次泄密没有得到回应,通常会有更多敏感数据被泄露到暗网上。这些信息被提供给知情的网络犯罪分子。Pinnacle文件被发布到暗网,谷歌无法搜索,甚至无法通过普通网络浏览器访问,需要特殊的软件Tor浏览器。
该网络攻击发生在9月28日。在10月4日的新闻发布会上,Pinnacle不愿透露它是否正在与黑客进行谈判。
Butcher随后表示,他相信被盗信息可能包括商业和个人的详细信息。同一天晚些时候,他告诉RNZ的Checkpoint,被黑的系统并不包含临床记录。
ALPHV发布的患者档案被标记为“机密神经心理学报告”。它来自Pinnacle集团以外的一个供应商,并详细说明了与一个人的ACC索赔有关的评估。它是为怀卡托的一个病人准备的,是ALPHV所说的来自Pinnacle的文件集的一部分。
Aura信息安全公司的网络安全专家Alastair Millar告诉RNZ,身份被盗的可能性让受影响的人很担心,但Pinnacle对此持开放态度,并指出人们可以使用ID Care支持服务和工具来保护他们的身份。
但Millar表示,黑客可能会寻求大笔资金作为交换,或者在暗网上出售数据,就像去年对怀卡托地区卫生委员会的一次黑客攻击中所做的那样。
他说,通过人们的国家健康保险(NHI)号码和联系信息,黑客可以获得信用卡、贷款或购买礼品卡。
警方建议不要支付网络赎金。他们说,不能保证被盗数据会被销毁或归还(或冻结的系统被解锁),并且付款既资助又激励了此类犯罪。
然而,在新西兰,支付网络赎金并不违法。但政府表示,采取这样的措施会将受害者定为刑事犯罪。
Butcher说,Pinnacle还与司法部支持的ID Care合作,该机构为那些担心自己是身份盗窃受害者的人提供帮助,并可以指导人们完成冻结信用记录的过程。
ID Care已经建立了一个专门针对Pinnacle网络漏洞的页面。人们还可以拨打ID Care的个案管理中心的电话0800 121 068。
Optus是新加坡电信旗下的一家公司,自2001年起由新加坡电信完全拥有。Optus目前是澳大利亚第二大电信供应商,仅次于澳大利亚电信公司。据悉,该电信公司近期发生了数据泄露事件,数据在暗网网站Breached.to上被出售。
被盗的Optus数据可能在暗网上被出售 BreachForums暗网网站上的一篇帖子声称正在出售这些数据,其中包括电子邮件地址、出生日期、名字和姓氏、电话号码、驾驶执照和护照号码。
提到的数据集尚未得到电信运营商Optus公司、警方或情报机构的确认或核实,但一些数字已得到记者的验证。
警方发言人告诉澳大利亚广播公司:“澳大利亚联邦调查局(AFP)知道有报告称,被盗的Optus客户数据和证书可能通过一些论坛出售,包括暗网。”
“AFP正在使用专业能力和其他技术来监控暗网,并将毫不犹豫地对那些违法的人采取行动。”
网络安全公司Internet2.0的联合创始人罗伯特·波特(Robert Potter)曾就网络攻击向美国和澳大利亚政府提供建议,他说这些数据是真实的。
波特先生告诉澳大利亚广播公司:“我可以肯定地说,这些数据是真实的信息,其中包括以前在其他违规事件中没有看到的电子邮件地址。”
“一些数据仍然是加密的。Optus应该确认这是否来自他们的系统。”
在澳大利亚,网上购买被盗凭证是一种犯罪行为,最高可判处10年监禁。
在周五的媒体发布会上,Optus首席执行官Kelly Bayer Rosmarin表示,该公司知道有报道称Optus的数据在网上被出售。
Bayer Rosmarin女士说:“当你将这类信息公开时,其中一个挑战是你可以让很多人声称很多事情。”
“据我们所知,没有任何已被验证和出售的东西,但团队正在研究每一种可能性。”
周六,Optus以警方的建议为由,不愿对该暗网帖子发表评论。
发言人说:“我们正在与澳大利亚联邦调查局协调,因为这现在是一项刑事调查。”
“鉴于调查,Optus不会对声称由第三方持有的客户数据的合法性发表评论,并敦促所有客户在他们的网上交易中保持谨慎。我们再次表示歉意。”
一些网络专家呼吁对网上出售数据的报道持谨慎态度,警告说这可能是试图利用媒体的关注。
Optus正在核实数据泄露事件 Optus的首席执行官Kelly Bayer Rosmarin将数据泄露描述为“老练的犯罪分子”的结果。虽然网络攻击背后的动机尚不清楚,但她说需要“提高警惕” 。Optus首席执行官表示,在最坏的情况下,980万客户可能会受到数据攻击的影响。
Optus正在继续联系所有涉及网络攻击的客户。
发言人说:“我们将从身份证号码可能已被泄露的客户开始,所有这些客户将在今天之前得到通知。”
Optus还建议客户在网上保持警惕,小心诈骗。
“如果客户收到声称来自Optus的链接的电子邮件或短信,请他们注意这不是来自Optus的通信。请不要点击任何链接。”发言人说。
“我们被告知,我们宣布这次袭击可能会引发犯罪分子的一些索赔和诈骗。”
Optus客户现在应该怎么做? Optus仍在鼓励客户“格外警惕”。这家电信运营商警告: 留意您的在线账户的任何可疑或意外活动,并立即向您的供应商报告任何欺诈活动。
留意社交媒体上的可疑电子邮件、短信、电话或信息。
切勿点击任何看起来可疑或要求提供密码、个人或财务信息的链接
Scamwatch建议Optus客户通过更改在线账户密码和启用银行业务的多因素身份验证来保护他们的个人信息。
澳大利亚消费者和竞争委员会(ACCC)表示,任何怀疑自己是欺诈受害者的Optus客户都应该要求禁止其信用记录,并对来自声称代表银行或政府机构的意外电话保持高度怀疑。
谁会受到Optus数据泄露事件的威胁? Optus还不确定。Optus称:这是一次复杂的攻击。
“不说太多,IP地址不断移动,来自欧洲的各个国家。”Bayer Rosmarin女士周五早上说。
在客户数据方面,Bayer Rosmarin女士表示,这次攻击影响的Optus的客户,可以追溯到2017年。
Optus周四证实,客户的姓名、出生日期、电话号码、电子邮件地址、驾驶执照号码、护照号码或地址可能在攻击中被访问。
客户的付款详情和账户密码没有被泄露。
REvil勒索软件团伙声称对中国电器制造商美的集团发起了黑客攻击,并且已经在暗网里发布了据信是被盗的数据。
曾经占暗网勒索主导地位的REvil勒索软件团伙,有时被称为Sodinokibi,在2021年对Kaseya进行臭名昭著的黑客攻击后关闭了几个月,于2022年4月重新出现。
美的集团是REvil自今年早些时候重新出现以来首批备受瞩目的受害者之一,尽管尚未正式确认此次攻击的真实性。
美的集团几乎遍布全球,他们的空调,包括冰箱、洗衣机和微波炉在内的家用电器几乎可以在世界上每家商店找到。
这家价值数十亿美元的中国公司自称是世界第一大家电制造商,并与全球组织和体育俱乐部(如曼城足球俱乐部和科林蒂安)有广泛的商业合作。
该公司声称其年均收入为533亿美元,在《财富》全球500强排行榜上位列第245位。
REvil声称从美的集团窃取了各种不同的数据,包括其产品生命周期管理(PLM)系统——含有蓝图和固件源码,以及“其准备出售”的财务信息,它在一个公告帖子中说。
它还声称拥有“大量源代码”和来自Git和SVN版本控制系统的数据,“这些数据[它]将很快公布”。
从REvil的暗网博客中可以看到,其窃取了相当多的内部数据。根据该勒索软件团伙发布的屏幕截图,美的集团被盗的数据远多于3.09TB。
REvil已经在暗网上发布了大量据称取自美的集团的文件,其中包括对物理和数字身份文件的扫描、据称该公司VMwarev Sphere客户端内部的屏幕截图、大量压缩的7zip存档和SSH密钥。
REvil因采用双重勒索模式进行勒索行动而闻名,出售数据的威胁,虽然似乎已经解除了一些,但与该团伙的旧方法一致。虽然他们以一贯的方式威胁说,如果不支付赎金,就会出售数据,但数据已经在同一时间被公布。
在4月重新出现后,REvil表示,它的另一个受害者印度石油公司拒绝与其谈判,导致该公司的被盗数据被泄露。
勒索组织REvil来自俄罗斯,以对Kaseya和JBS Foods等大公司的历史性攻击而闻名,但作为2021年11月国际执法协调行动的一部分,该集团的部分成员被逮捕。
俄罗斯执法部门还在2022年1月逮捕了更多被指控的成员,尽管一些人认为这样做可能是为了作为反对美国的政治筹码。
俄罗斯执法部门FSB称,他们设法完全关闭了REvil活动并逮捕了所有14名剩余成员,FSB曾表示“犯罪组织不再存在,其用于犯罪目的的基础设施已被摧毁”。
但是知名恶意软件研究和安全分析专家VX-Underground(@vxunderground)在昨天发布的Twitter帖子中称:
较低级别的分支机构和附属成员被逮捕,而不是主要成员。被捕的人被指控犯有轻罪,处以小额罚款,然后被释放。
Lower-level affiliates and money mules were arrested, not key members.
The individuals arrested were charged with minor crimes, issued small fines, and released.
— vx-underground (@vxunderground) September 1, 2022 REvil在暗网博客上(http://blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd.onion/Blog)发布的公告内容如下:
美的集团是一家中国电器制造商,总部位于广东佛山顺德区北滘镇,在深圳证券交易所上市。截至2021年,该公司在中国和海外拥有约150,000名员工,拥有200个子公司和60多个海外分支机构。收入400亿以上,美的集团由五个战略业务支柱组成:智能家居、工业技术、建筑技术、机器人与自动化和数字创新。美的集团在200多个国家和地区拥有超过16万名员工,在2022年全球财富500强排行榜上排名第245位。
我们有来自plm系统的所有数据(蓝图、固件的来源等),也有我们准备出售的财务信息。
大量的源代码,git和svn,将很快发布。
并将入侵的部分截图、压缩包证据发布在:http://ttn4gqpgvyy6tuezexxhwiukmm2t6zzawj6p3w3jprve36f43zxr24qd.onion/Midea/