盘点2023年最大的网络安全和网络攻击事件

基因检测提供商23andMe遭受了撞库攻击，导致了重大的数据泄露，暴露了690万用户的数据。

该公司表示，在撞库攻击中，攻击者只破坏了少量账户。然而，威胁行为者通过滥用其他功能，获取了数百万个个体的数据。

威胁行为者试图出售被盗数据，但未能找到买家，随后，他们在一个黑客论坛上泄露了4,011,607名居住在英国的人的数据。

在最新的更新中，23andMe表示，此次泄露影响了690万人，其中550万人的DNA亲属功能受到影响，140万人的家谱功能受到影响。

该公司因这一违规行为面临着多起集体诉讼。

两家丹麦的主机提供商在一次勒索软件攻击中被迫关闭，由于大部分客户数据被加密，数据恢复未能成功。

CloudNordic在声明中写道：“我们既不能也不想满足犯罪黑客的赎金要求，目前CloudNordic的IT团队和外部专家一直在加紧工作，评估损害并确定有哪些可以恢复的内容。”

“遗憾的是，我们无法恢复更多的数据，我们的大部分的客户都失去了所有数据。”

一支名为匿名苏丹的黑客活动组织让所有人都大吃一惊，因为他们的DDoS攻击导致全球最大科技公司的网站和服务瘫痪。

该组织的攻击在成功关闭了微软服务的登录页面（包括Outlook、OneDrive和Azure门户）后引起了广泛的媒体关注。

一周后，微软最终确认这些中断是由DDoS攻击引起的。

DDoS攻击的增加及其影响促使美国网络安全与基础设施安全局（CISA）发布了一份关于这些事件的警告。

一支由英国大学研究人员组成的团队训练了一个深度学习模型，使用麦克风记录键盘的按键声音，以95%的准确度窃取数据。

当使用Zoom进行声音分类算法的训练时，预测准确度下降到93%，但仍然很高。

为了应对这些攻击，研究人员建议用户可以尝试改变打字风格或使用随机密码。其他防御措施包括使用软件重现按键声音、播放白噪音或使用基于软件的按键声音过滤器。

在2022年12月6日至12月8日之间，PayPal遭受了一次大规模的撞库攻击，导致攻击者能够访问34,942个账户。

撞库是一种攻击方法，黑客尝试使用各种网站数据泄露的用户名和密码来访问账户。

黑客能够访问账户持有人的全名、出生日期、地址、身份号码以及个人纳税识别号。

美国电视巨头和卫星广播提供商DISH Network在2023早些时候神秘地下线，其网站和移动应用程序连续几天无法正常工作。

DISH后来确认这次中断是由勒索软件攻击引起的，勒索软件团伙入侵了公司的Windows域控制器，并加密了VMware ESXi服务器和备份数据。

DISH发布数据泄露通知证实在攻击中发生了数据被窃取的情况，并暗示已支付赎金以防止被盗取的数据泄露。

数据泄露通知中写道：“我们不知道您的信息有任何滥用情况，并且我们已收到提取的数据已被删除的确认。”

网络托管巨头Godaddy表示，他们遭受了一次多年的入侵，使得未知的攻击者能够窃取源代码并在其服务器上安装恶意软件。

这次入侵始于2021年，使威胁行为者能够访问120万个托管在WordPress上的客户个人信息和凭证。

没有任何威胁行为者对这次攻击负责。

美高梅国际酒店集团遭受了大规模攻击，影响了众多系统，包括主要网站、在线预订以及ATM、老虎机和信用卡机等赌场内服务。

BlackCat勒索软件行动声称对此次攻击负责，其附属机构表示，他们在事件期间对100多个ESXi虚拟机管理程序进行了加密。

彭博社报道称，这一组织还侵犯了凯撒娱乐公司的网络，在一份Form 8-K的SEC文件中明示，他们付款给攻击者以防止客户被窃取的数据泄露。

虽然这次攻击规模巨大，但它也引起了一个名为“Scattered Spider”的松散黑客组织的广泛关注。

Scattered Spider，也称为0ktapus、Starfraud、UNC3944和Muddled Libra，擅长社会工程，依靠网络钓鱼、多因素身份验证(MFA)轰炸（有针对性的MFA疲劳）和SIM交换来获得大规模的初始网络访问权限。

该组织的成员是BlackCat勒索软件团伙的附属机构，包括年轻的以英语为主要语言的成员，具有各种技能，经常在相同的黑客论坛和Telegram频道中活动。

虽然许多人认为这是一个有凝聚力的团伙，但该团伙是一个由个体组成的网络，每次攻击都有不同的威胁行为者参与。这种流动的结构使得追踪它们变得具有挑战性。

3CX被朝鲜Lazarus黑客组织攻破，其利用该公司的互联网语音协议(VOIP)桌面客户端通过供应链攻击推送恶意软件。

3CX是一家VoIP IPBX 软件开发公司，其3CX电话系统被全球超过350,000家公司使用，每天拥有超过1200万用户。

在一名员工安装了被植入木马的Trading Technologies的X_TRADER软件后，3CX遭到了入侵，这使得威胁行为者能够窃取企业凭证并侵入网络。

攻击者推送了一个恶意软件更新，安装了一个以前未知的信息窃取恶意软件，以窃取存储在Chrome、Edge、Brave和Firefox用户配置文件中的数据和凭证。

在五月份，Barracuda披露他们的一些电子邮件安全网关（ESG）设备被黑客使用零日漏洞安装恶意软件并窃取数据。

这些攻击与中国的威胁行为者有关，他们利用这个漏洞自2022年以来感染了ESG设备，植入了新的名为'Saltwater'、'Seaspy'和'Seaside'的恶意软件。

CISA后来披露，Submarine和Whirlpool恶意软件也被用于在攻击中后门ESG设备。

在这场攻击中引人注目的是，Barracuda警告客户不要使用针对受影响的ESG设备的软件修复，而是要求他们必须免费更换他们的电子邮件安全网关（ESG）设备。

"受影响的ESG设备必须立即更换，无论补丁版本水平如何，"该公司当时警告说。

"Barracuda目前的整改建议是完全替换受影响的ESG设备。"

2023年2月，一场大规模勒索软件活动针对全球范围内暴露的VMware ESXi 服务器进行了攻击，迅速加密了数千家公司的虚拟机。

攻击发生后仅几小时，受害者在BleepingComputer的论坛报告称，与VMware ESXi虚拟机相关的vmxf、.vmx、.vmdk、.vmsd和.nvram等文件被加密。

由于为每个加密文件创建了一个.args文件，该勒索软件活动又被称为ESXiArgs。

VMware ESXi控制台首页被修改，显示了一份勒索说明，要求支付2.0781比特币，当时价值约49,000美元。

巴西国家电信局扣押进口的Flipper Zero，因为它们有可能被用于犯罪活动。

购买了Flipper Zero的巴西人报告说，由于没有在该国的无线电频率部门获得认证，他们的货物被重定向到了巴西电信局Anatel。

Anatel将这个设备标记为用于犯罪目的的工具。

6月，卡巴斯基的研究人员首次披露了一种名为“三角测量行动”的新型零点击iOS攻击，用于在iPhone上安装TriangleDB间谍软件。

攻击始于黑客发送一个恶意的iMessage附件，当iOS处理时，会自动触发一个零点击的利用链。零点击利用意味着不需要用户的互动就能触发攻击。

这次攻击链接了以下四个零日iOS漏洞，以安装间谍软件：

CVE-2023-41990：ADJUST TrueType字体指令中的漏洞，通过恶意的iMessage附件实现远程代码执行。

CVE-2023-32434：XNU内存映射系统调用中的整数溢出问题，授予攻击者对设备物理内存的广泛读/写访问权限。

CVE-2023-32435：在Safari利用中使用，作为多阶段攻击的一部分执行Shellcode。

CVE-2023-38606：使用硬件MMIO寄存器的漏洞，绕过页面保护层（Page Protection Layer，PPL），覆盖基于硬件的安全保护。

上周，卡巴斯基披露了最后一个零日漏洞CVE-2023-38606，该漏洞滥用了苹果芯片中的一个未记录的功能，绕过了基于硬件的安全保护。

尽管三角测量行动攻击并没有影响很多设备，但它可能是迄今为止见过的最复杂的iOS攻击之一。

MOVEit Transfer是由美国Progress Software Corporation子公司Ipswitch开发的托管文件传输（MFT）解决方案，允许企业使用SFTP、SCP和基于HTTP的上传在业务伙伴和客户之间安全传输文件。

这个漏洞使得威胁行为者能够侵入MOVEit Transfer服务器并下载存储的数据。

Clop勒索软件团伙声称对这些攻击负责，该团伙此前曾通过Accellion FTA 和GoAnywhere中的零日漏洞发起过类似的攻击

根据Emsisoft的数据显示，已有2,706个组织受到了这个漏洞的侵害，超过9300万人的个人数据被涉及。