Gunra勒索软件团伙窃迪拜美国医院4.5亿条记录
发布时间 2025-06-061. Gunra勒索软件团伙窃迪拜美国医院4.5亿条记录
6月4日,一个勒索软件团伙声称窃取了迪拜美国医院(AHD)多达4.5亿条的患者记录,并威胁将在6月8日公开这些数据。AHD是迪拜地区最负盛名的私人医疗保健提供商之一,成立于1996年,拥有254张床位的急症护理机构,提供40多个专业的服务,以医疗创新闻名。据称,该勒索软件团伙窃取了总计4TB的未压缩数据,包括个人信息、信用卡号、账单历史记录、阿联酋身份证号码以及临床记录等敏感信息。然而,研究团队检查的样本数据似乎主要涉及财务信息,如财务报告、工资单和账单记录等医院内部文件。若完整数据集确实包含该团伙所声称的内容,此次泄露将可能对隐私和监管产生严重影响,特别是在涉及金融和国家身份证数据且网络安全法严格的地区。值得注意的是,实施此次攻击的Gunra勒索软件集团是勒索软件领域的新兴威胁行为者,于2025年4月出现,自成立以来已造成12名受害者。该团伙针对房地产、制药和制造业等多个行业,采用双重勒索手段,威胁泄露被盗数据以获取经济利益。
https://cybernews.com/security/gunra-ransomware-american-hospital-dubai-breach/
2. 塞浦路斯旗舰航空系统遭入侵,41GB乘客信息泄露
6月4日,塞浦路斯旗舰航空公司系统遭入侵,攻击者声称窃取了多达41GB的乘客数据,包括姓名、电子邮件、旅行记录、旅行日期、已付金额、文档信息、电话号码等,并表示仍能访问该系统,可实时查看航班动态。目前,研究团队已对攻击者附上的数据样本展开调查,初步判定大部分数据真实有效,涵盖乘客及部分员工信息,部分数据可追溯至2025年6月3日。攻击者很可能通过票务管理软件获取了这些信息,不过幸运的是,目前尚未发现支付卡数据泄露的迹象。此次数据泄露事件若属实,将给相关方带来严重威胁。攻击者可能利用这些信息进行网络钓鱼攻击、金融欺诈和身份盗窃,冒充航空公司诱骗客户泄露更多敏感信息,或利用窃取的信息创建虚假身份,危及个人隐私。此外,更专业的威胁行为者可能利用乘客出行信息寻找空置房屋进行入室盗窃,甚至尝试冒充受害者欺骗银行等机构。值得注意的是,航空公司因掌握大量敏感乘客信息,已成为黑客攻击的重点目标。
https://cybernews.com/security/cyprus-airways-breach-passenger-data-stolen/
3. FBI警告:BADBOX 2.0恶意软件感染超百万家庭设备
6月5日,美国联邦调查局警告,BADBOX 2.0恶意软件活动已感染超100万台家庭互联网连接设备,将消费电子产品转变为用于恶意活动的住宅代理。该僵尸网络常见于中国基于Android的智能电视、流媒体盒等物联网设备上,由数百万台受感染设备组成,维护大量代理服务后门,网络犯罪分子可通过出售或免费提供受感染家庭网络访问权限用于犯罪活动。这些设备可能预装该恶意软件,或在安装固件更新、通过恶意Android应用程序感染。网络犯罪分子通过在用户购买产品前配置恶意软件或在设备下载包含后门的应用程序时感染设备,从而获得对家庭网络的未经授权访问。一旦受感染的物联网设备连接到家庭网络,就易成为BADBOX 2.0僵尸网络和住宅代理服务的一部分。感染后,设备会连接到攻击者的命令和控制服务器,接收执行命令,如住宅代理网络、广告欺诈、凭证填充等。BADBOX 2.0由原始BADBOX恶意软件演变而来,2023年首次被发现,后不断扩张,虽2024年德国网络安全机构破坏了该国僵尸网络,但威胁行为者未停止,一周后该恶意软件已安装在19.2万台设备上,还出现在更主流品牌上。到2025年3月,已有超100万台消费设备受感染,覆盖222个国家,受感染设备数量最多的是巴西、美国、墨西哥和阿根廷。在联合行动中,BADBOX 2.0僵尸网络再次被破坏,阻止了超50万台受感染设备与攻击者服务器通信,但僵尸网络仍在增长。
https://www.bleepingcomputer.com/news/security/fbi-badbox-20-android-malware-infects-millions-of-consumer-devices/
4. 美水务公司多控制室仪表板可无密码连公网
6月5日,TLS证书中的遗留问题暴露出美国水务公司存在严重安全隐患。去年10月,Censys研究团队对工业控制主机进行例行扫描时,发现证书中嵌入“SCADA”字样,该标签与工业控制环境中的监控系统相关。团队在多个基于浏览器的HMI平台实例中发现相同证书识别名,并从每个IP地址获取屏幕截图,发现水处理厂的实时过程图形,包括水箱水位、氯泵状态及警报等。深入挖掘后,研究人员发现每家受影响的公用事业公司都使用由HMI软件生成的相同Web服务器布局,且证实主机为市政供水设施。这些系统处于三种状态:已验证、只读和未验证,其中40个系统完全未经身份验证,任何人都能通过浏览器控制。鉴于目标为公共事业单位,Censys跳过逐一披露程序,向美国环境保护署和未具名的HMI供应商发送批量报告。电子表格列出每个IP地址、端口、可能位置及安全状态。九天内,美国环保署报告24%的暴露系统已设置防火墙或强化;一个月后,在供应商推出多因素身份验证和更严格访问规则指南后,这一数字跃升至58%。截至2025年5月,只读或未经身份验证的系统数量已降至不足20个。
https://www.securityweek.com/misconfigured-hmis-expose-us-water-systems-to-anyone-with-a-browser/
5. ClickFix仿Booking.com邮件诈骗激增,含RAT与窃密程序
6月5日,Cofense Intelligence发现,冒充Booking.com的ClickFix电子邮件诈骗数量激增,此类诈骗包含远程攻击工具(RAT)和信息窃取程序。自2024年11月以来,ClickFix广告系列关注度稳步提升,2025年3月其广告投放量占总投放量的47%。Cofense主动威胁报告显示,75%的伪造验证码事件都使用了以Booking.com为主题的ClickFix模板,此外还有伪造Cloudflare Turnstile和Cookie同意横幅的变体。该骗局始于一封包含虚假验证码网站链接的电子邮件,点击后不会发送真正的验证码,而是向用户计算机发送有害脚本。ClickFix网站会指示用户按下特定键盘快捷键,在Windows中打开“运行”命令,粘贴并执行隐藏的恶意脚本,这些脚本通常包含伪装成验证码的有害命令。这些网站设计巧妙,看似知名品牌的合法页面,且仅针对Windows电脑。一旦恶意脚本运行,便会安装XWorm RAT等远程访问木马,以及Pure Logs Stealer和DanaBot等信息窃取程序,这些恶意软件旨在从远处秘密控制受害者计算机或窃取敏感数据。在某些情况下,RAT和信息窃取程序会同时出现。ClickFix的新方法诱导用户自行激活恶意软件,无需直接下载文件,凸显了对可疑电子邮件保持警惕的重要性。
https://hackread.com/clickfix-email-scam-fake-booking-com-emails-malware/
6. 全球3.5万套太阳能系统曝露于网络,存在重大安全隐患
6月5日,一项全面的网络安全调查揭示了快速扩张的太阳能基础设施中存在严重漏洞,全球42家供应商的近35,000台太阳能设备面临基于互联网的攻击风险。随着可再生能源系统日益融入关键电网基础设施,这一发现凸显了日益增长的安全担忧。欧洲在暴露设备方面占据主导地位,占易受攻击太阳能发电系统的76%,德国和希腊在受影响设备暴露程度上领先,意大利紧随其后。2025年5月9日,Forescout分析师使用Shodan搜索引擎发现了这些暴露在互联网上的太阳能设备,包括逆变器、数据记录器等。这项研究基于该网络安全公司早期的SUN:DOWN调查,该调查发现了46个影响太阳能系统的新漏洞。CONTEC SolarView Compact设备是太阳能漏洞被利用的典型案例,其互联网曝光率在短短两年内大幅增长,存在多个严重漏洞,目前正被僵尸网络运营商积极利用。当800台SolarView Compact设备在日本被成功劫持并用于银行账户盗窃行动时,这些漏洞的现实影响变得显而易见。Forescout研究人员确定了过去一年内专门针对这些太阳能设备的43个唯一IP地址,这些地址大多与已知的僵尸网络操作或自动漏洞扫描活动有关。为缓解这些风险,组织应避免将逆变器管理界面直接暴露给互联网,而是按照CISA指南实施基于VPN的远程访问。
https://cybersecuritynews.com/35000-solar-power-systems-exposed/
京公网安备11010802024551号