里士满放射学协会披露超140万人数据泄露事件
发布时间 2025-07-211. 里士满放射学协会披露超140万人数据泄露事件
7月20日,拥有百年历史的美国弗吉尼亚州私人放射科诊所里士满放射学协会(Radiology Associates of Richmond, RAR)公开披露了一起大规模数据泄露事件,影响范围覆盖超过140万人的个人信息及受保护健康信息(PHI)。据调查,威胁行为者于2024年4月2日至6日期间入侵RAR系统,但直至2025年5月2日通过外部网络安全专家协助的取证分析,才确认其网络环境中存在未经授权的访问,并导致包含社保号码等敏感数据的泄露。RAR强调,尽管目前无证据表明数据已被滥用,但已主动通知受影响个体,并为社保号码泄露者提供免费信用监控服务,同时建议相关人员持续关注财务及医疗记录异常。作为弗吉尼亚州中部重要的医疗影像服务提供商,RAR自1905年成立以来,始终为多家医院和门诊机构提供X光、CT、MRI等诊断及介入手术支持。此次事件暴露出其网络安全防御的潜在漏洞,攻击者通过长期潜伏实现了对系统的深度渗透,凸显医疗行业在数据保护上面临的严峻挑战。
https://securityaffairs.com/180128/data-breach/radiology-associates-of-richmond-data-breach-impacts-1-4-million-people.html
2. 流行的npm包被网络钓鱼劫持,用于植入恶意软件
7月19日,流行npm包eslint-config-prettier及其关联库因维护者遭遇网络钓鱼攻击,被植入恶意代码并发布至官方仓库,影响数百万开发者。此次供应链攻击通过窃取维护者凭证实现,凸显开源生态系统的安全脆弱性。攻击目标包括每周下载量超3000万次的eslint-config-prettier及其他关联包。维护者JounQin确认,其npm令牌因点击伪装成“support@npmjs.com”的钓鱼邮件被盗,导致攻击者发布恶意版本。这些版本的后安装脚本(install.js)包含隐蔽函数logDiskSpace(),实际通过rundll32执行捆绑的node-gyp.dll木马。该DLL在VirusTotal上检测率仅19/72,表明多数杀毒软件未能识别。事件曝光后,开源社区迅速响应:JounQin已撤销被盗令牌并计划发布修复版本,受影响包被标记为“已弃用”。开发者被警告避免使用特定恶意版本,并需检查package-lock.json等锁文件及CI日志,尤其是Windows环境下的异常行为。此外,建议轮换可能暴露的密钥,并警惕维护者其他包的潜在篡改。
https://www.bleepingcomputer.com/news/security/popular-npm-linter-packages-hijacked-via-phishing-to-drop-malware/
3. 新的CrushFTP零日漏洞被利用来劫持服务器
7月18日,企业文件传输服务器CrushFTP披露一起正在被积极利用的零日漏洞(CVE-2025-54309),该漏洞允许攻击者通过Web界面直接获取服务器管理权限。作为支持FTP、SFTP、HTTP/S等协议的安全文件共享平台,CrushFTP的漏洞暴露引发对关键基础设施数据泄露风险的广泛关注。据CrushFTP首席执行官Ben Spink证实,威胁行为者自7月18日起开始大规模利用此漏洞,但实际攻击可能早于7月1日发布的旧版本(v10.8.5及v11.3.4_23之前)。值得注意的是,该公司此前针对HTTP(S)协议中AS2相关问题的修复意外阻断了此次零日漏洞的利用路径,通过默认关闭部分低频功能,间接提升了系统安全性。然而,攻击者通过逆向工程识别出未被完全修复的漏洞,并针对未更新系统发起定向攻击。CrushFTP强调,及时升级至最新版本可完全规避风险,而采用DMZ隔离主服务器的企业客户则不受影响。对于已遭入侵的系统,管理员需检查MainUsers/default/user.XML文件是否存在异常修改或未知管理员账户。此外,上传下载日志中的异常活动、默认用户配置被篡改等均为关键入侵指标。
https://www.bleepingcomputer.com/news/security/new-crushftp-zero-day-exploited-in-attacks-to-hijack-servers/
4. 日本联合国际机构发布Phobos和8Base勒索软件免费解密器
7月18日,日本警方联合欧洲刑警组织等机构,针对广泛传播的Phobos和8Base勒索软件家族发布免费解密工具,为全球受害者提供无需支付赎金的文件恢复方案。该解密器支持.phobos、.8base、.elbie、.faust、.LIZARD等多种扩展名文件,可从日本警方官网及欧洲刑警组织“NoMoreRansom”平台下载。尽管部分浏览器误报其安全性,但经测试该工具有效且无害,已被美国FBI等机构推广为官方数据恢复解决方案。不过,NoMoreRansom提醒用户,使用前需先用可靠防病毒软件清除系统内恶意软件,否则文件可能被反复加密。Phobos勒索软件自2019年5月起以“勒索软件即服务(RaaS)”模式活跃,其变种通过钓鱼邮件、RDP端口扫描等手段入侵网络,利用Smokeloader、Cobalt Strike等开源工具传播。2023年,关联组织8Base浮现,采用双重勒索策略,并将勒索软件组件嵌入加密载荷,通过SmokeLoader内存加载实施攻击。该组织自2022年3月起针对金融、制造等行业的中小型企业,2023年5-6月活动激增,2024年3月被美国CISA、FBI等机构联合预警。
https://securityaffairs.com/180108/malware/authorities-released-free-decryptor-for-phobos-and-8base-ransomware.html
5. 俄罗斯最大酒类零售商WineLab遭网络攻击致门店关闭
7月18日,俄罗斯最大酒类专卖连锁店WineLab及其母公司Novabev Group近日遭遇大规模网络攻击,导致其IT系统瘫痪、门店关闭及线上服务中断。此次事件被Novabev称为“前所未有的协同攻击”,攻击者通过入侵集团IT基础设施,暂时中断了部分关键服务和工具的可用性,直接影响WineLab数千家实体店及线上业务的正常运营。截至报道发布时,该公司网站仍处于离线状态,移动应用购买功能亦受限,IT团队正全天候修复系统。此次攻击导致全国门店自7月14日起关闭,线上配送系统瘫痪,成为俄罗斯近年来影响最广泛的企业级网络攻击事件之一。Novabev集团确认,攻击者提出赎金要求,但公司明确拒绝支付,并强调“不会满足任何威胁行为者的条件”。尽管调查仍在进行,该公司表示尚未发现客户个人数据泄露的证据。目前,尚无勒索软件组织公开认领此次攻击。
https://www.bleepingcomputer.com/news/security/russian-alcohol-retailer-winelab-closes-stores-after-ransomware-attack/
6. 美国安妮阿伦德尔皮肤科诊所数据泄露影响190万人
7月18日,2025年2月14日至5月13日期间,美国中大西洋及东南部最大的皮肤科医疗机构之一安妮阿伦德尔皮肤科诊所(AAD)遭遇严重数据泄露事件,影响范围覆盖超过190万人。该诊所成立于50多年前,总部位于马里兰州,在七个州运营着100余家诊所,拥有275名临床医生,提供内科、外科、美容及皮肤病理学等全科服务。事件发生后,AAD迅速检测到系统异常并启动防护措施,展开全面调查。5月20日,审查确认入侵者访问了包含个人信息或健康信息的文件;6月27日,诊所正式通知受影响个体,称“可能涉及姓名、联系方式、医疗记录等敏感数据”,但强调目前未发现信息被实际滥用或欺诈的证据。为降低风险,AAD为受影响者提供24个月的免费身份保护服务,并建议定期监控账户交易及信用报告。
https://securityaffairs.com/180100/data-breach/anne-arundel-dermatology-data-breach-impacts-1-9-million-people.html
京公网安备11010802024551号