宝马集团遭Everest勒索软件攻击
发布时间 2025-09-191. 宝马集团遭Everest勒索软件攻击
9月17日,德国宝马集团遭遇Everest勒索软件组织攻击,成为8月31日捷豹路虎后不到一个月内第二个被黑的豪华汽车品牌。该组织在暗网洋葱站点发布公告,声称窃取了宝马“关键审计文件”,并设置两个倒计时钟,一个显示9月14日“录音”将不可用(剩余不足24小时),另一个要求公司48小时内联系谈判。宝马总部位于慕尼黑,拥有160,000名员工,在15国设30余生产基地,2024年全球产量超240万辆(中国占30%),年收入超1.42亿欧元。此次攻击涉及旗下Mini、劳斯莱斯及Motorrad摩托车部门。Everest未透露是否窃取客户数据。Everest自2021年活跃,2023年以来暗网博客列248名受害者,近12个月攻击超90名组织。宝马集团尚未回应,事件调查仍在进行。
https://cybernews.com/news/bmw-ransomware-attack-everest-claim-everest-luxury-target-jlr-trend/
2. 佛罗里达布里瓦德医疗协会遭大规模数据泄露
9月18日,总部位于佛罗里达州墨尔本的布里瓦德医疗协会1月遭遇严重数据泄露事件,影响范围波及近25万人。该机构作为当地重要医疗保健服务提供者,于1月中旬发现系统遭入侵,经调查确认攻击者可能窃取了个人身份信息及受保护的健康数据。尽管9月5日向缅因州总检察长办公室提交通知时未披露具体人数,但美国卫生与公众服务部医疗数据泄露追踪系统显示,实际受影响人数高达246,711人,涵盖患者、员工及合作伙伴相关敏感信息。BianLian勒索软件组织已宣称对此次攻击负责,并声称窃取内容不仅包括个人信息与健康记录,还涉及会计、人力资源数据库及合作方往来邮件等文件。值得注意的是,该组织自3月底起已无公开活动记录,目前被盗数据去向仍不明确。目前,事件调查仍在进行中,相关机构正试图追溯数据流向并评估潜在风险。
https://www.securityweek.com/nearly-250000-impacted-by-data-breach-at-medical-associates-of-brevard/
3. 俄罗斯KrasAvia航空公司疑遭网络攻击致数字服务中断
9月18日,俄罗斯地区航空公司KrasAvia发布声明称,其部分数字服务因系统故障中断,成为疑似网络攻击浪潮中该国航空业遭遇的最新事件。这家总部位于克拉斯诺亚尔斯克的航司表示,专家正全力降低航班时刻表风险并尽快恢复运营。截至当地时间周四晚间,其网站已瘫痪,在线售票暂停,乘客无法进行数字值机,但航班仍按计划运行。该公司主要执飞中西伯利亚及蒙古航线。尽管KrasAvia未明确承认网络攻击,但向当地媒体透露此次故障与俄罗斯旗舰航司Aeroflot 7月底遭遇的故障类似。Aeroflot此前因疑似网络攻击导致严重延误和取消,亲乌克兰黑客组织“沉默乌鸦”(Silent Crow)及白俄罗斯网络游击队(Belarusian Cyber Partisans)宣称对此负责,并声称窃取了飞行记录、内部通话音频及监控资料。周四,区域性Telegram频道Borus发布截图,显示KrasAvia网页被篡改,俄航及KrasAvia标识被划掉,附文“我们还没开始……”,并出现“沉默乌鸦”头像图标。
https://therecord.media/russia-krasavia-airline-disrupted-suspected-cyberattack
4. SystemBC代理僵尸网络:长期活跃的恶意流量引擎
9月18日,SystemBC代理僵尸网络自2019年起持续活跃,成为多个勒索软件团伙及犯罪组织传递恶意载荷的核心通道。该网络日均维护约1500个机器人节点,主要利用全球范围内存在未修补严重漏洞的商业虚拟专用服务器(VPS)构建,其中近80%的节点来自大型商业供应商的受感染VPS系统。这些服务器平均存在20个未修复的安全问题,且至少包含一个高危漏洞,部分案例甚至暴露161个漏洞,导致感染寿命显著延长,近40%的系统感染时间超过一个月。SystemBC的核心功能是允许攻击者通过受感染主机路由恶意流量,并隐藏命令与控制(C2)活动以规避检测。其80余个C2服务器不仅直接连接代理节点,还为REM Proxy、越南VN5Socks代理网络及俄罗斯网络抓取公司等客户提供分层服务。值得关注的是,该网络与俄罗斯存在技术关联:新感染服务器会下载带有俄语注释的shell脚本,强制并行运行所有SystemBC样本;核心节点托管全部180个恶意软件样本。
https://www.bleepingcomputer.com/news/security/systembc-malware-turns-infected-vps-systems-into-proxy-highway/
5. PyPI使GhostAction供应链攻击中被盗的令牌失效
9月18日,Python软件基金会宣布已使9月初GhostAction供应链攻击中窃取的所有PyPI令牌失效,并确认威胁行为者未滥用这些令牌在Python包索引(PyPI)发布恶意软件。此次事件源于9月5日GitGuardian员工报告的恶意GitHub Actions工作流(如FastUUID)试图窃取PyPI令牌至远程服务器,另一研究人员同日发送的详情邮件因误入垃圾邮件文件夹,导致PyPI安全团队直至9月10日才启动响应。调查显示,攻击者通过修改存储库工作流,将存储为GitHub机密的PyPI令牌发送至外部服务器。尽管成功窃取部分令牌,但未在PyPI平台使用。GitGuardian在超570个受影响存储库中提交GitHub问题,并通报GitHub、npm及PyPI安全团队。PyPI团队随后使所有受影响令牌失效,协助项目所有者加强账户安全。值得注意的是,GhostAction攻击波及范围远超PyPI:GitGuardian估计超3.3万个机密被盗,涉及PyPI、npm、DockerHub、GitHub、Cloudflare API令牌及AWS访问密钥、数据库凭证等,影响包括Rust、JavaScript、Go在内的多语言代码库,部分企业整个SDK产品组合遭入侵。
https://www.bleepingcomputer.com/news/security/pypi-invalidates-tokens-stolen-in-ghostaction-supply-chain-attack/
6. 韩国乐天卡遭黑客攻击,300万用户数据泄露
9月18日,韩国第五大信用卡发行商乐天卡于9月披露重大数据泄露事件,涉及297万用户,成为今年全球最大数据泄露事件之一。金融监督院调查显示,7月22日至8月27日期间,该公司在线支付服务器遭黑客攻击,超过200GB数据被窃取。泄露信息包含连接记录、虚拟支付代码、内部识别号及交易类型等,其中约28万用户因卡号、有效期和安全码在电商场景暴露,面临直接非法使用风险。乐天卡已为高风险用户启动换卡程序,截至周三已有5.5万用户完成换卡,其余269万用户数据被评估为低敏感度,暂无需重新发卡。目前未检测到未经授权交易。事件根源直指安全管理漏洞:攻击者于8月12日扫描服务器漏洞,次日植入恶意代码,14-15日窃取1.7GB数据,后续通过代理Web Shell持续提取交易日志,最终2700个泄露文件中仅56%加密。乐天卡直至8月26日例行检查才发现入侵,系统暴露近两周。更令人震惊的是,该漏洞最早于2017年被发现,但海外支付服务器因访问量低被遗漏修补,形成关键安全缺口。
https://www.koreaherald.com/article/10578647
京公网安备11010802024551号