以色列沙米尔医疗中心遭麒麟勒索软件攻击
发布时间 2025-10-101. 以色列沙米尔医疗中心遭麒麟勒索软件攻击
10月2日,以色列沙米尔医疗中心(Assaf Harofeh)在赎罪日期间遭遇“麒麟”勒索软件组织大规模网络攻击。该组织宣称已完全渗透医院IT系统,窃取约8TB敏感数据,包括患者私人健康记录、内部通讯及关键运营信息,并仅提供4份样本文件作为证据。黑客要求医院在72小时内回应并协商赎金支付,否则将公开全部数据,威胁称若引入执法或安全机构将加速泄露进程。沙米尔医疗中心位于特拉维夫郊外,年患者容量达90%,服务以色列中部超百万居民,涵盖门诊、急诊及特殊医疗需求,其服务社区包含多元宗教、经济背景人群。此次攻击恰逢犹太教重要圣日赎罪日(10月1日-2日),引发对攻击动机的猜测。医疗数据泄露可能造成严重后果:患者隐私暴露可能导致身份盗窃、欺诈及社会工程攻击风险;医疗流程中断或延误危及生命救治;机构声誉及财务数据受损。
https://cybernews.com/news/israel-shamir-medical-center-ransowmare-attack-qilin-8t-patient-data-stolen/
2. Intelliloan抵押贷款违规事件暴露客户敏感数据
10月2日,加州抵押贷款机构Intelliloan近日向客户发送违规通知信,披露其2025年3月29日发生的黑客攻击事件导致大量敏感数据泄露。该公司自1993年成立以来,已为多州数万笔贷款提供资金,但此次事件中未透露具体受影响人数,引发数据泄露律师及国家律师事务所调查并提起集体诉讼。通知显示,黑客可能获取的信息包括姓名、社会安全号码、地址、出生日期、驾照号码、政府ID、账号及信用卡信息,甚至涉及抵押贷款申请人的个人健康信息。这些信息使客户面临金融欺诈、身份盗窃及社会工程攻击风险。Intelliloan在9月26日的信函中称,公司于5月已向德克萨斯州总检察长办公室报告违规行为,并持续与执法部门合作,加强系统安全,开展员工安全意识培训及数据安全评估。为减轻客户损失,公司通过TransUnion信用局提供免费信用监控及身份恢复服务,并建议客户密切监控账户活动,及时报告可疑行为。
https://cybernews.com/news/intelliloan-mortgage-breach-customer-data-exposed-social-security-numbers-drivers-licenses/
3. Lynx勒索软件攻击医疗巨头亨利·施恩子公司TriMed
10月3日,与俄罗斯关联的Lynx勒索软件团伙宣称攻破医疗保健巨头亨利·施恩(Henry Schein)旗下子公司TriMed系统,并将敏感数据泄露至暗网。亨利·施恩作为年收入126.7亿美元的全球最大医疗保健产品服务分销商,业务覆盖33国,其子公司TriMed此次遭遇网络攻击导致部分IT系统瘫痪,公司已下线相关系统并聘请外部专家调查事件范围。据暗网数据样本显示,Lynx窃取了包括高管通信、法律文件、知识产权(如外科产品原型设计)、个人身份文件(驾照、护照)及财务信息(IBAN、银行账号)等敏感数据。其中一封泄露的高管邮件披露了数百万美元资金流动细节,此类信息极易被用于针对高层的鱼叉式网络钓鱼攻击。Lynx团伙自2024年中起以勒索软件即服务(RaaS)模式运营,主要攻击金融、建筑、制造业及能源零售行业,已列196名受害者,包括英国Dodd Group、美国True World Group等。
https://cybernews.com/security/lynx-ransomware-trimed-henry-schein/
4. DraftKings遭遇凭证填充攻击,少量客户账户受影响
10月7日,体育博彩巨头DraftKings向部分客户发出数据泄露通知,称其账户在近期凭证填充攻击中遭黑客入侵。此次攻击源于攻击者利用自动化工具,通过窃取其他在线服务的用户名/密码对实施凭证填充,试图接管账户以窃取信息。DraftKings强调,攻击者仅能访问“有限量”非敏感数据,包括客户姓名、地址、出生日期、电话号码、电子邮件、支付卡后四位、交易记录、账户余额及密码修改日期,但未触及政府身份证号、完整金融账户信息等可致身份盗窃或银行账户入侵的关键数据。受影响客户不足30人,且调查未发现DraftKings系统遭入侵或客户经济损失。作为应对措施,DraftKings要求受影响客户重置账户密码,并启用多因素身份验证(如DK Horse账户)。同时建议用户主动更改账户密码、检查银行账户与信用报告、冻结信用档案并设置欺诈警报,以防范潜在风险。
https://www.bleepingcomputer.com/news/security/draftkings-warns-of-account-breaches-in-credential-stuffing-attacks/
5. Salesforce拒绝因大规模数据盗窃攻击支付赎金
10月7日,2025年,Salesforce遭遇大规模数据盗窃事件,涉及两次独立攻击。第一次始于2024年底,威胁组织"Scattered Lapsus$ Hunters"通过社会工程攻击冒充IT支持人员,诱骗员工连接恶意OAuth应用至Salesforce实例,导致谷歌、思科、阿迪达斯等企业数据泄露。第二次始于2025年8月,攻击者利用被盗的SalesLoft Drift OAuth令牌入侵客户CRM环境,窃取支持票证数据及凭证、API令牌等敏感信息,ShinyHunters宣称此次窃取超760家企业约15亿条记录,涉及Google、Cloudflare、Palo Alto Networks等科技巨头。威胁行为者建立数据泄露网站breachforums[.]hn,勒索39家受影响企业,包括联邦快递、迪士尼/Hulu、万豪、香奈儿等知名品牌,声称若不支付赎金或Salesforce一次性支付所有客户赎金,将公开近10亿条数据记录。Salesforce明确拒绝谈判或支付赎金,并警告客户威胁行为者正计划泄露数据。目前,该网站域名已被FBI查封,域名服务器指向曾被FBI用于查封域名的Cloudflare服务器。
https://www.bleepingcomputer.com/news/security/salesforce-refuses-to-pay-ransom-over-widespread-data-theft-attacks/
6. Crimson Collective黑客瞄准AWS云实例窃取数据
10月8日,过去数周,威胁组织“Crimson Collective”持续针对AWS云环境发起攻击,以窃取数据并实施勒索。该组织宣称对Red Hat事件负责,称从数千个私有GitLab仓库窃取570GB数据,并通过与Scattered Lapsus$ Hunters合作加大勒索力度。Rapid7研究显示,攻击者利用TruffleHog开源工具扫描暴露的AWS凭证,通过破坏长期访问密钥和IAM账户提升权限。具体手法包括:通过API创建新IAM用户并附加“AdministratorAccess”策略获取完全控制权,随后枚举用户、实例、存储桶、数据库集群等资源,规划数据窃取路径。攻击者修改RDS主密码获取数据库访问权,创建快照导出至S3存储桶;对EBS卷快照后启动EC2实例,附加至允许安全组实现数据传输。完成数据窃取后,通过AWS SES及外部邮箱发送勒索信。值得注意的是,Crimson Collective在行动中重复使用部分IP地址,虽便于追踪但凸显其持续活跃性。AWS官方建议客户采用短期、最低权限凭证并实施限制性IAM策略,若怀疑凭证泄露可按指引操作或联系支持团队。
https://www.bleepingcomputer.com/news/security/crimson-collective-hackers-target-aws-cloud-instances-for-data-theft/
京公网安备11010802024551号