Synnovis遭麒麟勒索软件攻击致NHS患者数据泄露
发布时间 2025-11-141. Synnovis遭麒麟勒索软件攻击致NHS患者数据泄露
11月12日,英国病理服务提供商Synnovis于2024年6月遭受麒麟勒索软件团伙攻击,导致部分患者数据被盗,涉及NHS号码、姓名、出生日期及部分可匹配的检测结果。该公司成立于2021年,由国际医疗诊断商SYNLAB与盖伊和圣托马斯NHS基金会信托、国王学院医院NHS基金会信托合作运营,为包括NHS在内的英国医疗机构提供病理服务。此次攻击造成伦敦多家NHS医院运营严重受阻,包括国王学院医院、圣托马斯医院等,导致非紧急病理检查预约和输血服务取消或延迟,引发血液短缺,超800例手术和700例门诊预约被迫取消。攻击者曾于2024年6月20日泄露部分数据,促使Synnovis向英国信息专员办公室报告并获法律禁令,禁止进一步使用被盗数据。数据调查历时一年多,由法证专家团队完成,因数据结构混乱、不完整且零散,需定制化流程处理。Synnovis表示,大部分被盗信息需临床知识或补充信息才能解读,目前已启动受影响机构通知程序,预计2025年11月21日完成,但不会直接联系患者,由NHS机构负责患者通知。
https://www.bleepingcomputer.com/news/security/synnovis-notifies-of-data-breach-after-2024-ransomware-attack/
2. CISA将WatchGuard Fireware漏洞纳入已知利用目录
11月13日,美国网络安全和基础设施安全局(CISA)于周三将影响WatchGuard Fireware的CVE-2025-9242严重漏洞添加至其已知利用漏洞(KEV)目录,该漏洞已被证实遭到积极利用。CVE-2025-9242为越界写入漏洞,CVSS评分高达9.3,影响Fireware OS 11.10.2至11.12.4_Update1、12.0至12.11.3及2025.1版本。据CISA公告,该漏洞允许远程未授权攻击者在操作系统相关进程中执行任意代码,威胁性极高。漏洞根源在于IKE握手过程中身份缓冲区缺乏长度检查,且证书验证在易受攻击代码执行后才进行,导致攻击者可绕过认证直接触发漏洞。安全研究员McCaulay Hudson指出,这种设计缺陷使攻击路径在身份验证前即可被利用。截至2025年11月12日,全球仍有超过54,300个Firebox设备存在此漏洞,较10月19日的75,955台有所下降。其中,美国以18,500台居首,意大利(5,400台)、英国(4,000台)、德国(3,600台)和加拿大(3,000台)位列前五。联邦民事行政部门(FCEB)要求各机构在2025年12月3日前完成WatchGuard补丁安装。
https://thehackernews.com/2025/11/cisa-flags-critical-watchguard-fireware.html
3. 国际联合行动“终局行动”重创恶意软件
11月10日至14日,由欧洲刑警组织和欧洲司法组织协调、九国执法部门联合开展的“终局行动”最新阶段取得突破性成果,摧毁1025台用于Rhadamanthys信息窃取器、VenomRAT及Elysium僵尸网络运营的服务器,查封20个域名,并在希腊逮捕一名与VenomRAT相关的嫌疑人。此次行动得到Cryptolaemus、Shadowserver等12家私人机构支持,同步打击勒索软件、AVCheck网站及Smokeloader等僵尸网络基础设施。据欧洲刑警组织披露,被摧毁的恶意软件基础设施涉及数十万台受感染计算机,包含数百万条被盗凭证。主要嫌疑人可访问超10万个加密货币钱包,资产价值或达数百万欧元。多数受害者未察觉系统已遭入侵。执法机构建议公众通过politie.nl/checkyourhack和haveibeenpwned.com核查是否受影响。此次行动延续了“终局行动”对跨国网络犯罪的持续打击态势。
https://www.bleepingcomputer.com/news/security/police-disrupts-rhadamanthys-venomrat-and-elysium-malware-operations/
4. Akira勒索软件加密Nutanix虚拟机并扩展攻击能力
11月13日,美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)等机构联合发布公告,指出Akira勒索软件已扩展加密能力至Nutanix AHV虚拟机磁盘文件,并披露最新攻击细节。该勒索软件自2025年6月起开始针对Nutanix AHV平台的.qcow2格式虚拟磁盘文件实施加密,通过滥用SonicWall漏洞(CVE-2024-40766)突破访问控制,将攻击范围从VMware ESXi和Hyper-V扩展至Nutanix AHV。Nutanix AHV作为基于Linux的虚拟化解决方案,其广泛部署使其成为勒索软件团伙的新目标,类似此前对VMware ESXi和Hyper-V的攻击模式。攻击者通常利用暴露设备的VPN/SSH凭据或防火墙漏洞(如CVE-2024-40766)入侵企业网络,随后通过未修补的Veeam备份服务器漏洞(CVE-2023-27532、CVE-2024-40711)删除备份数据。在渗透后,攻击者使用nltest、AnyDesk、LogMeIn、Impacket等工具进行侦察和横向移动,创建管理账户实现持久化,并移除端点检测工具以规避防御。
https://www.bleepingcomputer.com/news/security/cisa-warns-of-akira-ransomware-linux-encryptor-targeting-nutanix-vms/
5. npm“IndonesianFoods”蠕虫,秒级自传播万包冲击供应链
11月13日,npm注册表遭遇名为“IndonesianFoods”的自传播蠕虫攻击,该蠕虫每七秒自动生成新软件包,已累计发布超10万个印尼语命名(如“fajar-donat9-breki”)的垃圾包,且数量呈指数级增长。据Sonatype分析,攻击者通过高自动化脚本持续轰炸开源生态系统,虽当前包体未含恶意组件,但未来可能嵌入数据窃取或后门程序,构成潜在威胁。此次攻击呈现三大特征:一是规模化破坏,单日触发亚马逊漏洞检测工具生成7.2万条漏洞报告,多个安全系统因数据洪流濒临瘫痪;二是经济动机明显,攻击者利用TEA区块链协议,在包中嵌入tea.yaml文件关联代币钱包,通过夸大包间关联度提升影响分数以赚取代币收益;三是历史演进清晰,自2023年起已累计发布4.3万包,2024年引入TEA货币化机制,2025年升级为蠕虫式复制循环。
https://www.bleepingcomputer.com/news/security/new-indonesianfoods-worm-floods-npm-with-100-000-packages/
6. 《华盛顿邮报》数据泄露事件影响近万名员工和承包商
11月13日,《华盛顿邮报》近日通知约9720名员工及承包商,其个人和财务数据在Oracle E-Business Suite零日漏洞攻击中遭泄露。此次事件发生于2025年7月10日至8月22日,攻击者利用该ERP平台的人力资源、财务和供应链管理功能中的未修补漏洞(后被追踪为CVE-2025-61884),窃取了包括全名、银行账号、路由号码、社会安全号码(SSN)、税务及身份证号码等敏感信息。9月下旬,黑客试图以此勒索该报,而甲骨文公司在调查期间披露了这一广泛存在的安全漏洞。作为美国发行量最大的日报之一,《华盛顿邮报》拥有约250万数字订阅用户。利用同一漏洞的受害者还包括哈佛大学、美国航空子公司Envoy Air及日立旗下GlobalLogic等机构。Clop勒索软件组织被指与这些攻击有关,其数据泄露网站列出了更多受影响组织。《华盛顿邮报》的调查于10月27日结束,确认数据泄露后,受影响个人通过IDX获得12个月免费身份保护服务,并被建议冻结信用档案及设置欺诈警报。
https://www.bleepingcomputer.com/news/security/washington-post-data-breach-impacts-nearly-10k-employees-contractors/
京公网安备11010802024551号