Medusa勒索软件攻击密西西比最大医院
发布时间 2026-03-191. Medusa勒索软件攻击密西西比最大医院
3月18日,Medusa勒索软件团伙近日宣称对密西西比州最大医院密西西比大学医学中心(UMMC)及新泽西州帕塞克县的网络攻击负责。该团伙被专家认为在俄罗斯境内运营,目前已向两家机构分别索要80万美元赎金。UMMC是密西西比州最重要的医疗机构,拥有1万名员工,运营着该州唯一的儿童医院、唯一一级创伤中心、唯一四级新生儿重症监护室以及唯一的器官移植项目。2月底,该机构遭受网络攻击后全面停摆9天,医护人员被迫使用模拟工具操作精密系统。癌症输液中心不得不重新安排患者预约,其他科室只能依靠纸笔管理物资和治疗。UMMC关闭了全部35个诊所,但医院和急诊部门保持运营。美国联邦调查局和国土安全部介入协助恢复工作。医院于3月2日全面重新开放,Medusa团伙随后声称对此负责,威胁于3月20日前泄露从医院窃取的数据。UMMC发言人拒绝就赎金威胁发表评论。帕塞克县拥有近60万人口,两周前遭遇恶意软件攻击,政府办公室电话线和IT系统瘫痪。Medusa团伙同样声称对此负责并索要80万美元赎金。
https://therecord.media/medusa-ransomware-mississippi-cyber
2. 身份保护公司Aura遭钓鱼攻击泄露90万用户数据
3月18日,身份保护公司Aura近日确认,未经授权的第三方通过针对员工的语音钓鱼攻击获取了近90万条客户记录,包含姓名和电子邮件地址等敏感信息。该公司本周向受影响用户发出通知,并表示已通知执法部门。Aura是一家消费数字安全公司,销售身份盗窃保护、信用和欺诈监控以及在线安全工具。此次泄露的数据源自2021年收购的一家公司所使用的营销工具,暴露了约20,000名当前客户和15,000名前客户的有限信息。受影响的客户信息包括全名、电子邮件地址、家庭住址和电话号码。公司强调,社会安全号码、账户密码和财务信息未受影响。威胁组织ShinyHunters本周早些时候在其数据勒索网站上声称对此攻击负责,表示窃取了12GB包含客户个人身份信息(PII)及企业数据的文件。HaveIBeenPwned(HIBP)服务分析了泄露数据并将其添加到数据库中,指出客户服务评论和IP地址也被暴露。HIBP表示,此次事件中暴露的90%电子邮件地址已存在于其过去安全事件数据库中。
https://www.bleepingcomputer.com/news/security/aura-confirms-data-breach-exposing-900-000-marketing-contacts/
3. CISA将SharePoint和Zimbra漏洞列入KEV目录
3月18日,美国网络安全和基础设施安全局(CISA)近日将微软SharePoint和SynacorZimbra协作套件的两个漏洞添加到其已知被利用漏洞(KEV)目录中。根据约束操作指令BOD22-01,联邦民事机构必须在规定日期前修复这些漏洞,以保护网络免受利用这些漏洞的攻击。第一个漏洞编号为CVE-2026-20963,CVSS评分为8.8,是微软OfficeSharePoint中的不受信任数据反序列化漏洞,允许授权攻击者在网络上执行代码。CISA已命令联邦机构在2026年3月21日前修复此漏洞。第二个漏洞编号为CVE-2025-66376,CVSS评分为7.2,是经典用户界面中的存储型跨站脚本(XSS)漏洞,攻击者可以利用电子邮件HTML中的CSS@import指令进行攻击。联邦机构需在2026年4月1日前修复此漏洞。专家建议私营组织也应审查KEV目录并修复其基础设施中的相关漏洞。
https://securityaffairs.com/189628/security/u-s-cisa-adds-microsoft-sharepoint-and-zimbra-flaws-to-its-known-exploited-vulnerabilities-catalog.html
4. 金融服务商Marquis遭勒索攻击泄露67万用户数据
3月18日,德克萨斯州金融服务提供商Marquis近日披露,2025年8月遭受的勒索软件攻击导致超过67万人的数据被盗,该事件还影响了美国74家银行的运营。Marquis为美国700多家银行、信用合作社和抵押贷款机构提供数字营销、数据分析、合规和客户关系管理服务。该公司在12月初向美国司法部提交的数据泄露通知中表示,2025年8月14日,威胁行为者攻陷SonicWall防火墙后对其网络发起勒索软件攻击。攻击者窃取了大量个人和财务信息,包括受害者姓名、出生日期、地址、电话号码、社会安全号码、纳税人识别号以及不含安全码或访问码的财务账户信息。Marquis在本周向672,075名受影响者发送的数据泄露通知信中表示:"事件仅限于Marquis系统,未影响客户系统。"客户于2025年12月10日审查了受影响文件,随后努力验证和识别信息可能受事件影响的个人,并尽快获取个人最新邮寄地址信息。
https://www.bleepingcomputer.com/news/security/marquis-ransomware-gang-stole-data-of-672-000-people-in-2025-cyberattack/
5. DarkSword iOS漏洞利用工具包窃取加密货币钱包数据
3月18日,新型iOS设备漏洞利用工具包和交付框架"DarkSword"近日被发现用于窃取广泛个人信息,包括加密货币钱包应用数据。移动安全公司Lookout研究人员在调查Coruna攻击基础设施时发现了DarkSword,谷歌威胁情报小组和iVerify也参与了对这一未知威胁的综合分析。DarkSword针对运行iOS18.4至18.7版本的iPhone,与多个威胁行为者关联,包括疑似俄罗斯的UNC6353。该工具包利用六个漏洞,编号分别为CVE-2025-31277、CVE-2025-43529、CVE-2026-20700、CVE-2025-14174、CVE-2025-43510和CVE-2025-43520。iVerify研究结果表明,该漏洞链中利用的所有缺陷均为已知漏洞,苹果已在最新iOS版本中修复。谷歌威胁情报小组表示,DarkSword自2025年11月以来被多个威胁行为者使用,部署了三个恶意软件家族:GHOSTBLADE是JavaScript数据窃取程序;GHOSTKNIFE是可泄露各类数据的后门;GHOSTSABER是可枚举设备和账户、执行JavaScript代码的JavaScript后门。
https://www.bleepingcomputer.com/news/security/new-darksword-ios-exploit-used-in-infostealer-attack-on-iphones/
6. Nordstrom官方邮箱发送加密货币钓鱼邮件
3月18日,美国高端百货连锁店Nordstrom的客户近日收到来自合法公司邮箱地址的欺诈邮件,推广伪装成圣帕特里克节促销活动的加密货币骗局。该邮件承诺收件人在两小时内将加密货币存入特定钱包地址可获得双倍返还。欺诈邮件声称:"将加密货币发送至您的任何唯一存款地址,我们将立即返还您发送金额的200%。"多名客户在社交媒体上报告收到此类邮件,部分客户表示邮件发送到了从未在线泄露过的地址。威胁行为者仅给予收件人两小时行动时间,制造紧迫感使Nordstrom客户更可能匆忙参与"交易"而忽视骗局迹象,如标题中公司名称拼写错误为"Normstorm"。然而,由于邮件来自mailto:nordstrom@eml.nordstrom.com这一Nordstrom用于营销、销售和促销通信的官方地址,任何欺骗迹象都可能被忽视,这表明存在安全漏洞。Nordstrom未回应置评请求,但客户报告公司发送了警告邮件,敦促成员忽略之前的"未经授权"邮件。
https://www.bleepingcomputer.com/news/security/nordstroms-email-system-abused-to-send-crypto-scams-to-customers/
京公网安备11010802024551号