為此2024年，網(wǎng)絡(luò)安全領(lǐng)域經(jīng)歷了一場前所未有的風(fēng)暴。從微軟高管郵箱被黑客攻陷，到全球數(shù)百萬系統(tǒng)因軟件故障陷入癱瘓，這一年充滿了驚心動魄的網(wǎng)絡(luò)安全事件。隨著數(shù)據(jù)泄露規(guī)模的不斷擴大和勒索軟件攻擊的愈演愈烈，企業(yè)和個人都面臨著前所未有的挑戰(zhàn)。

在2024年即將結(jié)束之際，安全牛盤點了2024年發(fā)生的一些網(wǎng)絡(luò)安全的重大事件，揭示這些事件背后的復(fù)雜攻擊手段和對全球安全格局的深遠影響。在這個數(shù)字化時代，網(wǎng)絡(luò)安全已不再是一個可選項，而是每個組織和個人必須面對的現(xiàn)實。

十大網(wǎng)絡(luò)安全事件

1.微軟高管郵箱被“午夜暴雪”攻陷

2024年1月，微軟披露其遭到了威脅組織“午夜暴風(fēng)雪”的攻擊。攻擊者主要針對微軟的高級領(lǐng)導(dǎo)團隊成員以及網(wǎng)絡(luò)安全、法務(wù)等部門的員工，竊取了部分電子郵件和附件，同時還訪問了一些源代碼庫和內(nèi)部系統(tǒng)。

攻擊者首先通過一個遺留的非生產(chǎn)測試租戶賬戶獲得訪問權(quán)限，使用密碼噴灑攻擊，這種攻擊方式涉及同時對多個賬戶嘗試大量常見密碼。在獲得初步立足點后，他們從被攻陷的賬戶中竊取了電子郵件和文件。

雖然微軟表示此次攻擊并未影響客戶環(huán)境、生產(chǎn)系統(tǒng)、源代碼或人工智能系統(tǒng)，但事件暴露了微軟內(nèi)部網(wǎng)絡(luò)的安全漏洞，包括未啟用的多因素認證（MFA）和測試賬號權(quán)限過大等問題

2.CrowdStrike更新失誤致全球Windows系統(tǒng)崩潰

2024年7月19日發(fā)生的CrowdStrike更新故障導(dǎo)致的微軟“藍屏死機”故障被認為是歷史上最大的IT中斷事件之一，影響了全球數(shù)百萬個系統(tǒng)，并導(dǎo)致各行業(yè)面臨重大運營挑戰(zhàn)。此次故障的估計財務(wù)損失約為100億美元，使其在規(guī)模和對全球商業(yè)運營的影響方面成為歷史性事件。

此次故障是由于CrowdStrike的Falcon Sensor安全軟件的配置更新錯誤引發(fā)的。該更新被識別為Channel File 291，包含一個邏輯錯誤，導(dǎo)致軟件驅(qū)動程序（CSagent.sys）發(fā)生越界內(nèi)存讀取，從而導(dǎo)致系統(tǒng)崩潰。受影響的Windows系統(tǒng)出現(xiàn)了臭名昭著的藍屏死機。

全球約有850萬臺微軟Windows系統(tǒng)受到影響，導(dǎo)致航空、銀行、醫(yī)療和緊急服務(wù)等關(guān)鍵行業(yè)出現(xiàn)廣泛中斷。此次事件導(dǎo)致的運營失敗包括航班取消、支付處理問題和基本服務(wù)中斷。

3.黎巴嫩突發(fā)尋呼機大規(guī)模群體爆炸

在2024年9月，黎巴嫩首都境內(nèi)用于通訊的大量尋呼機被遠程引爆，造成至少12人死亡，約2800多人受傷，其中包括數(shù)十名真主黨成員和伊朗駐黎巴嫩大使。

爆炸是由發(fā)出信號的尋呼機引發(fā)的，這些尋呼機在引爆前會發(fā)出聲響。報告顯示，這些設(shè)備在爆炸前會發(fā)出嗶嗶聲或震動，促使用戶將其靠近臉部，從而增加了使用者遭受重傷的可能性。調(diào)查顯示，爆炸物可能隱藏在尋呼機的鋰電池內(nèi)。這種復(fù)雜的方式使得在設(shè)備被激活之前幾乎不可能被檢測到。

黎巴嫩移動設(shè)備爆炸事件揭示了一個令人不安的趨勢：網(wǎng)絡(luò)攻擊正在從虛擬領(lǐng)域向現(xiàn)實物理世界擴展，并已經(jīng)能夠?qū)ΜF(xiàn)實世界造成切實的破壞和傷害。傳統(tǒng)的網(wǎng)絡(luò)攻擊主要側(cè)重于竊取數(shù)據(jù)、破壞數(shù)字系統(tǒng)，或通過軟件和網(wǎng)絡(luò)漏洞削弱基礎(chǔ)設(shè)施。然而，黎巴嫩移動終端爆炸事件表明，網(wǎng)絡(luò)手段能夠直接造成物理破壞，數(shù)字攻擊可能轉(zhuǎn)化成為實際的人員傷亡。

4.Change Healthcare 因勒索攻擊損失25億美元

2024 年2 月披露的美國醫(yī)療支付服務(wù)提供商 Change Healthcare 遭遇的勒索軟件攻擊事件，導(dǎo)致數(shù)千家藥房和醫(yī)療提供者因此面臨重大運營挑戰(zhàn)，約 1億人的個人信息受到影響。

臭名昭著的勒索軟件組織 ALPHV/BlackCat 聲稱對此次泄露事件負責(zé)。攻擊者通過從缺乏多因素認證的 Citrix 門戶獲取的被盜憑證訪問了 Change Healthcare 的系統(tǒng)。他們在網(wǎng)絡(luò)中潛伏了大約九天，未被發(fā)現(xiàn)，隨后部署了勒索軟件。

此次攻擊干擾了超過100個Change Healthcare 應(yīng)用程序，導(dǎo)致系統(tǒng)中斷，影響了全國范圍內(nèi)的計費、保險索賠處理、處方藥交付等關(guān)鍵功能。由于系統(tǒng)被加密，許多醫(yī)院和藥房無法正常處理索賠和接收付款，導(dǎo)致醫(yī)療服務(wù)中斷。此外，攻擊還導(dǎo)致了大量敏感數(shù)據(jù)被盜，包括個人身份信息、醫(yī)療記錄、賬單記錄和保險數(shù)據(jù)等。

與此次攻擊相關(guān)的總成本預(yù)計將超過 24.5 億美元，包括贖金支付、恢復(fù)工作和法律責(zé)任。據(jù)報道，Change Healthcare 支付了 2200 萬美元的贖金，盡管這一支付并未阻止另一個名為 RansomHub 的組織進行進一步的敲詐。 

5.Snowflake 被黑導(dǎo)致165家企業(yè)數(shù)據(jù)泄露

2024年4月中旬開始，Snowflake披露遭遇重大數(shù)據(jù)泄露事件，影響了包括Ticketmaster、Santander和AT&T等大型公司在內(nèi)的至少165個組織，導(dǎo)致大量敏感數(shù)據(jù)被盜。此次泄露導(dǎo)致超過3000萬條銀行賬戶信息、2800萬條信用卡號碼和大量員工的個人身份信息（PII）被曝光。

黑客組織ShinyHunters利用了Snowflake客戶的薄弱安全實踐，特別是缺乏多因素認證（MFA）和不良的密碼管理，使用從非Snowflake系統(tǒng)的惡意軟件攻擊中獲得的有效憑證獲得了訪問權(quán)限。此次泄露導(dǎo)致敏感客戶數(shù)據(jù)的未經(jīng)授權(quán)訪問，包括財務(wù)信息和個人身份信息。報告顯示，黑客試圖在暗網(wǎng)論壇上出售這些數(shù)據(jù)，聲稱擁有數(shù)百萬客戶的記錄。

在泄露事件發(fā)生后，Snowflake公司強調(diào)此次事件并非由于其平臺的缺陷，而是由于用戶賬戶被攻陷。他們敦促客戶實施多因素認證并加強安全配置。

6.美國國家公共數(shù)據(jù)黑客事件影響1.7億人

2024年8月，美國國家公共數(shù)據(jù)披露發(fā)生嚴重的敏感數(shù)據(jù)泄露事件，引發(fā)了對處理敏感個人信息的組織的數(shù)據(jù)安全實踐的嚴重擔(dān)憂。在該事件中，黑客暴露了敏感的個人信息，包括社會安全號碼、地址和電話號碼。此次數(shù)據(jù)泄露事件涉及 29 億條記錄，可能影響到多達 1.7 億人，涵蓋美國、英國和加拿大。

2023 年底，黑客試圖滲透國家公共數(shù)據(jù)的系統(tǒng)。攻擊者利用了NPD基礎(chǔ)設(shè)施中的多個安全漏洞，包括未修補的軟件缺陷和薄弱的訪問控制。這些弱點使他們能夠獲得未經(jīng)授權(quán)的訪問權(quán)限，并在網(wǎng)絡(luò)內(nèi)橫向移動，未被檢測到長達數(shù)月。到 2024 年4 月，被盜數(shù)據(jù)已在暗網(wǎng)上出售。泄露的全部范圍在 2024 年8 月變得明顯，導(dǎo)致多起針對該公司的訴訟。

國家公共數(shù)據(jù)因此面臨嚴重后果。該公司于 2024年10 月申請破產(chǎn)，并最終在 12 月關(guān)閉。

7.網(wǎng)絡(luò)攻擊導(dǎo)致西雅圖機場陷入混亂

2024年8月，由美國西雅圖港管理的西雅圖-塔科馬國際機場（SEA）遭遇了一次重大的勒索軟件攻擊，導(dǎo)致廣泛的運營混亂和干擾。這一事件因其對機場服務(wù)的影響以及在高峰旅行期間給旅客帶來的挑戰(zhàn)而備受關(guān)注，并提醒業(yè)界針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)犯罪分子所帶來的威脅正在不斷增長。

勒索軟件組織Rhysida在發(fā)起攻擊后，要求支付600萬美元的比特幣，威脅稱如果不滿足他們的要求，將公開從機場系統(tǒng)中竊取的敏感數(shù)據(jù)。

此次攻擊影響了多個關(guān)鍵系統(tǒng)，包括乘客顯示屏、Wi-Fi連接、自助值機、售票和行李處理系統(tǒng)和flySEA移動應(yīng)用程序和西雅圖港網(wǎng)站等。盡管航班繼續(xù)運營，但許多服務(wù)受到嚴重影響。由于自動化系統(tǒng)的故障，乘客不得不依賴人工值機和紙質(zhì)登機牌。這種情況在繁忙的勞動節(jié)周末造成了長隊和旅客間的混亂。

到9月初，西雅圖港宣布大部分受影響的系統(tǒng)已恢復(fù)。然而，一些關(guān)鍵功能在攻擊后仍然離線數(shù)周。聯(lián)邦調(diào)查局（FBI）和其他機構(gòu)對該事件展開了調(diào)查。雖然在攻擊過程中一些數(shù)據(jù)被加密，但在系統(tǒng)恢復(fù)后沒有發(fā)現(xiàn)其他惡意活動的證據(jù)。 

8.AT&T泄露超億個客戶敏感信息

2024年7月，AT&T披露遭遇了一次重大的數(shù)據(jù)泄露事件，暴露了近乎1.09億客戶敏感信息，這一數(shù)據(jù)幾乎覆蓋所有其無線客戶。該事件對這家電信巨頭造成了廣泛的影響。

該泄露事件發(fā)生在2024年4月14日至4月25日之間，涉及對托管在第三方云平臺上的AT&T工作區(qū)的未經(jīng)授權(quán)訪問。黑客組織ShinyHunters利用云服務(wù)上不安全的存儲賬戶竊取客戶數(shù)據(jù)。

此次泄露涉及約1億AT&T無線客戶的通話和短信記錄，以及使用AT&T網(wǎng)絡(luò)的移動虛擬網(wǎng)絡(luò)運營商（MVNO）客戶的數(shù)據(jù)。

AT&T在2024年5月向攻擊者支付了約37萬美元的加密貨幣，以確保刪除被盜數(shù)據(jù)并獲得其銷毀的證明。聯(lián)邦通信委員會（FCC）在泄露事件后對AT&T的數(shù)據(jù)保護措施展開了調(diào)查。2024年9月，AT&T同意支付與該調(diào)查相關(guān)的1300萬美元和解金。在泄露事件后，AT&T面臨多起來自受影響客戶的集體訴訟，尋求對其數(shù)據(jù)暴露的問責(zé)。

9.倫敦多家NHS醫(yī)院因勒索攻擊運營受影響

2024年6月初，病理學(xué)和診斷服務(wù)提供商Synnovis遭受勒索軟件攻擊，嚴重影響倫敦幾家大型英國國家醫(yī)療服務(wù)體系（NHS)醫(yī)院的運營，攻擊迫使受影響的醫(yī)院取消部分醫(yī)療程序，部分患者被轉(zhuǎn)至其他醫(yī)院。NHS發(fā)出緊急呼吁，倡議倫敦市民捐獻O型血。

Synnovis是歐洲最大的醫(yī)療檢測和診斷提供商SYNLAB的病理學(xué)合作伙伴。6月3日，Synnovis在其網(wǎng)站上發(fā)布公告，承認遭遇勒索軟件攻擊，攻擊影響了Synnovis的所有IT系統(tǒng)，導(dǎo)致許多病理學(xué)服務(wù)中斷。

倫敦NHS發(fā)表了關(guān)于Synnovis勒索軟件攻擊的聲明，證實該事件對蓋伊醫(yī)院和圣托馬斯醫(yī)院、倫敦國王學(xué)院醫(yī)院以及倫敦東南部初級保健服務(wù)產(chǎn)生重大影響。

NHS確認勒索軟件攻擊已擾亂血液配型測試，因此受影響的醫(yī)院正在為無法等待血液配型檢測的患者使用O型血液，NHS呼吁市民緊急捐獻O型血。

10. Ivanti零日漏洞被大規(guī)模利用

在2024年初，研究人員觀察到Ivanti 云服務(wù)設(shè)備的Connect Secure和Policy Secure網(wǎng)關(guān)中存在多個零日漏洞被利用。關(guān)于進一步漏洞和實際利用的報告迅速出現(xiàn)，影響了包括政府、軍事、電信、技術(shù)、金融、咨詢和航空航天等多個行業(yè)的Ivanti客戶。

在攻擊過程中，攻擊者同時利用了多個漏洞，特別是 CVE-2024-9379、CVE-2024-9380 和 CVE-2024-9381，以及之前披露的路徑遍歷漏洞 CVE-2024-8963。這種鏈接允許攻擊者提升權(quán)限并執(zhí)行任意命令，從而顯著增加數(shù)據(jù)泄露和系統(tǒng)泄露的風(fēng)險。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）在1月發(fā)布了一項緊急指令，要求所有政府民用聯(lián)邦機構(gòu)緩解這些零日漏洞的風(fēng)險。

2024年網(wǎng)絡(luò)攻擊的幾個關(guān)鍵特征

安全牛分析發(fā)現(xiàn)，2024年發(fā)生的重大網(wǎng)絡(luò)安全事件主要呈現(xiàn)出以下6個特點：

1. 多因素認證的缺乏和密碼管理不善

多個事件（如微軟和Snowflake的攻擊）表明，缺乏多因素認證和不良的密碼管理是導(dǎo)致數(shù)據(jù)泄露的主要原因之一。攻擊者利用這些弱點，通過密碼噴灑和憑證盜竊等方式獲得訪問權(quán)限。

2.勒索軟件攻擊的廣泛影響

勒索軟件攻擊在2024年繼續(xù)對各行業(yè)造成重大影響，包括醫(yī)療、航空和公共基礎(chǔ)設(shè)施等領(lǐng)域。攻擊者不僅竊取數(shù)據(jù)，還通過加密關(guān)鍵系統(tǒng)來中斷運營，要求高額贖金。

3. 物理世界的網(wǎng)絡(luò)攻擊

黎巴嫩的尋呼機爆炸事件表明，網(wǎng)絡(luò)攻擊正在從虛擬領(lǐng)域擴展到物理世界，能夠直接造成物理破壞和人員傷亡。這種趨勢顯示出網(wǎng)絡(luò)攻擊的復(fù)雜性和潛在的危險性。

4.關(guān)鍵基礎(chǔ)設(shè)施的脆弱性

西雅圖機場和NHS醫(yī)院的攻擊事件突顯了關(guān)鍵基礎(chǔ)設(shè)施在面對網(wǎng)絡(luò)攻擊時的脆弱性。這些攻擊導(dǎo)致了廣泛的運營中斷，影響了大量人員的日常生活。

5.日漏洞的利用

Ivanti的零日漏洞被大規(guī)模利用，顯示出攻擊者對新發(fā)現(xiàn)的漏洞迅速加以利用的能力。這種情況增加了各行業(yè)面臨的安全風(fēng)險，尤其是那些依賴于特定技術(shù)和服務(wù)的行業(yè)。

6. 數(shù)據(jù)泄露的規(guī)模和影響

2024年發(fā)生的多起數(shù)據(jù)泄露事件（如AT&T和美國國家公共數(shù)據(jù)）涉及數(shù)億條記錄，影響范圍廣泛。這些事件引發(fā)了對數(shù)據(jù)保護措施的質(zhì)疑，并導(dǎo)致了法律和財務(wù)后果。

總體而言，2024年的網(wǎng)絡(luò)攻擊顯示出攻擊手段的多樣化和復(fù)雜化，強調(diào)了加強網(wǎng)絡(luò)安全措施和提高對新興威脅的響應(yīng)能力的重要性。通過對這些事件的回顧，我們希望能夠為企業(yè)和個人提供有價值的見解，幫助他們在這個充滿挑戰(zhàn)的數(shù)字時代更好地保護自己的信息和資產(chǎn)。