当前热讯：2022年7月份网络安全事件回顾

2022年7月份，德国建材巨头可耐福集团、数字安全巨头Entrust及意大利税务局都遭遇了勒索攻击，同时国内也有黑客制作了SafeSound勒索软件，通过游戏外挂进行传播，因此广大用户应提高警惕，防止勒索软件的攻击。

(资料图片仅供参考)

目录

微软警告：高风险蠕虫病毒正逐渐感染大量Windows网络

7月初，微软发布警告称，有一种高风险蠕虫正在感染数百个Windows企业网络。该恶意软件被称为“树莓知更鸟”（Raspberry Robin），是通过含有一个经过特殊处理后的.lnk快捷方式文件的受感染USB设备传播的。一旦用户点击这个文件，该蠕虫就会通过命令提示程序创建一个MSI exec.exe进程，并启动另一个恶意文件。然后，它通过一个简短的URL与命令和控制服务器进行通信。如果连接成功，它就会下载并安装一堆其他的恶意DLL，然后试图与Tor节点进行通信。

图：Raspberry Robin 感染流程 (Red Canary)

英国军队社交媒体账户被劫持

7月3日，英国陆军的推特（Twitter）和油管（YouTube）账户被黑，账号信息和用户名被篡改，并用于发布有关加密货币和电子产品的信息。据路透社报道称，在被黑客控制后，陆军的油管账户被更名为“方舟投资”，并播放了几个使用世界首富马斯克图像的加密货币有关视频，如今已恢复了原始状态。陆军的推特账号则被更名为Bapesclan，并更改了账户头像，头像是一个模仿小丑的卡通猴子。此外，该账户还转发了几篇与NFT（一种用于投资的电子艺术品）相关的帖子。

图：英国陆军的推特账号被篡改成了卡通猴子

以色列首都特拉维夫的地铁的网络遭到大规模攻击

7月4日，伊朗法尔斯通讯社（Fars News Agency）报道称，以色列首都特拉维夫地铁的操作系统和服务器遭到了大规模网络攻击。巴勒斯坦组织Sabareen通过其Telegram频道声称进行了攻击，该团伙还在Telegram中称，伊拉克黑客团伙Al-Tahera也瞄准了以色列数字情报机构。

酒店巨头万豪证实了又一起数据泄露事件

7月5日，酒店集团万豪国际集团已经证实了另一起数据泄露事件，黑客们声称窃取了20GB的敏感数据，包括客人的信用卡信息。该事件据说发生在6月，一个不知名的黑客组织宣称他们利用社会工程欺骗马里兰州一家万豪酒店的员工，以让他们进入其电脑。万豪表示，在威胁者联系公司进行敲诈之前，连锁酒店已经发现并正在调查这一事件，万豪表示它没有支付这笔钱。

图：客人的预定记录、姓名及其他信息

美声称朝鲜黑客正利用Maui勒索软件攻击医疗保健机构

7月6日，美联邦调查局（FBI）、网络与基础设施安全局（CISA）和财政部（DoT）警告称，有朝方背景的黑客组织，正在利用勒索软件向美国各地的医疗保健机构和公共卫生部门发起攻击。在发布的联合公告中，美政府机构指出，其发现相关黑客活动至少可追溯至2021年5月开始部署的Maui勒索软件。据悉，受害医疗保健机构的服务器资料会被加密，并波及电子健康记录、医学成像和整个内网。

图：网络与基础设施安全局（CISA）公告

IT服务巨头SHI遭受“专业恶意软件攻击”

7月初，总部位于新泽西州的信息技术 (IT) 产品和服务提供商SHI International证实，其网络遭受到恶意软件攻击。SHI在声明中表示：“在7月4日美国国庆日假期的周末，SHI成为了专业恶意软件协同攻击的目标。由于SHI的安全性和IT团队的快速反应，该事件被迅速发现并采取了相应的措施，从而将本次攻击对SHI系统和运营的影响降到了最低。” 在评估其系统的完整性和调查安全事件时，SHI被迫将其部分系统下线，包括公司的公共网站和电子邮件。

图：SHI官方维护信息

美国迪士尼乐园Facebook和Instagram账号遭“超级黑客”入侵

7月8日，《华尔街日报》报道，美国加州迪士尼乐园的Instagram和Facebook账户于周四上午被一名自称是“超级黑客”的人入侵，其发表了一系列亵渎和种族主义的帖子。在帖子发布不久后，迪士尼就暂时关闭了其Facebook和Instagram帐户，并在团队删除帖子后重新上线，目前迪士尼表示其他社交媒体页面似乎没有受到影响，目前尚不清楚此人是如何设法访问迪士尼乐园Instagram帐户的，是陌生黑客还是可以访问登录名的前员工。

美国国会网站遭亲俄黑客组织攻击，系统短暂瘫痪

7月8日，美国国会图书馆透露，有亲俄黑客团伙在前一天攻击了国会立法网站Congress.gov，导致系统临时宕机并“短暂影响到公众访问”。该亲俄黑客团伙名为KillNet，曾向全球被认为对俄罗斯政府怀有敌意的国家目标，发起过一系列分布式拒绝服务攻击。该团伙此次专门发布了一段视频，其中包含503错误页面以及拜登总统的图像。国会图书馆发言人表示，该网站确实遭受到DDoS网络攻击，并短暂影响到公众访问。

图：KillNet发布的视频截图

公安部网安局召开全国网安部门“百日行动”推进会

7月15日，公安部网安局召开全国公安机关网安部门“百日行动”视频推进会，就全国公安网安部门深入推进夏季治安打击整治“百日行动”进行再动员再部署。会议指出，全国公安网安部门要坚持总体国家安全观，坚持以人民为中心发展思想，积极回应人民群众关切，全力维护网上政治安全，高压严打网络违法犯罪，全面治理网络乱象，不断净化网络生态，全力维护网络空间安全。

图：公安部公告

阿尔巴尼亚遭网络攻击关闭政府网站

7月中旬，阿尔巴尼亚国家信息社会局（AKSHI）发表声明，称由于遭受大规模网络攻击，被迫关闭所有提供在线公共服务的网站和政府官方网站。其后，阿尔巴尼亚政府表示因反应及时，政府信息系统未受影响，且所有数据都有备份。7月21日，阿尔巴尼亚政府称大多数公共网站已恢复运行，而有关网络攻击源头的调查仍在进行中。此次网络攻击所依赖的技术与近期在乌克兰、德国、立陶宛、荷兰等国家发生的网络攻击的技术性质类似。

国内病毒作者利用“吃鸡”外挂传播新型勒索病毒

7月19日，瑞星威胁情报中心发现一款由国内病毒作者制作的全新勒索软件——SafeSound，该恶意软件SafeSound勒索软件由易语言编写，通过“穿越火线”、“绝地求生”等游戏外挂进行传播。一旦SafeSound勒索软件运行，将会对用户电脑系统磁盘中除了特定格式外的所有文件进行加密，而后释放包含勒索信息与解密功能的可执行程序，病毒作者通过微信支付的方式向受害者索要赎金，表示只有交纳赎金才能获得解密Key，通过解密器解密相应文件。瑞星已发布SafeSound勒索软件免费解密工具，供被加密用户下载使用。

图：SafeSound勒索信

跨国巨头遭勒索软件攻击：所有工厂正常运转，所有业务离线进行

7月21日，德国建材巨头可耐福集团（Knauf Group）宣布已成网络攻击目标。其业务运营被攻击扰乱，迫使全球IT团队关闭了所有IT系统以隔离事件影响。名为Black Basta的勒索软件团伙在其网站上发布公告，于7月16日将可耐福列为受害者。该勒索软件团伙还公布了一批数据，据称是攻击期间从可耐福处窃取到的全部文件中的20%。目前已经有超过350名访问者访问了这些文件。

图：Black Basta勒索门户将可耐福列为攻击受害者

数字安全巨头Entrust被勒索软件团伙攻陷

7月21日，据BleepingComputer最新报道，数字安全巨头Entrust已经证实遭受了网络攻击，威胁者破坏了他们的网络并从内部系统窃取了数据。Entrust是一家专注于在线信任和身份管理的安全公司，提供广泛的服务，包括加密通信、安全数字支付和身份证明解决方案。根据被盗的数据，这种攻击可能会影响大量使用Entrust进行身份管理和身份验证的关键和敏感组织。

图：Entrust公司CEO发给客户的安全事件通告

意大利税务局疑遭勒索软件攻击，78GB数据失窃

7月25日，意大利《晚邮报》报道，勒索软件团伙Lockbit声称已经入侵了意大利税务局（Agenzia delle Entrate），从中窃取了约78GB数据，其中包括公司文件、扫描件、财务报告和合同，并发布了文件和样本截图，并威胁意大利税务局在5天内支付赎金，否则他们就将公布盗取的全部数据。

图：LockBit发布在网站上的通告

责任编辑：