為此2024年，網(wǎng)絡(luò)安全領(lǐng)域經(jīng)歷了一場(chǎng)前所未有的風(fēng)暴。從微軟高管郵箱被黑客攻陷，到全球數(shù)百萬(wàn)系統(tǒng)因軟件故障陷入癱瘓，這一年充滿了驚心動(dòng)魄的網(wǎng)絡(luò)安全事件。隨著數(shù)據(jù)泄露規(guī)模的不斷擴(kuò)大和勒索軟件攻擊的愈演愈烈，企業(yè)和個(gè)人都面臨著前所未有的挑戰(zhàn)。

在2024年即將結(jié)束之際，安全牛盤點(diǎn)了2024年發(fā)生的一些網(wǎng)絡(luò)安全的重大事件，揭示這些事件背后的復(fù)雜攻擊手段和對(duì)全球安全格局的深遠(yuǎn)影響。在這個(gè)數(shù)字化時(shí)代，網(wǎng)絡(luò)安全已不再是一個(gè)可選項(xiàng)，而是每個(gè)組織和個(gè)人必須面對(duì)的現(xiàn)實(shí)。

十大網(wǎng)絡(luò)安全事件

1.微軟高管郵箱被“午夜暴雪”攻陷

2024年1月，微軟披露其遭到了威脅組織“午夜暴風(fēng)雪”的攻擊。攻擊者主要針對(duì)微軟的高級(jí)領(lǐng)導(dǎo)團(tuán)隊(duì)成員以及網(wǎng)絡(luò)安全、法務(wù)等部門的員工，竊取了部分電子郵件和附件，同時(shí)還訪問了一些源代碼庫(kù)和內(nèi)部系統(tǒng)。

攻擊者首先通過(guò)一個(gè)遺留的非生產(chǎn)測(cè)試租戶賬戶獲得訪問權(quán)限，使用密碼噴灑攻擊，這種攻擊方式涉及同時(shí)對(duì)多個(gè)賬戶嘗試大量常見密碼。在獲得初步立足點(diǎn)后，他們從被攻陷的賬戶中竊取了電子郵件和文件。

雖然微軟表示此次攻擊并未影響客戶環(huán)境、生產(chǎn)系統(tǒng)、源代碼或人工智能系統(tǒng)，但事件暴露了微軟內(nèi)部網(wǎng)絡(luò)的安全漏洞，包括未啟用的多因素認(rèn)證（MFA）和測(cè)試賬號(hào)權(quán)限過(guò)大等問題

2.CrowdStrike更新失誤致全球Windows系統(tǒng)崩潰

2024年7月19日發(fā)生的CrowdStrike更新故障導(dǎo)致的微軟“藍(lán)屏死機(jī)”故障被認(rèn)為是歷史上最大的IT中斷事件之一，影響了全球數(shù)百萬(wàn)個(gè)系統(tǒng)，并導(dǎo)致各行業(yè)面臨重大運(yùn)營(yíng)挑戰(zhàn)。此次故障的估計(jì)財(cái)務(wù)損失約為100億美元，使其在規(guī)模和對(duì)全球商業(yè)運(yùn)營(yíng)的影響方面成為歷史性事件。

此次故障是由于CrowdStrike的Falcon Sensor安全軟件的配置更新錯(cuò)誤引發(fā)的。該更新被識(shí)別為Channel File 291，包含一個(gè)邏輯錯(cuò)誤，導(dǎo)致軟件驅(qū)動(dòng)程序（CSagent.sys）發(fā)生越界內(nèi)存讀取，從而導(dǎo)致系統(tǒng)崩潰。受影響的Windows系統(tǒng)出現(xiàn)了臭名昭著的藍(lán)屏死機(jī)。

全球約有850萬(wàn)臺(tái)微軟Windows系統(tǒng)受到影響，導(dǎo)致航空、銀行、醫(yī)療和緊急服務(wù)等關(guān)鍵行業(yè)出現(xiàn)廣泛中斷。此次事件導(dǎo)致的運(yùn)營(yíng)失敗包括航班取消、支付處理問題和基本服務(wù)中斷。

3.黎巴嫩突發(fā)尋呼機(jī)大規(guī)模群體爆炸

在2024年9月，黎巴嫩首都境內(nèi)用于通訊的大量尋呼機(jī)被遠(yuǎn)程引爆，造成至少12人死亡，約2800多人受傷，其中包括數(shù)十名真主黨成員和伊朗駐黎巴嫩大使。

爆炸是由發(fā)出信號(hào)的尋呼機(jī)引發(fā)的，這些尋呼機(jī)在引爆前會(huì)發(fā)出聲響。報(bào)告顯示，這些設(shè)備在爆炸前會(huì)發(fā)出嗶嗶聲或震動(dòng)，促使用戶將其靠近臉部，從而增加了使用者遭受重傷的可能性。調(diào)查顯示，爆炸物可能隱藏在尋呼機(jī)的鋰電池內(nèi)。這種復(fù)雜的方式使得在設(shè)備被激活之前幾乎不可能被檢測(cè)到。

黎巴嫩移動(dòng)設(shè)備爆炸事件揭示了一個(gè)令人不安的趨勢(shì)：網(wǎng)絡(luò)攻擊正在從虛擬領(lǐng)域向現(xiàn)實(shí)物理世界擴(kuò)展，并已經(jīng)能夠?qū)ΜF(xiàn)實(shí)世界造成切實(shí)的破壞和傷害。傳統(tǒng)的網(wǎng)絡(luò)攻擊主要側(cè)重于竊取數(shù)據(jù)、破壞數(shù)字系統(tǒng)，或通過(guò)軟件和網(wǎng)絡(luò)漏洞削弱基礎(chǔ)設(shè)施。然而，黎巴嫩移動(dòng)終端爆炸事件表明，網(wǎng)絡(luò)手段能夠直接造成物理破壞，數(shù)字攻擊可能轉(zhuǎn)化成為實(shí)際的人員傷亡。

4.Change Healthcare 因勒索攻擊損失25億美元

2024 年2 月披露的美國(guó)醫(yī)療支付服務(wù)提供商 Change Healthcare 遭遇的勒索軟件攻擊事件，導(dǎo)致數(shù)千家藥房和醫(yī)療提供者因此面臨重大運(yùn)營(yíng)挑戰(zhàn)，約 1億人的個(gè)人信息受到影響。

臭名昭著的勒索軟件組織 ALPHV/BlackCat 聲稱對(duì)此次泄露事件負(fù)責(zé)。攻擊者通過(guò)從缺乏多因素認(rèn)證的 Citrix 門戶獲取的被盜憑證訪問了 Change Healthcare 的系統(tǒng)。他們?cè)诰W(wǎng)絡(luò)中潛伏了大約九天，未被發(fā)現(xiàn)，隨后部署了勒索軟件。

此次攻擊干擾了超過(guò)100個(gè)Change Healthcare 應(yīng)用程序，導(dǎo)致系統(tǒng)中斷，影響了全國(guó)范圍內(nèi)的計(jì)費(fèi)、保險(xiǎn)索賠處理、處方藥交付等關(guān)鍵功能。由于系統(tǒng)被加密，許多醫(yī)院和藥房無(wú)法正常處理索賠和接收付款，導(dǎo)致醫(yī)療服務(wù)中斷。此外，攻擊還導(dǎo)致了大量敏感數(shù)據(jù)被盜，包括個(gè)人身份信息、醫(yī)療記錄、賬單記錄和保險(xiǎn)數(shù)據(jù)等。

與此次攻擊相關(guān)的總成本預(yù)計(jì)將超過(guò) 24.5 億美元，包括贖金支付、恢復(fù)工作和法律責(zé)任。據(jù)報(bào)道，Change Healthcare 支付了 2200 萬(wàn)美元的贖金，盡管這一支付并未阻止另一個(gè)名為 RansomHub 的組織進(jìn)行進(jìn)一步的敲詐。 

5.Snowflake 被黑導(dǎo)致165家企業(yè)數(shù)據(jù)泄露

2024年4月中旬開始，Snowflake披露遭遇重大數(shù)據(jù)泄露事件，影響了包括Ticketmaster、Santander和AT&T等大型公司在內(nèi)的至少165個(gè)組織，導(dǎo)致大量敏感數(shù)據(jù)被盜。此次泄露導(dǎo)致超過(guò)3000萬(wàn)條銀行賬戶信息、2800萬(wàn)條信用卡號(hào)碼和大量員工的個(gè)人身份信息（PII）被曝光。

黑客組織ShinyHunters利用了Snowflake客戶的薄弱安全實(shí)踐，特別是缺乏多因素認(rèn)證（MFA）和不良的密碼管理，使用從非Snowflake系統(tǒng)的惡意軟件攻擊中獲得的有效憑證獲得了訪問權(quán)限。此次泄露導(dǎo)致敏感客戶數(shù)據(jù)的未經(jīng)授權(quán)訪問，包括財(cái)務(wù)信息和個(gè)人身份信息。報(bào)告顯示，黑客試圖在暗網(wǎng)論壇上出售這些數(shù)據(jù)，聲稱擁有數(shù)百萬(wàn)客戶的記錄。

在泄露事件發(fā)生后，Snowflake公司強(qiáng)調(diào)此次事件并非由于其平臺(tái)的缺陷，而是由于用戶賬戶被攻陷。他們敦促客戶實(shí)施多因素認(rèn)證并加強(qiáng)安全配置。

6.美國(guó)國(guó)家公共數(shù)據(jù)黑客事件影響1.7億人

2024年8月，美國(guó)國(guó)家公共數(shù)據(jù)披露發(fā)生嚴(yán)重的敏感數(shù)據(jù)泄露事件，引發(fā)了對(duì)處理敏感個(gè)人信息的組織的數(shù)據(jù)安全實(shí)踐的嚴(yán)重?fù)?dān)憂。在該事件中，黑客暴露了敏感的個(gè)人信息，包括社會(huì)安全號(hào)碼、地址和電話號(hào)碼。此次數(shù)據(jù)泄露事件涉及 29 億條記錄，可能影響到多達(dá) 1.7 億人，涵蓋美國(guó)、英國(guó)和加拿大。

2023 年底，黑客試圖滲透國(guó)家公共數(shù)據(jù)的系統(tǒng)。攻擊者利用了NPD基礎(chǔ)設(shè)施中的多個(gè)安全漏洞，包括未修補(bǔ)的軟件缺陷和薄弱的訪問控制。這些弱點(diǎn)使他們能夠獲得未經(jīng)授權(quán)的訪問權(quán)限，并在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)，未被檢測(cè)到長(zhǎng)達(dá)數(shù)月。到 2024 年4 月，被盜數(shù)據(jù)已在暗網(wǎng)上出售。泄露的全部范圍在 2024 年8 月變得明顯，導(dǎo)致多起針對(duì)該公司的訴訟。

國(guó)家公共數(shù)據(jù)因此面臨嚴(yán)重后果。該公司于 2024年10 月申請(qǐng)破產(chǎn)，并最終在 12 月關(guān)閉。

7.網(wǎng)絡(luò)攻擊導(dǎo)致西雅圖機(jī)場(chǎng)陷入混亂

2024年8月，由美國(guó)西雅圖港管理的西雅圖-塔科馬國(guó)際機(jī)場(chǎng)（SEA）遭遇了一次重大的勒索軟件攻擊，導(dǎo)致廣泛的運(yùn)營(yíng)混亂和干擾。這一事件因其對(duì)機(jī)場(chǎng)服務(wù)的影響以及在高峰旅行期間給旅客帶來(lái)的挑戰(zhàn)而備受關(guān)注，并提醒業(yè)界針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)犯罪分子所帶來(lái)的威脅正在不斷增長(zhǎng)。

勒索軟件組織Rhysida在發(fā)起攻擊后，要求支付600萬(wàn)美元的比特幣，威脅稱如果不滿足他們的要求，將公開從機(jī)場(chǎng)系統(tǒng)中竊取的敏感數(shù)據(jù)。

此次攻擊影響了多個(gè)關(guān)鍵系統(tǒng)，包括乘客顯示屏、Wi-Fi連接、自助值機(jī)、售票和行李處理系統(tǒng)和flySEA移動(dòng)應(yīng)用程序和西雅圖港網(wǎng)站等。盡管航班繼續(xù)運(yùn)營(yíng)，但許多服務(wù)受到嚴(yán)重影響。由于自動(dòng)化系統(tǒng)的故障，乘客不得不依賴人工值機(jī)和紙質(zhì)登機(jī)牌。這種情況在繁忙的勞動(dòng)節(jié)周末造成了長(zhǎng)隊(duì)和旅客間的混亂。

到9月初，西雅圖港宣布大部分受影響的系統(tǒng)已恢復(fù)。然而，一些關(guān)鍵功能在攻擊后仍然離線數(shù)周。聯(lián)邦調(diào)查局（FBI）和其他機(jī)構(gòu)對(duì)該事件展開了調(diào)查。雖然在攻擊過(guò)程中一些數(shù)據(jù)被加密，但在系統(tǒng)恢復(fù)后沒有發(fā)現(xiàn)其他惡意活動(dòng)的證據(jù)。 

8.AT&T泄露超億個(gè)客戶敏感信息

2024年7月，AT&T披露遭遇了一次重大的數(shù)據(jù)泄露事件，暴露了近乎1.09億客戶敏感信息，這一數(shù)據(jù)幾乎覆蓋所有其無(wú)線客戶。該事件對(duì)這家電信巨頭造成了廣泛的影響。

該泄露事件發(fā)生在2024年4月14日至4月25日之間，涉及對(duì)托管在第三方云平臺(tái)上的AT&T工作區(qū)的未經(jīng)授權(quán)訪問。黑客組織ShinyHunters利用云服務(wù)上不安全的存儲(chǔ)賬戶竊取客戶數(shù)據(jù)。

此次泄露涉及約1億AT&T無(wú)線客戶的通話和短信記錄，以及使用AT&T網(wǎng)絡(luò)的移動(dòng)虛擬網(wǎng)絡(luò)運(yùn)營(yíng)商（MVNO）客戶的數(shù)據(jù)。

AT&T在2024年5月向攻擊者支付了約37萬(wàn)美元的加密貨幣，以確保刪除被盜數(shù)據(jù)并獲得其銷毀的證明。聯(lián)邦通信委員會(huì)（FCC）在泄露事件后對(duì)AT&T的數(shù)據(jù)保護(hù)措施展開了調(diào)查。2024年9月，AT&T同意支付與該調(diào)查相關(guān)的1300萬(wàn)美元和解金。在泄露事件后，AT&T面臨多起來(lái)自受影響客戶的集體訴訟，尋求對(duì)其數(shù)據(jù)暴露的問責(zé)。

9.倫敦多家NHS醫(yī)院因勒索攻擊運(yùn)營(yíng)受影響

2024年6月初，病理學(xué)和診斷服務(wù)提供商Synnovis遭受勒索軟件攻擊，嚴(yán)重影響倫敦幾家大型英國(guó)國(guó)家醫(yī)療服務(wù)體系（NHS)醫(yī)院的運(yùn)營(yíng)，攻擊迫使受影響的醫(yī)院取消部分醫(yī)療程序，部分患者被轉(zhuǎn)至其他醫(yī)院。NHS發(fā)出緊急呼吁，倡議倫敦市民捐獻(xiàn)O型血。

Synnovis是歐洲最大的醫(yī)療檢測(cè)和診斷提供商SYNLAB的病理學(xué)合作伙伴。6月3日，Synnovis在其網(wǎng)站上發(fā)布公告，承認(rèn)遭遇勒索軟件攻擊，攻擊影響了Synnovis的所有IT系統(tǒng)，導(dǎo)致許多病理學(xué)服務(wù)中斷。

倫敦NHS發(fā)表了關(guān)于Synnovis勒索軟件攻擊的聲明，證實(shí)該事件對(duì)蓋伊醫(yī)院和圣托馬斯醫(yī)院、倫敦國(guó)王學(xué)院醫(yī)院以及倫敦東南部初級(jí)保健服務(wù)產(chǎn)生重大影響。

NHS確認(rèn)勒索軟件攻擊已擾亂血液配型測(cè)試，因此受影響的醫(yī)院正在為無(wú)法等待血液配型檢測(cè)的患者使用O型血液，NHS呼吁市民緊急捐獻(xiàn)O型血。

10. Ivanti零日漏洞被大規(guī)模利用

在2024年初，研究人員觀察到Ivanti 云服務(wù)設(shè)備的Connect Secure和Policy Secure網(wǎng)關(guān)中存在多個(gè)零日漏洞被利用。關(guān)于進(jìn)一步漏洞和實(shí)際利用的報(bào)告迅速出現(xiàn)，影響了包括政府、軍事、電信、技術(shù)、金融、咨詢和航空航天等多個(gè)行業(yè)的Ivanti客戶。

在攻擊過(guò)程中，攻擊者同時(shí)利用了多個(gè)漏洞，特別是 CVE-2024-9379、CVE-2024-9380 和 CVE-2024-9381，以及之前披露的路徑遍歷漏洞 CVE-2024-8963。這種鏈接允許攻擊者提升權(quán)限并執(zhí)行任意命令，從而顯著增加數(shù)據(jù)泄露和系統(tǒng)泄露的風(fēng)險(xiǎn)。

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）在1月發(fā)布了一項(xiàng)緊急指令，要求所有政府民用聯(lián)邦機(jī)構(gòu)緩解這些零日漏洞的風(fēng)險(xiǎn)。

2024年網(wǎng)絡(luò)攻擊的幾個(gè)關(guān)鍵特征

安全牛分析發(fā)現(xiàn)，2024年發(fā)生的重大網(wǎng)絡(luò)安全事件主要呈現(xiàn)出以下6個(gè)特點(diǎn)：

1. 多因素認(rèn)證的缺乏和密碼管理不善

多個(gè)事件（如微軟和Snowflake的攻擊）表明，缺乏多因素認(rèn)證和不良的密碼管理是導(dǎo)致數(shù)據(jù)泄露的主要原因之一。攻擊者利用這些弱點(diǎn)，通過(guò)密碼噴灑和憑證盜竊等方式獲得訪問權(quán)限。

2.勒索軟件攻擊的廣泛影響

勒索軟件攻擊在2024年繼續(xù)對(duì)各行業(yè)造成重大影響，包括醫(yī)療、航空和公共基礎(chǔ)設(shè)施等領(lǐng)域。攻擊者不僅竊取數(shù)據(jù)，還通過(guò)加密關(guān)鍵系統(tǒng)來(lái)中斷運(yùn)營(yíng)，要求高額贖金。

3. 物理世界的網(wǎng)絡(luò)攻擊

黎巴嫩的尋呼機(jī)爆炸事件表明，網(wǎng)絡(luò)攻擊正在從虛擬領(lǐng)域擴(kuò)展到物理世界，能夠直接造成物理破壞和人員傷亡。這種趨勢(shì)顯示出網(wǎng)絡(luò)攻擊的復(fù)雜性和潛在的危險(xiǎn)性。

4.關(guān)鍵基礎(chǔ)設(shè)施的脆弱性

西雅圖機(jī)場(chǎng)和NHS醫(yī)院的攻擊事件突顯了關(guān)鍵基礎(chǔ)設(shè)施在面對(duì)網(wǎng)絡(luò)攻擊時(shí)的脆弱性。這些攻擊導(dǎo)致了廣泛的運(yùn)營(yíng)中斷，影響了大量人員的日常生活。

5.日漏洞的利用

Ivanti的零日漏洞被大規(guī)模利用，顯示出攻擊者對(duì)新發(fā)現(xiàn)的漏洞迅速加以利用的能力。這種情況增加了各行業(yè)面臨的安全風(fēng)險(xiǎn)，尤其是那些依賴于特定技術(shù)和服務(wù)的行業(yè)。

6. 數(shù)據(jù)泄露的規(guī)模和影響

2024年發(fā)生的多起數(shù)據(jù)泄露事件（如AT&T和美國(guó)國(guó)家公共數(shù)據(jù)）涉及數(shù)億條記錄，影響范圍廣泛。這些事件引發(fā)了對(duì)數(shù)據(jù)保護(hù)措施的質(zhì)疑，并導(dǎo)致了法律和財(cái)務(wù)后果。

總體而言，2024年的網(wǎng)絡(luò)攻擊顯示出攻擊手段的多樣化和復(fù)雜化，強(qiáng)調(diào)了加強(qiáng)網(wǎng)絡(luò)安全措施和提高對(duì)新興威脅的響應(yīng)能力的重要性。通過(guò)對(duì)這些事件的回顧，我們希望能夠?yàn)槠髽I(yè)和個(gè)人提供有價(jià)值的見解，幫助他們?cè)谶@個(gè)充滿挑戰(zhàn)的數(shù)字時(shí)代更好地保護(hù)自己的信息和資產(chǎn)。