关键供应商Synnovis遭勒索软件攻击，导致英国伦敦器官移植和血液供应受到干扰。 安全内参7月17日消息，六周前，勒索软件攻击干扰了血液检测公司Synnovis的运作。到目前为止，这一事件已经影响了近8000名英国国家医疗服务体系（NHS）患者的手术，包括器官移植和癌症治疗，已被取消、推迟或转移到伦敦的其他设施。 NHS在7月11日发布公告更新指出，自6月3日事件爆发以来，伦敦国王学院医院NHS信托基金和盖伊和圣托马斯NHS信托基金，两家受影响最严重的NHS信托基金共推迟了6199次急性门诊预约和1491次选择性手术。 NHS表示，尽管推迟的急性门诊预约和选择性手术数量有所减少，但攻击的影响仍在继续，并且具有破坏性。 NHS伦敦医疗主任Chris Streather医生在声明中说：“这仍然对患者产生了重大影响，我理解手术推迟带来的痛苦。” “在整个伦敦，我们继续与NHS同事合作，互相提供帮助，尽量减少事件对护理服务的干扰，特别是在伦敦东南部的护理服务。伦敦的NHS组织正在合作制定恢复服务的计划。” NHS表示，6月3日事件造成持续干扰，也影响了整个英国的血液供应。 医院正在使用比平时更多的通用血型- O阴性和O阳性。NHS表示：“这对国家血液库存产生了影响。” 关键供应商因勒索攻击丧失IT能力 Synnovis在7月1日的最新更新中表示，网络攻击影响了其几乎所有的IT系统，导致公司处理样本的能力持续大幅降低。 Synnovis是盖伊和圣托马斯NHS信托基金、国王学院医院NHS信托基金和SYNLAB之间的病理学合作伙伴关系。 讲俄语的勒索软件组织Qilin声称对此次攻击负责。该组织在6月底在暗网上泄露了近4GB从Synnovis和NHS窃取的数据，据说还要求受害者支付5千万美元赎金。 公司表示，攻击影响了Synnovis分析仪识别和处理传入样本以及传输测试结果的能力。“相关的电子过程很多被迫归回纸面和手动操作，这大大影响了处理能力和交付时间。” Synnovis表示，预计“需要一些时间”才能完全恢复，并补充说，公司正在采取分阶段的方法重新建立其技术基础设施，“根据临床重要性进行优先排序”。 Synnovis说：“这包括在盖伊和圣托马斯以及国王学院医院交付新的中间件，即简化我们实验室信息管理系统结果报告和传输的软件。这些软件能增加我们各方的处理能力。” 外媒Security Media Group试图采访NHS和Synnovis，二者均拒绝提供该事件的额外详细信息。 医疗行业勒索破坏式攻击层出不穷 Synnovis攻击事件及其对NHS患者服务的破坏性影响令人想起最近美国和其他地区医疗保健部门遭遇的类似网络事件。 今年2月，美国联合健康集团的子公司Change Healthcare遭遇攻击；5月，Ascension连锁医院受到勒索软件攻击。两次事件均造成了大规模的干扰。 上周五，弗吉尼亚州民主党参议员Mark R. Warner向美国卫生与公众服务部部长Xavier Becerra和国家安全顾问助理Anne Neuberger发送了一封信，敦促拜登政府迅速制定并发布医疗保健部门的强制性最低网络标准。 尽管美国卫生部几个月来一直在研究如何制定医院的潜在网络安全绩效目标，Warner鼓励政府在Change Healthcare攻击之后立即发布新的医疗保健规定。 他说：“鉴于网络安全威胁和攻击的严重性、频率和复杂性不断增加，我今天写信是为了敦促您优先制定、尽快提出强制性最低网络标准。简而言之，不充分的网络安全实践使人们的生命处于危险之中。”   转自安全内参，原文链接：https://www.secrss.com/articles/68200 封面来源于网络，如有侵权请联系删除

据《连线》杂志7月14日的报道，美国电信巨头AT&T 向黑客支付了一笔约37万美元的赎金，以确保被盗数据不被公开。该公司在上周宣称被黑客获取了约1.1亿人的通信记录数据。 这起数据泄露事件最早被发现于今年4月19日，AT&T在外部网络安全专家的协助下启动了事件响应程序。据调查，黑客通过第三方云平台，窃取了AT&T在2022年5月1日至10月31日之间以及1月2日期间用户的通信记录数据。虽然这些数据不包含用户的姓名、社会安全号码、出生日期以及具体通信内容，但仍然可以通过一些特定工具将这些泄露的电话号码与对应的联系人身份关联起来。 《连线》杂志首次报道称，AT&T在5月份向黑客支付了5.7个比特币（交易时约合37万美元）的赎金，以防止数据被公开，据悉，该黑客是臭名昭著的ShinyHunters黑客组织的一员，该组织经常通过不安全的Snowflake云存储帐户窃取数据。 此外，一位名叫雷丁顿的安全研究人员称自己是这起赎金支付交易的中间人，黑客在今年4月告知他从不安全的Snowflake云存储帐户窃取了AT&T数据，他随即向安全公司Mandiant发出了警报，该公司通知了AT&T。黑客最初的赎金要求高达100万美元，但最终以上述的37万美元达成交易。在收到赎金后，黑客还录制了一段删除被盗数据的视频，并通过雷丁顿提供给了《连线》杂志。 目前，AT&T拒绝就公司支付赎金的报道发表评论。当地时间7月17日，两名美国参议员已就这起大规模的数据泄露事件向AT&T 提出问询，该公司表示会就此事向参议员做出直接回复。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406198.html 封面来源于网络，如有侵权请联系删除

近日，Phylum的研究人员在开源NPM JavaScript存储库中发现两个恶意AWS软件包暗藏精心设计的代码，一旦执行，就会在开发者的计算机上植入后门程序。研究人员称恶意软件包存续期间已经被下载了数百次。 这两个软件包分别是img-aws-s3-object-multipart-copy和legacyaws-s3-object-multipart-copy，它们试图冒充合法的JavaScript库aws-s3-object-multipart-copy。 假冒软件包包含了所有合法库中的代码，并添加了一个名为loadformat.js的JavaScript文件。这个文件表面上包含无害的代码和三个JPG图像（分别是英特尔、AMD和微软的公司Logo），但其中一个图像隐藏了恶意代码片段，这些片段被重建后可组成后门程序代码，攻击开发者的设备。 日益复杂的开源供应链攻击 “我们已经报告了这些软件包并要求移除，但这些恶意软件包在npm项目中仍然存在了近两天时间，”发现这些软件包的研究人员写道：“这令人担忧，因为当今大多数系统无法检测并及时报告这些软件包，导致开发者长时间暴露在攻击风险中。” 研究人员表示，绝大多数杀毒软件产品都未能发现隐藏在这两个软件包中的后门。 Phylum的研究主管Ross Bryant在邮件中透露，img-aws-s3-object-multipart-copy在被删除前被下载了134次，另一个文件legacyaws-s3-object-multipart-copy被下载了48次。 这些恶意软件包开发者对代码的精心设计及其策略的有效性，突显了针对上游开源代码库的攻击日益复杂化，除了NPM外，其他热门攻击目标还包括PyPI、GitHub和RubyGems等。 近年来，针对开发者的开源供应链攻击威胁不断恶化。 在过去的17个月里，由朝鲜政府支持的黑客组织曾两次针对开发者，其中一次利用了一个零日漏洞。 近期发现的最具创新性的一种开源后门隐藏方法是今年3月曝光的XZ Utils后门，只差一步进入生产版本中。该后门通过一个五阶段加载器实现，使用了一系列简单但巧妙的技术来隐藏自己。一旦安装，黑客可以管理员权限登录受感染的系统。 策划XZ Utils攻击的黑客组织（或个人）花费了数年时间来开发后门。除了隐蔽方法的复杂性，该组织还投入了大量时间为开源项目编写高质量代码，以赢得其他开发者的信任。 今年5月，Phylum阻止了另一个使用隐写术（将秘密代码嵌入图像中的技术）来植入后门的PyPI软件包攻击活动。 “在过去几年中，发布到开源生态系统的恶意软件包的复杂性和数量显著增加，”Phylum研究人员写道：“毫无疑问，这些攻击是成功的。开发者和企业必须高度警惕所使用的开源库。”   转自GoUpSec，原文链接：https://www.goupsec.com/news/16856.html 封面来源于网络，如有侵权请联系删除

Palo Alto Networks Unit 42 的研究人员分享了有关2024 年 3 月至 4 月期间DarkGate恶意软件活动的详细信息。攻击者使用 Microsoft Excel 文件从面向公众的 SMB 文件共享下载恶意软件软件包。 研究人员指出，攻击者创造性地滥用合法工具和服务来传播他们的恶意软件。 DarkGate RAT 用 Borland Delphi 编写，在网络犯罪生态系统中以恶意软件即服务 (MaaS) 模型的形式存在。该恶意软件被视为一种复杂的威胁，并且不断得到改进。 DarkGate 自 2018 年以来一直处于活跃状态，它支持各种功能，包括进程注入、下载和执行文件、信息窃取、shell 命令执行和键盘记录功能。恶意负载还采用了多种规避技术。 出于经济动机的黑客组织使用该恶意软件攻击北美、欧洲、亚洲和非洲的组织。 在 2023 年 8 月Qakbot基础设施中断后，Palo Alto Networks Unit 42 研究人员观察到 DarkGate 活动激增。 2024 年 3 月，DarkGate 攻击者使用 Microsoft Excel 文件发起了一场攻击活动，最初针对的是北美，但逐渐蔓延到欧洲和亚洲。该活动在 2024 年 4 月 9 日达到顶峰，一天内检测到近 2,000 个样本。 打开 .xlsx 文件后，收件人会看到一个包含“打开”按钮链接对象的模板。 当用户单击“打开”按钮的超链接对象时，它会从指向可公开访问并托管 VBS 文件的 Samba/SMB 共享的 URL 检索并运行内容。 研究人员还发现攻击者从 Samba 共享中分发 JavaScript 文件 EXCEL_OPEN_DOCUMENT.vbs 文件包含大量与打印机驱动程序相关的垃圾代码，但是它会检索并运行下载基于 AutoHotKey 的 DarkGate 包的 PowerShell 脚本。 “从 test.txt 中反混淆并从系统内存中运行，这个最终的 DarkGate 二进制文件以其复杂的机制而闻名，可以避免检测和恶意软件分析。”报告中写道。“DarkGate 采用的反分析技术之一是识别目标系统的 CPU。这可以揭示威胁是在虚拟环境中还是在物理主机上运行，从而使 DarkGate 能够停止运行以避免在受控环境中被分析。” DarkGate 还会分析受感染系统上运行的进程，以检查是否存在分析工具或虚拟化软件。 DarkGate 使用未加密的 HTTP 请求与 C2 服务器进行通信，并且数据被混淆以重新生成 Base64 编码的文本。 利用这种恶意软件的活动展示了先进的感染技术，既利用了网络钓鱼策略，也利用了利用可公开访问的 Samba 共享等方法。随着 DarkGate 不断发展和完善其渗透和抵抗分析的方法，它仍然有力地提醒我们需要强大而主动的网络安全防御。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/cPyrX6Fd0EuZ3BeXlVBCow 封面来源于网络，如有侵权请联系删除

网络空间搜索引擎 Censys 警告称，超过 150 万个 Exim 邮件传输代理 (MTA) 实例未修补一个严重漏洞，该漏洞可导致攻击者绕过安全过滤器。 该安全漏洞被编号为CVE-2024-39929 ，并于周三由 Exim 开发人员进行了修补，影响 Exim 4.97.1 及以下版本。 该漏洞是由于对多行 RFC2231 头文件名的错误解析造成的，这使得远程攻击者可以绕过$mime_filename扩展名阻止保护机制，将恶意的可执行附件传送到最终用户的邮箱中。 Censys 警告称：“如果用户下载或运行其中一个恶意文件，系统可能会受到威胁”，并补充道，“目前已经有了 PoC，但尚未发现任何主动攻击。” 该公司补充道：“截至 2024 年 7 月 10 日，Censys 观察到 1,567,109 台公开暴露的 Exim 服务器运行着潜在易受攻击的版本（4.97.1 或更早版本），主要集中在美国、俄罗斯和加拿大。” 虽然电子邮件收件人仍需启动恶意附件才会受到影响，但该漏洞可让攻击者绕过基于文件扩展名的安全检查。这样一来，他们便可将通常被阻止的危险文件（如可执行文件）发送到目标邮箱。 建议无法立即升级 Exim 的管理员限制从互联网对其服务器的远程访问，以阻止传入的攻击尝试。 数百万台服务器暴露在网上 MTA 服务器（例如 Exim）经常成为攻击目标，因为它们几乎总是可以通过互联网访问，这使得它们很容易找到进入目标网络的潜在入口点。 根据本月初的邮件服务器调查， Exim 也是 Debian Linux 默认的 MTA，并且是世界上最受欢迎的 MTA 软件。 调查显示，在调查期间可通过互联网访问的 409,255 台邮件服务器中，超过 59% 运行着 Exim，也就是超过 241,000 个 Exim 实例。 此外，根据Shodan 搜索，目前有超过 330 万台 Exim 服务器暴露在网上，其中大部分位于美国，其次是俄罗斯和荷兰。Censys 发现网上有 6,540,044 台面向公众的邮件服务器，其中 4,830,719 台（约占 74%）运行着 Exim。 可在线访问 Exim 服务器分布（Shodan） 美国国家安全局 (NSA)于 2020 年 5 月透露，俄罗斯黑客组织 Sandworm 至少自 2019 年 8 月以来一直在利用关键的 CVE-2019-10149 Exim 漏洞（被称为“WIZard 的回归”）。 最近，在 10 月份，Exim 开发人员修补了通过趋势科技零日计划 (ZDI) 披露的三个零日漏洞，其中一个 (CVE-2023-42115)使数百万台暴露在互联网上的 Exim 服务器面临预授权 RCE 攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/nyy-QsuvfzrWvkCRyJ1tFg 封面来源于网络，如有侵权请联系删除

攻击者可以快速将可用的概念验证 (PoC) 漏洞武器化，用于实际攻击，最快的一个例子是在漏洞公开后 22 分钟内便可完成。 这是根据 Cloudflare 的 2024 年应用程序安全报告得出的结论，该报告涵盖了 2023 年 5 月至 2024 年 3 月之间的活动，并重点介绍了新兴的威胁趋势。报告链接于此处。 Cloudflare 目前平均每秒处理 5700 万个 HTTP 请求，持续发现对已披露 CVE 的扫描活动有所增加，随后出现命令注入和尝试将可用的 PoC 武器化。 在检查期间，最受关注的漏洞是 Apache 产品中的 CVE-2023-50164 和 CVE-2022-33891、Coldfusion 中的 CVE-2023-29298、CVE-2023-38203 和 CVE-2023-26360 以及 MobileIron 中的 CVE-2023-35082。 武器化速度上升的一个典型例子是 CVE-2024-27198，这是 JetBrains TeamCity 中的一个身份验证绕过漏洞。 Cloudflare 观察到一个攻击者在 PoC 发布 22 分钟后部署基于 PoC 的漏洞利用案例，这使得防御者几乎没有任何补救机会。 CVE 利用速度，来源：Cloudflare Cloudflare公司表示，应对这种速度的唯一方法是利用人工智能辅助快速制定有效的检测规则。 Cloudflare 在报告中解释道：“已披露 CVE 的利用速度通常比人类创建 WAF 规则或创建和部署补丁以缓解攻击的速度更快。” RCE 攻击尝试主要针对特定产品，来源：Cloudflare 所有互联网流量的 6.8% 是DDoS Cloudflare 报告中另一个令人震惊的亮点是，所有日常互联网流量的 6.8% 是分布式拒绝服务 (DDoS) 流量，旨在使合法用户无法使用在线应用程序和服务。 与前 12 个月（2022-2023 年）记录的 6% 相比，这是一个显着的增长，表明 DDoS 攻击的总量有所增加。 Cloudflare 表示，在全球大型攻击事件期间，恶意流量可能占所有 HTTP 流量的 12%。 Cloudflare 表示：“仅关注 HTTP 请求，2024 年第一季度 Cloudflare 平均每天阻止 2090 亿次网络威胁（同比增长 86.6%）[…与去年同期相比，相对而言有大幅增长。” 机器人流量占总流量的三分之一，其中93%是恶意目的 Cloudflare 处理的所有应用程序流量中有 31.2% 是机器人流量。过去三年中，这一比例保持相对稳定（徘徊在 30% 左右）。 机器人流量这个术语可能带有负面含义，但实际上机器人流量不一定是好是坏；这完全取决于机器人的目的。有些机器人是“好的”，并执行所需的服务，例如客户服务聊天机器人和授权搜索引擎爬虫。但有些机器人滥用在线产品或服务，需要被阻止。 好的机器人被 Cloudflare 归类为“经过验证的机器人”。Cloudflare 发现的 93% 的机器人都是未经验证的机器人，并且可能是恶意的。 未经验证的机器人通常用于破坏性和有害目的，例如囤积库存、发起 DDoS 攻击或试图通过暴力破解或凭证填充来接管帐户。经过验证的机器人是那些已知安全的机器人，例如搜索引擎爬虫。 利用机器人的攻击者最关注的是能给他们带来巨额经济收益的行业。例如，消费品网站往往是库存囤积、竞争对手进行价格爬取或旨在利用某种套利的自动化应用程序（例如运动鞋机器人）的目标。这种滥用行为可能会对目标组织造成重大经济影响。 该公司的 PDF 报告可在此处下载，该报告为安全防御提供了额外的建议，并对汇编的统计数据提供了更深入的见解。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/BMq9Pt4tsgi6rfuYYSQLPg 封面来源于网络，如有侵权请联系删除

富士通公司表示，去年 3 月的该公司遭遇的一次网络攻击中，影响其系统的恶意软件并非此前猜测的勒索软件，并指出该二进制文件是通过公司在日本的内部网络自行传播的。 这家消费电子和网络巨头在本周的调查结果中证实，恶意软件最初在富士通的一台商用PC上建立了滩头阵地，并从外部服务器发起攻击（但未提及最初的访问方式）。据富士通公司称，该恶意软件“特别难以检测”，在复制到网络内其他49台PC时，它使用了复杂的隐藏技术。 富士通公司的业务只在日本范围内受到影响。 该公司在公告中指出：“受影响的计算机并非通过富士通提供的云服务进行管理。此外，没有任何迹象表明攻击者访问了富士通向客户提供的服务。调查结果显示，此次破坏范围并未扩散到公司的业务计算机之外，也没有扩散到客户的网络环境中。” 尽管如此，这次网络攻击还是导致该公司出现数据泄露，泄露内容包含 “某些客户的个人或业务相关信息 “的文件。 该公司表示，目前已加强安全措施，在所有业务 PC 上实施针对未命名恶意软件的安全监控规则，同时增强了病毒检测软件的功能，并及时更新软件。   消息来源：darkreading，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

2 月份使用 SSH-Snake 渗透测试工具发起攻击的“CrystalRay”黑客组织大幅增加了攻击规模，使用扩充的武器库袭击了数千名受害者。 SSH-Snake由澳大利亚安全研究员 Joshua Rogers 开发，用于获取 SSH 密钥并将其用于自动网络穿越。2月份，超过 100 个组织使用该工具窃取了凭证， SSH-Snake成为新闻头条。 SSH-Snake 是一种自我复制和自我传播的无文件工具，其目的是用于黑客攻击，其行为方式类似于蠕虫。Rogers 在二月份告诉《安全周刊》，该工具利用了安全架构漏洞，自动化了人类已经可以做的事情。 在首次报告 SSH-Snake 被恶意使用五个月后，Sysdig 表示，初始攻击背后的黑客组织（目前被追踪为CrystalRay）已扩展其工具集，进行大规模扫描、利用多个漏洞以及使用开源软件（OSS）安全工具部署后门。 该公司表示，黑客专注于窃取凭证，然后将其出售以牟利，部署加密矿工，并在受感染的环境中建立持久性。 除了 SSH-Snake 之外，还观察到 CrystalRay 使用 OSS 工具，例如 ASN（启用网络数据调查和侦察）、Zmap（用于端口扫描以识别易受攻击的服务）、Httpx（多用途 HTTP 探测工具）和 Nuclei（漏洞扫描器）。 攻击者试图发现 Activemq、Confluence、Metabase、Weblogic、Solr、Openfire、Rocketmq 和 Laravel 等服务，并利用CVE-2022-44877、CVE-2021-3129和CVE-2019-18394等漏洞。 在某些情况下，CrystalRay 黑客会使用 Nuclei 来识别扫描端口上的潜在蜜罐，并确保它们不会被检测到。 据云安全服务商 Sysdig 称，黑客还使用基于 Golang 的 pdtm 项目来管理和维护他们的开源工具，并依靠 SSH-Snake 进行横向移动。在某些情况下，攻击者还会尝试转移到其他平台，包括服务提供商。 攻击者将部署使用开源、跨平台、对手模拟/红队框架 Silver 生成的有效载荷以实现持久性，并使用开源工具 Platypus 来管理受害者。 云安全服务商 Sysdig 补充道：“CrystalRay 能够发现并提取易受攻击的系统中存在的凭证，然后在黑市上以数千美元的价格出售。出售的凭证涉及多种服务，包括云服务提供商和 SaaS 电子邮件提供商。” 此外，攻击者还会从受害者的机器中窃取各种感兴趣的文件，并部署加密矿工以进一步将未经授权的访问货币化。 CrystalRay 黑客组织的行动证明了攻击者仅使用开源和渗透测试工具就能轻松维护和控制对受害者网络的访问。 因此，实施检测和预防措施以抵御攻击者的持久性是必要的。避免绝大多数此类自动攻击的第一步是通过漏洞、身份和机密管理来减少攻击面。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/HdPTAc2oRuSiTYOck7Ptbw 封面来源于网络，如有侵权请联系删除

据 Have I Been Pwned 创始人 Troy Hunt 分析，美国奢侈品零售商和连锁百货公司 Neiman Marcus 于上月披露的数据泄露事件中暴露了超过 3100 万个客户电子邮件地址。 Hunt 是在该公司向缅因州总检察长办公室提交数据泄露通知后得出的这一结论，而该公司此前提交的泄露通知称此次事件只影响了 64472 人。 Neiman Marcus 在其网站上发布的另一份事件通知中透露道，此次攻击暴露的数据包括姓名、联系信息（如电子邮件、邮寄地址和电话号码）、出生日期、礼品卡信息、交易数据、部分信用卡（无有效期或 CVV）和社会安全号以及员工身份号。 在分析此次泄露事件中被盗数据时，Hunt 发现了 3000 万个唯一的电子邮件地址，与此同时，他还与多个被盗数据库中的信息拥有者确认了这些数据的合法性。 Hunt 表示：“这个数据相当庞大，我确实想及时给数据被盗的人发出通知。被泄露的邮件地址确切总数为 31152842 个。” 数据集中大约 105000 名 Have I Been Pwned 用户将收到一封电子邮件，用以通知此次大规模的数据泄露事件。 BleepingComputer 尝试联系 Neiman Marcus 发言人来确认 Hunt 的发现是否属实，但发言人对此拒绝发表评论。然而，他们向 BleepingComputer 指出该公司网站上已发布数据安全通知，并表示缅因州文件中提到的 64472 人是那些已经收到数据泄露通知的人。 在 Snowflake 的攻击中数据被盗 今年 6 月，Neiman Marcus 在首次披露数据泄露事件后，将该事件与 Snowflake 数据窃取攻击联系起来。 “NMG 近期得知，有未经授权的一方获得了 NMG 云数据库平台的访问权限，该平台由第三方 Snowflake 提供。”该公司表示。 此前，一个使用 “Sp1d3r “头衔的黑客在黑客论坛上出售 Neiman Marcus 的数据，以 15 万美元的价格出售 1200 万个礼品卡号、7000 万个包含客户完整交易的详细信息以及 60 亿行客户购物记录、商店信息和员工数据。 黑客论坛上出售 Neiman Marcus 数据的截图 黑客最初声称该公司拒绝支付勒索要求，但随后删除了论坛帖子和数据样本，这一举动暗示公司可能已经与黑客展开了谈判。 Snowflake、Mandiant 和 CrowdStrike 的联合调查显示，一个被追踪为 UNC5537 的经济动机黑客利用窃取的客户凭据，攻击了至少 165 家未在其 Snowflake 账户上配置 MFA 保护的组织。 相关资讯链接： 由于 Snowflake 账户被入侵，Neiman Marcus 遭受数据泄露   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

最新数据显示，自麒麟勒索软件攻击病理学服务提供商 Synnovis 以来的四周内，伦敦一些最大的医院已取消了约 1,500 例医疗程序。但也许没有一个人受到的影响比 Johanna Groothuizen 更严重。 汉娜（Hanna）在最后一刻接受了保留皮肤的乳房切除术和紧急乳房重建手术，现在手术被改为简单的乳房切除术。 这位 36 岁的伦敦国王学院研究文化经理、前健康科学研究员于 2023 年底被诊断出患有 HER2 阳性乳腺癌。这是一种恶性程度高、扩散速度快且更容易复发的癌症，需要紧急治疗。 汉娜在确诊后不久就开始了化疗，直到她能够接受希望成为第一次也是唯一一次切除肿瘤的重大手术。 从那时到手术（原定于 6 月 7 日进行，即勒索软件攻击发生四天后）期间，她被反复告知，计划中的手术是保留皮肤的乳房切除术，这样外科医生就可以在手术后立即对她的右侧乳房进行美容重建。 然而，这场磨难最终如何结束，则是另一个完全不同的故事。医生给汉娜不到 24 小时的时间，让她做出艰难的决定：是接受简单的乳房切除术，还是推迟这项改变人生的手术，直到 Synnovis 的系统恢复正常。 这个决定是在周五手术前的周四下午强加给她的。此前，她被迫追着医务人员询问手术是否能进行。 汉娜在麒麟勒索软件攻击后的第二天被告知，尽管发生了这一切，但伦敦圣托马斯医院的工作人员仍然计划按照之前商定的程序进行保留皮肤的乳房切除术。 之后医生建议取消手术，医院认为手术的重建部分风险太大，因为 Synnovis 检测服务系统无法支持输血，直到其系统恢复在线。 勒索软件攻击对医院来说并不容易。情况非常严峻，攻击发生一周后，血液储备就已不足，医院不得不紧急呼吁捐献 O 型血。 然而对于汉娜来说，这意味着她必须做出难以想象的艰难选择，是接受她想要的手术，还是接受最有生存机会的手术。 医院给了汉娜一个非常短暂的选择时间，她向朋友和其他乳腺癌幸存者征求建议。她得到的普遍意见是，她应该做简单的乳房切除术，以避免不必要的健康风险。 在此次事件影响到她的护理之前，汉娜就已经了解网络安全以及 2017 年针对 NHS 的 WannaCry 等攻击，但麒麟勒索软件攻击让她对这一主题有了更深入的了解。 汉娜表示，回顾此次袭击事件，她认为这引发了人们对英国公共部门基础设施恢复能力的质疑。 英国国家网络安全战略（2022-2030）的核心目标之一是到 2025 年显著增强政府关键职能（包括提供基本公共服务）抵御网络攻击的能力。然而，近几个月发生的大量事件表明，这一目标还远未实现。 最近对 Synnovis 的攻击再次提醒我们，当关键任务组织遭到入侵时会发生什么，但在过去 12 个月中，英国已经目睹了各种造成严重破坏的其他攻击。 在撰写本文时，距离麒麟勒索软件攻击 Synnovis 已有近五周时间。Synnovis 是Synlab、盖伊和圣托马斯 NHS 基金会信托以及伦敦国王学院医院 NHS 基金会信托之间的病理学服务合作伙伴。 上周（6 月 24 日至 30 日）的数据显示，与 Synlab 合作的两家 NHS 基金会共有 1,517 次急性门诊预约和 136 次择期手术被推迟。自袭击发生以来的当月（6 月 3 日至 30 日），急诊预约被推迟的次数总计为 4,913 次，择期手术被推迟的次数总计为 1,391 次。 NHS 伦敦医疗总监 Chris Streather 博士表示，服务正在恢复到接近正常的状态，并承认上周的工业行动给受影响医院的工作人员带来了额外的困难。病理学服务目前的运行能力仅为勒索软件攻击前的 54%。 盖伊和圣托马斯 NHS 基金会的一位发言人告诉The Register：“我们对我们的病理学提供商 Synnovis 遭受的犯罪网络攻击对 Johanna 的护理造成的影响深感抱歉，我们对这可能造成的任何困扰表示歉意。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/-cBuF24FxhLscZTAlN8I5A 封面来源于网络，如有侵权请联系删除