為此2024年，網絡安全領域經歷了一場前所未有的風暴。從微軟高管郵箱被黑客攻陷，到全球數百萬系統因軟件故障陷入癱瘓，這一年充滿了驚心動魄的網絡安全事件。隨著數據泄露規模的不斷擴大和勒索軟件攻擊的愈演愈烈，企業和個人都面臨著前所未有的挑戰。

在2024年即將結束之際，安全牛盤點了2024年發生的一些網絡安全的重大事件，揭示這些事件背后的復雜攻擊手段和對全球安全格局的深遠影響。在這個數字化時代，網絡安全已不再是一個可選項，而是每個組織和個人必須面對的現實。

十大網絡安全事件

1.微軟高管郵箱被“午夜暴雪”攻陷

2024年1月，微軟披露其遭到了威脅組織“午夜暴風雪”的攻擊。攻擊者主要針對微軟的高級領導團隊成員以及網絡安全、法務等部門的員工，竊取了部分電子郵件和附件，同時還訪問了一些源代碼庫和內部系統。

攻擊者首先通過一個遺留的非生產測試租戶賬戶獲得訪問權限，使用密碼噴灑攻擊，這種攻擊方式涉及同時對多個賬戶嘗試大量常見密碼。在獲得初步立足點后，他們從被攻陷的賬戶中竊取了電子郵件和文件。

雖然微軟表示此次攻擊并未影響客戶環境、生產系統、源代碼或人工智能系統，但事件暴露了微軟內部網絡的安全漏洞，包括未啟用的多因素認證（MFA）和測試賬號權限過大等問題

2.CrowdStrike更新失誤致全球Windows系統崩潰

2024年7月19日發生的CrowdStrike更新故障導致的微軟“藍屏死機”故障被認為是歷史上最大的IT中斷事件之一，影響了全球數百萬個系統，并導致各行業面臨重大運營挑戰。此次故障的估計財務損失約為100億美元，使其在規模和對全球商業運營的影響方面成為歷史性事件。

此次故障是由于CrowdStrike的Falcon Sensor安全軟件的配置更新錯誤引發的。該更新被識別為Channel File 291，包含一個邏輯錯誤，導致軟件驅動程序（CSagent.sys）發生越界內存讀取，從而導致系統崩潰。受影響的Windows系統出現了臭名昭著的藍屏死機。

全球約有850萬臺微軟Windows系統受到影響，導致航空、銀行、醫療和緊急服務等關鍵行業出現廣泛中斷。此次事件導致的運營失敗包括航班取消、支付處理問題和基本服務中斷。

3.黎巴嫩突發尋呼機大規模群體爆炸

在2024年9月，黎巴嫩首都境內用于通訊的大量尋呼機被遠程引爆，造成至少12人死亡，約2800多人受傷，其中包括數十名真主黨成員和伊朗駐黎巴嫩大使。

爆炸是由發出信號的尋呼機引發的，這些尋呼機在引爆前會發出聲響。報告顯示，這些設備在爆炸前會發出嗶嗶聲或震動，促使用戶將其靠近臉部，從而增加了使用者遭受重傷的可能性。調查顯示，爆炸物可能隱藏在尋呼機的鋰電池內。這種復雜的方式使得在設備被激活之前幾乎不可能被檢測到。

黎巴嫩移動設備爆炸事件揭示了一個令人不安的趨勢：網絡攻擊正在從虛擬領域向現實物理世界擴展，并已經能夠對現實世界造成切實的破壞和傷害。傳統的網絡攻擊主要側重于竊取數據、破壞數字系統，或通過軟件和網絡漏洞削弱基礎設施。然而，黎巴嫩移動終端爆炸事件表明，網絡手段能夠直接造成物理破壞，數字攻擊可能轉化成為實際的人員傷亡。

4.Change Healthcare 因勒索攻擊損失25億美元

2024 年2 月披露的美國醫療支付服務提供商 Change Healthcare 遭遇的勒索軟件攻擊事件，導致數千家藥房和醫療提供者因此面臨重大運營挑戰，約 1億人的個人信息受到影響。

臭名昭著的勒索軟件組織 ALPHV/BlackCat 聲稱對此次泄露事件負責。攻擊者通過從缺乏多因素認證的 Citrix 門戶獲取的被盜憑證訪問了 Change Healthcare 的系統。他們在網絡中潛伏了大約九天，未被發現，隨后部署了勒索軟件。

此次攻擊干擾了超過100個Change Healthcare 應用程序，導致系統中斷，影響了全國范圍內的計費、保險索賠處理、處方藥交付等關鍵功能。由于系統被加密，許多醫院和藥房無法正常處理索賠和接收付款，導致醫療服務中斷。此外，攻擊還導致了大量敏感數據被盜，包括個人身份信息、醫療記錄、賬單記錄和保險數據等。

與此次攻擊相關的總成本預計將超過 24.5 億美元，包括贖金支付、恢復工作和法律責任。據報道，Change Healthcare 支付了 2200 萬美元的贖金，盡管這一支付并未阻止另一個名為 RansomHub 的組織進行進一步的敲詐。 

5.Snowflake 被黑導致165家企業數據泄露

2024年4月中旬開始，Snowflake披露遭遇重大數據泄露事件，影響了包括Ticketmaster、Santander和AT&T等大型公司在內的至少165個組織，導致大量敏感數據被盜。此次泄露導致超過3000萬條銀行賬戶信息、2800萬條信用卡號碼和大量員工的個人身份信息（PII）被曝光。

黑客組織ShinyHunters利用了Snowflake客戶的薄弱安全實踐，特別是缺乏多因素認證（MFA）和不良的密碼管理，使用從非Snowflake系統的惡意軟件攻擊中獲得的有效憑證獲得了訪問權限。此次泄露導致敏感客戶數據的未經授權訪問，包括財務信息和個人身份信息。報告顯示，黑客試圖在暗網論壇上出售這些數據，聲稱擁有數百萬客戶的記錄。

在泄露事件發生后，Snowflake公司強調此次事件并非由于其平臺的缺陷，而是由于用戶賬戶被攻陷。他們敦促客戶實施多因素認證并加強安全配置。

6.美國國家公共數據黑客事件影響1.7億人

2024年8月，美國國家公共數據披露發生嚴重的敏感數據泄露事件，引發了對處理敏感個人信息的組織的數據安全實踐的嚴重擔憂。在該事件中，黑客暴露了敏感的個人信息，包括社會安全號碼、地址和電話號碼。此次數據泄露事件涉及 29 億條記錄，可能影響到多達 1.7 億人，涵蓋美國、英國和加拿大。

2023 年底，黑客試圖滲透國家公共數據的系統。攻擊者利用了NPD基礎設施中的多個安全漏洞，包括未修補的軟件缺陷和薄弱的訪問控制。這些弱點使他們能夠獲得未經授權的訪問權限，并在網絡內橫向移動，未被檢測到長達數月。到 2024 年4 月，被盜數據已在暗網上出售。泄露的全部范圍在 2024 年8 月變得明顯，導致多起針對該公司的訴訟。

國家公共數據因此面臨嚴重后果。該公司于 2024年10 月申請破產，并最終在 12 月關閉。

7.網絡攻擊導致西雅圖機場陷入混亂

2024年8月，由美國西雅圖港管理的西雅圖-塔科馬國際機場（SEA）遭遇了一次重大的勒索軟件攻擊，導致廣泛的運營混亂和干擾。這一事件因其對機場服務的影響以及在高峰旅行期間給旅客帶來的挑戰而備受關注，并提醒業界針對關鍵基礎設施的網絡犯罪分子所帶來的威脅正在不斷增長。

勒索軟件組織Rhysida在發起攻擊后，要求支付600萬美元的比特幣，威脅稱如果不滿足他們的要求，將公開從機場系統中竊取的敏感數據。

此次攻擊影響了多個關鍵系統，包括乘客顯示屏、Wi-Fi連接、自助值機、售票和行李處理系統和flySEA移動應用程序和西雅圖港網站等。盡管航班繼續運營，但許多服務受到嚴重影響。由于自動化系統的故障，乘客不得不依賴人工值機和紙質登機牌。這種情況在繁忙的勞動節周末造成了長隊和旅客間的混亂。

到9月初，西雅圖港宣布大部分受影響的系統已恢復。然而，一些關鍵功能在攻擊后仍然離線數周。聯邦調查局（FBI）和其他機構對該事件展開了調查。雖然在攻擊過程中一些數據被加密，但在系統恢復后沒有發現其他惡意活動的證據。 

8.AT&T泄露超億個客戶敏感信息

2024年7月，AT&T披露遭遇了一次重大的數據泄露事件，暴露了近乎1.09億客戶敏感信息，這一數據幾乎覆蓋所有其無線客戶。該事件對這家電信巨頭造成了廣泛的影響。

該泄露事件發生在2024年4月14日至4月25日之間，涉及對托管在第三方云平臺上的AT&T工作區的未經授權訪問。黑客組織ShinyHunters利用云服務上不安全的存儲賬戶竊取客戶數據。

此次泄露涉及約1億AT&T無線客戶的通話和短信記錄，以及使用AT&T網絡的移動虛擬網絡運營商（MVNO）客戶的數據。

AT&T在2024年5月向攻擊者支付了約37萬美元的加密貨幣，以確保刪除被盜數據并獲得其銷毀的證明。聯邦通信委員會（FCC）在泄露事件后對AT&T的數據保護措施展開了調查。2024年9月，AT&T同意支付與該調查相關的1300萬美元和解金。在泄露事件后，AT&T面臨多起來自受影響客戶的集體訴訟，尋求對其數據暴露的問責。

9.倫敦多家NHS醫院因勒索攻擊運營受影響

2024年6月初，病理學和診斷服務提供商Synnovis遭受勒索軟件攻擊，嚴重影響倫敦幾家大型英國國家醫療服務體系（NHS)醫院的運營，攻擊迫使受影響的醫院取消部分醫療程序，部分患者被轉至其他醫院。NHS發出緊急呼吁，倡議倫敦市民捐獻O型血。

Synnovis是歐洲最大的醫療檢測和診斷提供商SYNLAB的病理學合作伙伴。6月3日，Synnovis在其網站上發布公告，承認遭遇勒索軟件攻擊，攻擊影響了Synnovis的所有IT系統，導致許多病理學服務中斷。

倫敦NHS發表了關于Synnovis勒索軟件攻擊的聲明，證實該事件對蓋伊醫院和圣托馬斯醫院、倫敦國王學院醫院以及倫敦東南部初級保健服務產生重大影響。

NHS確認勒索軟件攻擊已擾亂血液配型測試，因此受影響的醫院正在為無法等待血液配型檢測的患者使用O型血液，NHS呼吁市民緊急捐獻O型血。

10. Ivanti零日漏洞被大規模利用

在2024年初，研究人員觀察到Ivanti 云服務設備的Connect Secure和Policy Secure網關中存在多個零日漏洞被利用。關于進一步漏洞和實際利用的報告迅速出現，影響了包括政府、軍事、電信、技術、金融、咨詢和航空航天等多個行業的Ivanti客戶。

在攻擊過程中，攻擊者同時利用了多個漏洞，特別是 CVE-2024-9379、CVE-2024-9380 和 CVE-2024-9381，以及之前披露的路徑遍歷漏洞 CVE-2024-8963。這種鏈接允許攻擊者提升權限并執行任意命令，從而顯著增加數據泄露和系統泄露的風險。

美國網絡安全和基礎設施安全局（CISA）在1月發布了一項緊急指令，要求所有政府民用聯邦機構緩解這些零日漏洞的風險。

2024年網絡攻擊的幾個關鍵特征

安全牛分析發現，2024年發生的重大網絡安全事件主要呈現出以下6個特點：

1. 多因素認證的缺乏和密碼管理不善

多個事件（如微軟和Snowflake的攻擊）表明，缺乏多因素認證和不良的密碼管理是導致數據泄露的主要原因之一。攻擊者利用這些弱點，通過密碼噴灑和憑證盜竊等方式獲得訪問權限。

2.勒索軟件攻擊的廣泛影響

勒索軟件攻擊在2024年繼續對各行業造成重大影響，包括醫療、航空和公共基礎設施等領域。攻擊者不僅竊取數據，還通過加密關鍵系統來中斷運營，要求高額贖金。

3. 物理世界的網絡攻擊

黎巴嫩的尋呼機爆炸事件表明，網絡攻擊正在從虛擬領域擴展到物理世界，能夠直接造成物理破壞和人員傷亡。這種趨勢顯示出網絡攻擊的復雜性和潛在的危險性。

4.關鍵基礎設施的脆弱性

西雅圖機場和NHS醫院的攻擊事件突顯了關鍵基礎設施在面對網絡攻擊時的脆弱性。這些攻擊導致了廣泛的運營中斷，影響了大量人員的日常生活。

5.日漏洞的利用

Ivanti的零日漏洞被大規模利用，顯示出攻擊者對新發現的漏洞迅速加以利用的能力。這種情況增加了各行業面臨的安全風險，尤其是那些依賴于特定技術和服務的行業。

6. 數據泄露的規模和影響

2024年發生的多起數據泄露事件（如AT&T和美國國家公共數據）涉及數億條記錄，影響范圍廣泛。這些事件引發了對數據保護措施的質疑，并導致了法律和財務后果。

總體而言，2024年的網絡攻擊顯示出攻擊手段的多樣化和復雜化，強調了加強網絡安全措施和提高對新興威脅的響應能力的重要性。通過對這些事件的回顧，我們希望能夠為企業和個人提供有價值的見解，幫助他們在這個充滿挑戰的數字時代更好地保護自己的信息和資產。