附：2020年值得关注的20起网络攻击事件

【编者按】从2020年1月到4月，基于云的攻击增加了630%。 到目前为止，2020 年发生了大量网络攻击，暴露了数百万条数据记录，并对个人和组织实施了最危险的网络犯罪。 在今年迄今发生的数千起网络攻击事件中，我们精心挑选了20起最值得关注的网络攻击事件，包括数据泄露、DDOS攻击、勒索攻击、网站攻击等不同类型的事件。 了解如何预防和减轻网络安全风险对每个组织、企业和政府实体都至关重要。 网络安全是基本安全活动和政策的结合，为了预防、检测或减轻网络攻击，网络安全最佳实践和基本原则必须发挥作用。

本文首先分享针对个人、企业和其他实体的网络攻击示例，以及由此导致的数据泄露。 其中包括有关攻击者使用泄露的数据进行金融欺诈、身份盗用、勒索软件攻击、暴力攻击和未经授权访问用户帐户的信息。 其次，讨论了一些网络安全缓解建议，可以实施这些建议来保护网络安全。

1. 2020年至今20起网络攻击案件

这些是2020年过去半年最严重的网络攻击事件。为了便于追踪，特将2020年值得关注的网络攻击事件按照时间顺序（1-8月）整理出一份清单。

1. 伊朗黑客攻击美国政府图书馆项目网站

联邦储备图书馆项目 (FDLP) 网站于 2020 年 1 月 6 日遭到黑客入侵，此前黑客在该网站上发布了一张图片，其中包括：

l 向已故伊朗少将卡西姆·苏莱曼尼致敬；

l 为指挥官之死报仇的宣言；

l 一张被篡改过的手臂和标有“伊朗”的拳头打在美国总统唐纳德·特朗普脸上的照片；

l 一条消息称“这只是伊朗网络能力的一小部分！”。

攻击者利用配置错误的内容管理系统 (CMS) 插入图像和消息。 虽然网络攻击不涉及数据泄露，但该事件揭示了政府拥有的网站面临的网络威胁。 攻击者一直在寻找他们可以利用的网站安全态势中的错误配置和小漏洞。

2. 黑客从 Mathway 数据库中窃取了 2500 万学生数据

2020 年 1 月，一个名为 Siny Hunters 的黑客组织从数学问题解决应用 Mathway 中窃取了 2500 万学生的电子邮件地址和密码。 报告显示，攻击者于 2020 年 5 月 18 日在暗网上以 4,000 美元的价格出售了这些数据。

密码已加密，解密的责任落在买家身上。 即使数据的购买者无法解密密码，拥有 2500 万个电子邮件地址的列表对于向学生发送充满恶意软件的网络钓鱼或垃圾邮件仍然有用。

3. 368万摩友用户敏感数据在暗网论坛被盗

据 Risk Based Security 报道，2020 年 1 月 12 日，一名名为“DonJuji”的黑客试图在暗网黑客论坛上出售近 400 万 MobiFriends 用户的敏感数据。 2020 年 4 月 12 日，另一个人在同一网站上不受限制地发布了相同的数据。

MobiFriends 是一个位于巴塞罗那的热门交友网站。 该数据库包含 3,688,060 名用户的以下信息：

l 电子邮件地址；

l 用户名；

l 加密密码；

l 手机号码；

l 出生日期；

l 性别；

l 网站活动。

这些数据包括财富 1,000 强公司的企业电子邮件地址，包括 AIG、Experian、沃尔玛和 Virgin Media。 如果用户使用相同的密码登录其公司电子邮件地址，这些公司可能面临与商业电子邮件妥协 (BEC) 相关的网络犯罪风险。 虽然 Risk Based Security 报告说密码是用 MD5 算法加密的，但它不被认为是一种非常强大的散列算法。

4.攻击者对亚马逊发起大规模DDoS攻击

2020 年 2 月，亚马逊网络服务 (AWS) 成为大规模分布式拒绝服务 (DDoS) 攻击的目标。 该公司经历并缓解了每秒 2.3 太比特 (Tbps) 的 DDoS 攻击。 包转发率为293.1Mpps，请求率为694201(rps)每秒。 DDoS 攻击在一周内造成三天的威胁加剧，被认为是历史上最大的 DDoS 攻击之一。

5. 黑客访问 GoDaddy 的服务器并窃取用户登录凭证

2020 年 4 月 23 日，全球最大的托管服务提供商之一 GoDaddy 通知其部分客户，GoDaddy 托管环境中的 SSH 文件被更改，导致数据泄露。这封信通知用户，未经授权的人正试图获得访问权限使用暴露的凭据到用户的托管帐户。

GoDaddy 重置了托管帐户的用户登录凭据，以防止进一步损坏。 他们还通过向受影响的客户免费提供为期一年的网站恶意软件删除工具订阅来弥补这一事件。

这个事件最令人不安的是时间间隔。 尽管该事件发生在 2019 年 10 月 19 日，但 GoDaddy 直到 2020 年 4 月 23 日才注意到它。根据 IBM 的 2020 年数据泄露成本报告，2020 年平均需要 280 天才能识别和遏制数据泄露。在此期间，攻击者不仅可以利用系统，还可以在暗网上向其他网络犯罪分子出售受损凭据。

6. 勒索软件攻击从 W&T Offshore 窃取了 800 GB 的敏感数据

安全研究公司 Cyble Inc. 于 2020 年 4 月 28 日发布了一份关于 W&T Offshore 勒索软件攻击的报告。 据报道，Netfilim 勒索软件运营商从德克萨斯州的石油和天然气公司窃取了 800 GB 的敏感数据。

该报告进一步指出，该公司与攻击者的赎金谈判失败导致网络犯罪分子在暗网上泄露了 10 GB 的数据。 泄露的数据包括以下敏感财务文件：

l 银行对账单；

l 日志条目；

l 公司风险分析模型；

l 长期债务报告。

7. 哥斯达黎加银行 1100 万张信用卡凭据被盗

2020 年 5 月 1 日，Maze 勒索软件声称对从哥斯达黎加银行 (BCR) 网络窃取 1100 万张信用卡凭据负责。 国有商业银行 Banco BCR 的网络在 2019 年 8 月和 2020 年 2 月遭到黑客攻击，但攻击者声称窃取了“数年的数据，包括 1100 万张信用卡”。 在 1100 万条记录中，有 400 万条是独一无二的，14 万条属于美国居民。 作为证据，黑客发布了以下信息：

l 240个信用卡号（后四位不公开）；

l 卡有效期；

l 卡验证码（CVV）。

袭击者表示，他们无法联系银行协商赎金事宜。 2020 年 5 月 22 日，Cyble Inc. 发布了一份报告，称勒索软件 Maze 运营商已开始在暗网上发布 Banco 客户的信用卡详细信息。 攻击者发布了一个 2 GB 的 CSV 文件，其中包含各种 Mastercard 和 Visa 信用卡和借记卡信息，因为银行没有认真对待他们的泄密勒索行为。

8. 黑客在暗网上出售 1500 万 Tokopedia 用户的数据

该事件源于数据泄露监控和预防服务下的一个漏洞。 2020 年 5 月 2 日的一条推文分享了一个消息，称一名黑客已将 1500 万 Tokopedia 客户的个人数据放在暗网上出售。 数据来自三月份发生的一次黑客攻击。 5 月 3 日，该公司发布更新称，攻击者拥有 9100 万条受害者记录公司邮箱收到中文比特币勒索邮件，他们以 5000 美元的价格出售。 这些数据包括：

全名；

l 电子邮件地址；

l 电话号码；

l 密码散列；

l 出生日期；

l Tokopedia配置文件相关细节。

幸运的是，密码是使用 SHA2-384 哈希算法加密的，因此黑客无法解密密码 HASH。 该公司发言人表示，他们已采取措施保护客户数据，但仍建议用户更改密码以防万一。

9、澳洲内政部泄露77.4万移民数据

媒体机构《卫报》于 2020 年 5 月 2 日发布了一份报告，指出澳大利亚内政部的数据库泄露事件导致 774,000 名现有和潜在移民的个人详细信息在线泄露。 该数据库泄露了有关移民的信息，例如：

l 774326个唯一标识符称为ADUserID；

l 189,426份完整的意向书；

l 申请结果；

l 申请人的出生国、年龄、学历和婚姻状况。

《卫报》发表该报道后，澳大利亚政府将相关信息下线。

10. 黑客在暗网上出售了 21,909,709 名 Unacademy 注册用户的数据

2020年5月8日，一名黑客在暗网上出售了印度最大教育平台Unacademy近2200万用户的数据。 安全公司 Cyble 报告称，黑客以 2,000 美元的价格出售了整个 Unacademy 数据库，其中包含：

我的名字；

l 用户名；

l 加密密码；

l 电子邮件地址。

它还包括与 Unacademy 的用户配置文件及其角色和状态相关的详细信息。 泄露的数据库还包含属于 Wipro、Reliance Industries、TCS、Google 和 Facebook 等知名组织的公司电子邮件地址。 如果用户为他们的公司电子邮件帐户使用相同的密码公司邮箱收到中文比特币勒索邮件，攻击者也可以闯入公司的电子邮件网络。

当被问及 Mint 为保护数据而采取的安全措施时，Unacademy 联合创始人 Hemesh Singh 回应说，“极不可能”滥用泄露的数据来获取密码“极不可能”。 因为他们使用 SHA256 算法来保护他们的密码，并使用基于一次性密码 (OTP) 的登录系统来提供双因素身份验证 (2FA)。

11. 钓鱼邮件泄露了 12,000 多名日经员工的数据

日本领先的报纸出版商日经新闻社宣布。 它遭受了涉及 12,514 名合同工个人数据的数据泄露。 该事件是由日经内部网络的一封钓鱼邮件中包含的病毒引起的。

该病毒感染了 Nikkei 内部电子邮件系统的一部分，窃取了 12,514 名承包商的详细信息，包括姓名、从属关系和电子邮件地址。 数据于 2020 年 5 月 8 日泄露。

12. 黑客组织 ShinyHunters 出售 7320 万条用户记录

黑客组织 ShinyHunters 列出了个人数据库，其中包含来自 10 家公司的 7320 万条记录，在暗网上以 18,000 美元的价格出售。 2020 年 5 月 9 日的报告称，ShinyHunters 与 3 月份涉及 Tokopedia 数据泄露事件的组织相同。 数据泄露的 10 家公司名单包括：

13、易捷航空遭受网络攻击，900万客户信息被盗

据英国广播公司报道，廉价航空公司 EasyJet 已成为高度复杂的网络攻击的受害者，其中 900 万客户的电子邮件地址和旅行详细信息被盗。 报告称，攻击者还通过 CVV 获得了 2,208 名客户的信用卡/借记卡号码。

尽管 EasyJet 从 1 月份就知道数据泄露事件，但直到 5 月 19 日才向公众披露。不过，该航空公司确实在 4 月份通知了支付卡详细信息被盗的客户。 EasyJet 已将违规事件通知英国信息专员办公室 (ICO)，以帮助他们进一步调查。

14. 黑客在暗网上发布了 230 万印度尼西亚选民的数据

据路透社报道，2020年5月20日，一名黑客在黑客论坛RaidForum上公布了230万印尼选民的数据。 这些数据包含敏感信息，例如选民的家庭住址和身份证号码。 袭击者还威胁要公布另外 2 亿选民的数据。 印尼大选委员会证实了选民数据的真实性。

15. Bigfooty.com 泄露的数据库包含 132GB 的客户数据

2020 年 5 月 29 日，安全研究员 Anurag Sen 和他的团队在 Bigfooty 的母公司 Big Interest Group LLC 的服务器上发现了一个泄露的 bigfoy.com 数据库。 Bigfoy.com是澳大利亚知名的粉丝论坛，拥有超过10万名会员。

泄露的 Elasticsearch 数据库有 132 GB 的数据，包含大约 7000 万条用户记录。 这次泄漏影响了多达 100,000 名用户，包括以下数据：

l 用户名；

l 密码；

l 电子邮件地址；

l 手机号码；

l 与行为和活动相关的个人信息和数据。

在 Bigfooty 中，用户可以选择保持匿名。 然而，利用上述细节，可以追踪匿名用户的身份，包括那些在私人信息中发送人身威胁和种族主义材料的用户。 还可以追踪到澳大利亚警察和政府雇员等知名用户发表的评论。 攻击者可以轻松利用这些详细信息进行勒索软件攻击、勒索、个人报复以及损害个人和组织的形象或声誉。

泄露的数据还包括与 IP 地址和 GPS 位置相关的内部网站技术信息、操作系统和服务器数据、访问和错误日​​志等，黑客可能会利用这些信息对网站实施其他严重犯罪。

16. 加州大学旧金山分校支付 114 万美元赎金

2020 年 6 月 1 日，加州大学旧金山分校 (UCSF) 遭到勒索软件攻击。 Netwalker 勒索软件运营商对一所大学医学研究所的一些重要服务器进行了加密，该研究所正在研究 COVID-19 的治疗方法。

尽管大学工作人员将受恶意软件感染的服务器与 UCSF 的核心网络隔离开来，但他们没有任何计划来解锁被黑客攻击的服务器并解密数据。 结果，UCSF 与黑客进行了谈判，并于 2020 年 6 月 26 日向 Netwalker 运营商支付了 114 万美元（116.4 BTC）。作为回报，黑客将解密密钥发送给 UCSF，他们用它来重新获得对服务器和丢失的数据。

17. Cloudflare 成为大规模 DDoS 攻击的目标

2020年6月18日，攻击者对美国领先的网络基础设施和安全公司Cloudflare发起了大规模的DDoS攻击。 攻击持续了四天，于 6 月 21 日结束。以下是 Cloudflare 分享的有关攻击严重性的详细信息：

l 2020年6月的DDoS网络攻击持续数小时，攻击速率超过每秒400-6亿包（PPS）。 它达到了每秒超过 7 亿个数据包的数倍；

l 在攻击高峰期，超过31.6万个不同的IP地址发出了7.54亿个PPS；

l 使用了三种类型的TCP攻击向量的组合：SYN flood、SYN-ACK flood和ACK flood。

攻击者瞄准了一个特定的 Cloudflare IP 地址，该地址主要用于免费订阅计划中的网站。

幸运的是，Cloudflare 的 DDoS 检测和缓解工具 Gatebot 检测并处理了这次攻击。 客户不会遇到停机和服务差异。 虽然 Cloudflare 能够成功缓解 DDoS 攻击，但并非所有公司都能做到。 对于其他公司，尤其是初创公司和小型企业而言，几乎毫发无损地逃脱这种规模的 DDoS 攻击是一项巨大的成就。

18. 130 个名人 Twitter 帐户发布比特币诈骗

2020 年 7 月 15 日，数名攻击者入侵了 130 个备受瞩目的 Twitter 帐户，并从他们的个人资料中发布了加密货币诈骗消息。 根据 Twitter 数据，这些帖子是社交工程攻击的结果，导致 45 个帐户发推文，访问 36 个帐户的直接消息收件箱并下载另外七个帐户的 Twitter 数据。 例如，使用乔·拜登的账户发布的欺诈信息写道：“我正在回馈社会。所有发送到以下地址的比特币将双倍返还！如果您转账 1,000 美元，我将返还 2,000 美元。仅需 30 分钟。”

着名的受害者名单包括巴拉克奥巴马，乔拜登，埃隆马斯克，坎耶韦斯特和比尔盖茨，这些人拥有数百万的追随者。 黑客通过社会工程攻击获得了 Twitter 自己的内部管理工具的访问权。 Twitter 立即暂停所有经过验证的用户发布其帐户中的任何内容。 然而，攻击者能够诱骗一些人获得价值超过 100,000 美元的比特币。

19. 雅芳泄露了 1900 万客户和员工数据

2020年7月28日，安全检测团队披露了化妆品巨头雅芳服务器的一些重大漏洞。 他们发现了一个泄露的数据库，其中包含 7 GB 的客户和员工数据。 任何拥有服务器 IP 地址的人都可以访问这些数据，包括姓名、GPS 坐标、电子邮件地址、电话号码等所有内容。 这些详细信息可用于网络钓鱼攻击和与身份盗用相关的犯罪。 该数据库还包括雅芳内部技术组件的详细信息，例如：

l 安全令牌、短信验证服务日志；

l OAuth令牌；

l 300万条技术日志条目；

l 账户设置信息；

11,000 多个条目标记为“salesLeadMap”；

l 技术服务器信息。

攻击者可以很容易地利用这些细节对网站进行大规模的网络攻击，或者将数据出售给竞争对手或营销商。

安全侦探团队自己在 2020 年 6 月 3 日发现了泄露的数据库。他们在向公众发布信息之前联系了雅芳，公司采取措施保护信息安全。

20. 新西兰多个网站遭受网络攻击

8 月，新西兰的各种服务和网站发现自己成为 2020 年各种网络攻击的目标。 由于网络攻击，Westpac Bank、MetService 天气新闻网站、Kiwibank 和 TSB Bank 等实体都经历了服务中断和问题。

然而，最大的目标之一是新西兰股票市场 (NZX)。 自 8 月 24 日起，NZX 因遭受持续五天的严重 DDoS 攻击而不得不暂停交易。 攻击的峰值速度超过每秒 1 太比特 (Tbps)。 在攻击之前，黑客向 NZX 发送了一封电子邮件，警告可能存在网络攻击。 据 Stuff.co.nz 称，攻击者可能一直在寻求勒索比特币赎金以阻止攻击。

二、网络攻击缓解措施及安全建议

从上述 2020 年的网络攻击可以看出，即使在大型知名组织和政府机构中，数据也不安全。 网络安全是一个持续的过程，因此所有大型组织都有一个网络安全团队，专门负责数据保护和防止各种类型的网络攻击。 但初创企业、小型企业和中小型企业往往预算紧张，不一定负担得起聘请网络安全专家的费用。 但是，可以遵循一些网络安全提示来加强贵公司的网络安全状况。

1.加强安全意识培训教育。 员工安全意识淡漠是一个重要问题。 必须经常提供网络安全培训，以确保员工能够发现并避免潜在的网络钓鱼电子邮件，这是勒索软件的主要入口之一。 将此培训与网络钓鱼演练结合使用，以应对员工的漏洞。 确定最脆弱的员工并为他们提供额外的支持或安全措施以降低风险。

2.加强端点保护。 及时加强终端和服务器。 所有服务器和终端都应该执行复杂的密码策略，以消除弱密码； 安装杀毒软件、终端安全管理软件，及时更新病毒库； 及时安装漏洞补丁； 提供可追溯性的基础。

3.关闭不需要的端口和服务。 严格控制端口管理，尽量关闭不需要的文件共享权限和不需要的端口（RDP服务的3389端口），并使用适用的反恶意软件进行安全保护。

4.采用多因素认证。 利用被盗的员工凭据来访问网络并分发勒索软件是一种常见的攻击媒介。 这些凭据通常是通过网络钓鱼或从过去的入侵中获得的。 为了降低攻击的可能性，重要的是在所有技术解决方案中采用多因素身份验证（MFA）。

5.全面强化资产精细化准入。 增强资产可见性和精细的资产访问控制。 员工、合作伙伴和客户都以身份和访问管理为中心。 合理划分安全域，采取必要的微隔离。 实施最小权限原则。

6.威胁态势深入管控。 持续加强威胁监测检测能力，依托资产可视化、威胁情报共享、态势感知能力，形成威胁早发现、早隔离、早处置的有效机制。

7. 制定业务连续性计划。 加强业务数据备份，及时备份业务系统和数据，验证备份系统和备份数据的可用性； 建立安全灾后恢复预案。 同时做好备系统与主系统的安全隔离，防止主备系统同时受到攻击，影响业务连续性。 业务连续性和灾难恢复 (BCDR) 解决方案应该是在发生攻击时维持运营的策略的一部分。

8、定期检查。 每三到六个月对网络卫生实践、威胁态势、业务连续性计划和关键资产访问日志进行一次审查。 通过这些措施不断改进安全程序。 随时了解风险并主动防御勒索软件攻击并减轻其影响。

另外，被勒索软件攻击后，无论是企业还是个人受害者，都不建议支付赎金。 支付赎金不仅变相鼓励网络攻击，解密过程还可能带来新的安全风险。

参考资源：

【1】

[2]天地合兴，2020年上半年典型勒索软件，2020年7月

【3】

【4】

【5】