2024 年网络攻击、数据泄露事件、新威胁团体及零日漏洞不断出现，以下是对2024 年最具影响力的网络安全故事盘点，并对每个故事进行了简单概述。

　　10 月 9 日，互联网档案馆同时遭受两次不同的攻击：一次是数据泄露，该网站 3300 万用户的用户数据被盗；另一次是由一个名为 SN_BlackMeta 的涉嫌亲巴勒斯坦组织发起的 DDoS 攻击。虽然两次攻击发生在同一时期，但它们是由不同的威胁者发起。

　　破坏互联网档案馆的威胁者表示，他们可以通过包含身份验证令牌的公开 GitLab 配置文件来实现这一目的，从而允许他们下载互联网档案馆源代码。

　　该源代码包含额外的凭据和身份验证令牌，包括互联网档案馆数据库管理系统的凭据。这使得威胁者能够下载用户数据库、源代码并修改站点。

　　2024 年 7 月 19 日，一个有漏洞的 CrowdStrike Falcon 更新在凌晨被推送到 Windows PC，导致网络安全软件的内核驱动程序导致操作系统崩溃。

　　该错误造成了严重的全球性中断，影响了大约 850 万个 Windows 系统。人们发现自己的设备崩溃，除了启动到安全模式之外，没有简单的方法可以返回操作系统来删除错误的更新。

　　该错误源于 CrowdStrike 内容验证过程中的漏洞，该过程未能检测到有漏洞更新。此错误更新引发了一系列系统崩溃，包括影响 Windows 设备和 Windows 365 云 PC 的无休止的重启循环。

　　由于 CrowdStrike 被许多企业使用，因此很快就产生广泛影响，影响了世界各地的金融公司、航空公司和医院，导致他们的 Windows 设备和应用程序也不可用。

　　Microsoft 发布了 Windows 修复工具来帮助删除有问题的 CrowdStrike 驱动程序并恢复受影响的系统。尽管有这个工具，但许多企业仍面临着漫长的恢复过程，因为每个设备都需要手动修复k8凯发官网app下载,。

　　当威胁者开始参与其中，事情变得更糟。网络犯罪分子分发假冒的 CrowdStrike 修复工具和手册，传播恶意软件，包括新的 Daolpu 信息窃取程序。这些网络钓鱼活动针对试图从中断中恢复的企业，进一步推迟了中断。

　　投资者很快对 CrowdStrike 提起诉讼，指责其在质量保证流程中存在疏忽，并且未能阻止有问题的更新发布。

　　微软还宣布，他们将考虑更改内核驱动程序处理策略以应对该事件，并鼓励防病毒供应商限制内核驱动程序的使用，以防止此类崩溃事件的发生。

　　6 月，拜登政府宣布即将禁止卡巴斯基反病毒软件，让客户在 2024 年 9 月 29 日之前寻找替代安全软件。该禁令不仅涉及卡巴斯基软件在美国的销售，还阻止该公司向客户提供防病毒和安全更新。一个月后，卡巴斯基开始关闭其在美国的业务k8凯发官网app下载,，拜登政府的决定使业务“不再可行”。

　　卡巴斯基决定将其美国客户群出售给 Pango，并于 9 月初向客户发送电子邮件表示他们将获得 UltraAV 软件的免费升级。然而，该公司并没有向客户明确表示将卸载其软件，9月19日，卡巴斯基用户突然发现他们的卡巴斯基产品被删除，而无论他们是否愿意，UltraAV被强制安装在他们的计算机上。这让许多卡巴斯基客户感到不满，因为他们的设备上安装了未经许可或明确通知的软件。

　　今年 1 月，微软披露，俄罗斯国家支持的威胁者于 2023 年 11 月入侵了其公司电子邮件服务器，窃取了其领导层、网络安全和法律团队的电子邮件。

　　该黑客组织被称为 Midnight Blizzard（又名 Nobelium，或 APT29），是一个与俄罗斯对外情报局（SVR）有联系的国家支持的网络间谍组织。

　　微软后来透露，威胁者进行了密码喷射攻击，允许访问遗留的非生产测试租户帐户。该测试租户帐户还可以在 Microsoft 的企业环境中访问具有提升权限的 OAuth 应用程序，从而允许黑客从企业邮箱窃取数据。

　　2024 年 3 月，黑客利用被盗电子邮件中的信息再次入侵 Microsoft，从而窃取了源代码存储库。CISA 在 4 月份证实，美国联邦机构和微软之间的电子邮件也在这次攻击中被盗。这些电子邮件包含的信息使黑客能够访问某些客户的系统。

　　8 月份，近 27 亿条美国人的个人信息记录在黑客论坛上泄露，暴露了姓名、社会安全号码、所有已知的实际地址以及可能的别名。这些数据是从国家公共数据公司窃取的，该公司收集和出售个人数据的访问权限，用于背景调查、获取犯罪记录以及供私家侦探使用。

　　Have I Been Pwned 的 Troy Hunt 分析了这次泄露，并确定其中包含 1.34 亿个唯一的电子邮件地址，这是一次可怕的数据泄露事件。泄露事件背后的威胁者试图以 350 万美元的价格出售它，但它最终在黑客论坛上免费泄露。

　　今年，我们继续看到针对不同制造商的边缘网络设备的攻击，包括 Fortinet、TP-Link、Ivanti 和 Cisco。这些类型的设备是有价值的目标，因为它们暴露在互联网上，一旦遭到破坏，威胁者就可以进入内部网络。针对此类设备的攻击事件太多，暂不展开叙述。

　　汽车经销商软件即服务提供商 CDK Global 遭受 Black Suit 勒索软件攻击，致使该公司关闭系统，导致客户无法正常运营业务。

　　CDK Global 为汽车行业客户提供 SaaS 平台，处理汽车经销商运营的各个方面，包括 CRM、融资、薪资、支持和服务、库存以及后台运营。

　　由于美国的许多汽车经销商都使用该平台，此次故障导致了大范围的中断，经销商无法跟踪和订购汽车零部件、进行新的销售以及提供融资。

　　今年 5 月，威胁者开始出售他们声称从 Snowflake 云数据平台客户那里窃取的数据。对攻击进行调查后，确定威胁者并未破坏 Snowflake，而是使用受损的凭据登录客户的 SnowFlake 帐户。

　　这些凭据是通过信息窃取恶意软件窃取的。一旦他们登录该帐户，就可以导出数据库并利用它们勒索公司支付赎金，以获取不公开发布的数据。

　　AT&T 7 月份披露，事件期间有 1.09 亿客户的通话记录被泄露，这些数据是从该公司 Snowflake 账户的在线数据库访问的。TicketMaster 也受到了影响，威胁者声称窃取了 5.6 亿客户的数据。

　　据称，威胁者在这些攻击中勒索了 250 万美元，AT&T 为黑客删除被盗通线. 朝鲜 IT 工人计划

　　据悉，越来越多的朝鲜 IT 工人试图在美国和其他国家从事网络间谍活动并为其国家的运营创造收入。5 月，美国司法部对k8凯发,五人提出指控，其中包括一名美国公民女性、一名乌克兰男性和三名外国人，罪名是他们参与帮助朝鲜 IT 工作渗透到美国就业市场，为朝鲜核武器计划创收。7 月，电子邮件安全公司 KnowBe4 聘请了一名朝鲜黑客作为其首席软件工程师，该工程师试图在网络上安装窃取信息的恶意软件。

　　今年 2 月，UnitedHealth 子公司 Change Healthcare 遭受大规模勒索软件攻击，对美国医疗保健行业造成了巨大破坏。

　　据实施此次攻击的 BlackCat 勒索软件附属公司称，赎金据称为 2200 万美元。在 Change Healthcare 攻击之后，BlackCat 勒索软件业务面临着来自执法部门的巨大压力，导致其关闭。在 UnitedHealth 支付了据称 2000 万美元的赎金后，勒索软件团伙退出骗局，窃取了所有资金，并且没有与实施攻击的附属机构分享任何资金。

　　2 月 19 日，当局拆除了 LockBit 的基础设施，其中包括托管数据泄露网站及其镜像的 34 台服务器、从受害者窃取的数据、加密货币地址、解密密钥以及附属面板。这次破坏是名为“克罗诺斯行动”的国际执法行动的一部分。

　　微软新的基于人工智能的 Windows 11 召回功能引起了网络安全社区的广泛关注，许多人认为这是一个巨大的隐私风险，也是威胁者可以利用来窃取数据的新攻击媒介。

　　微软继续推迟其发布，同时添加了额外的功能，例如自动过滤敏感内容，允许用户排除特定的应用程序、网站或私人浏览k8凯发,会话，并且可以根据需要将其删除。然而，在将该软件发布给Windows Insiders进行测试后，人们发现Windows 11 Recall并没有正确过滤信用卡等敏感信息。微软表示，随着新问题的发现，他们将继续改进该产品。

　　信息窃取恶意软件活动今年十分猖獗，出现在许多不同的活动，以窃取受感染用户的浏览器信息、cookie、保存的凭据、信用卡和加密货币钱包。

　　对于那些被窃取信息的人来说，由于威胁者窃取加密货币并访问受害者的银行账户，其可能会遭受毁灭性的经济损失。