据统计，2025年夏日网络进犯事情频发。勒索软件重创医院，零售巨子遭受数据走漏，稳妥公司遭到垂钓进犯，国家布景的黑客安排也建议了破坏性进犯举动。从荫蔽的PowerShell加载器到SharePoint零日缝隙运用，进犯者让防护者疲于应对。

　　本陈述分析了夏日影响最严峻的几起事情，以及安全团队在面临进犯浪潮降临前可采纳的办法。

　　医院经不起网络进犯，进犯者们深谙此道。今年夏天，勒索软件团伙将方针对准医疗职业，运用患者身份数据的价值和医疗服务的紧迫性大举牟利。

　　2025年7月22日，美国网络安全与基础设施安全局、联邦调查局和卫生与大众服务部联合发布的公告指出，Interlock是医疗与公共卫生（HPH）领域的首要要挟。仅2025年，该安排就涉嫌参加约14起事情，其间三分之一的受害者是医疗服务机构。

　　Interlock的特别之处在于其运用的“FileFix”东西——这是一种PowerShell启动器，能将歹意脚本隐藏在钓饵文件途径后。它诱运用户经过文件资源管理器运转歹意程序，然后绕过惯例安全检测。

　　2025年7月8日，Rhysida勒索软件团伙据称走漏了佛罗里达手部中心的敏感数据，包含医疗印象、驾照和稳妥信息等。这家为Punta Gorda、Port Charlotte和Fort Myers区域患者供给服务的诊所，被要求在7天内对该勒索软件团伙作出回应，不然会将数据揭露。

　　2025年6月，Qilin成为最活泼的勒索软件团伙，记载在案的受害者达81家，其间52家来自医疗职业。该团伙运用Fortinet产品的未修正缝隙（CVE-2024-21762和CVE-2024-55591）获取拜访权限，布置勒索软件，并盗取电子健康记载（EHRs）、稳妥记载等敏感数据。

　　为最大化施压，Qilin不只进行数据加密，还采用法令主题的勒索手法——例如设置“联络律师”功用和自动化商洽东西，以促进受害者更快付出赎金。

　　2025年7月2日，英国路易威登产生数据走漏事情，导致客户联络信息和购买记载外泄。这是三个月内路威酩轩集团（LVMH）旗下品牌遭受的第三起走漏事情，此前迪奥和韩国路易威登已先后中招。

　　7月10日，英国警方拘捕了四名嫌疑人，他们涉嫌参加对M&S、Co-op和Harrods的网络进犯。据称，该团伙与Scattered Spider存在相关。Scattered Spider是一个本乡黑客团伙，以社会工程学手法见长，并与DragonForce等勒索软件运营商协作，这标明本乡网络犯罪分子对大型零售商的影响正日益扩展。

　　2025年5月7日至11日，闻名零售商Belk遭受数据走漏。DragonForce宣称对此担任，并标明盗取了156GB的客户及职工数据，包含名字、社会安全号码、电子邮件、订单前史和人力资源文件。在赎金商洽堕入僵局后，这一些数据被发布到其走漏网站上。

　　据了解，DragonForce于2023年底初次呈现，以勒索软件即服务（RaaS）卡特尔形式运作。到2025年3月，其列出的受害者约有136家，其间不少是美国和英国的零售企业。

　　2025年4月至5月，UNC3944运用以身份为中心的社会工程学、语音垂钓、多要素认证（MFA）疲惫进犯、假充服务台以及域名仿冒等手法，侵略了英国的M&S、Co-op和Harrods等零售商。

　　2025年6月中旬，研究人员发现，UNC3944已将进犯方针从零售业转向美国的稳妥公司。

　　·2025年6月12日，美国Aflac发现并遏止了一同未授权拜访事情，客户和职工的个人数据（包含社会安全号码、健康索赔信息等）或许已遭走漏。

　　这些侵略事情与UNC3944已知的战术特征相符，不过进犯者并未布置勒索软件，体系仍能运转。

　　今年夏天的网络要挟并非都以牟利为意图。有国家支撑的黑客和黑客活动分子也纷繁现身，运用动乱的地舆政治学环境建议进犯。

　　·2025年6月14日至17日：亲以色列的黑客活动安排Predatory Sparrow进犯了伊朗的Sepah银行，打乱了银职业务；随后又侵略了暗码钱银交易所Nobitex，将约9000万美元的加密钱银转入毁掉钱包，使其永久失效。

　　·2025年6月30日：美国疆土安全部与网络安全与基础设施安全局联合发布警报，正告伊朗或许对美国和欧洲的要害基础设施建议网络报复。

　　这些事情标明，网络抵触现已成为地舆政治学焦灼的事态的前沿延伸，其影响可远超出国界和职业领域。

　　今年夏天，在一场名为“ToolShell”的大规模网络间谍活动中，多个微软SharePoint缝隙被运用。

　　·CVE-2025-53770是一个严峻的长途代码履行缝隙，答应未授权进犯者在易受进犯的本地SharePoint服务器上运转恣意代码。要挟者运用该缝隙布置webshell、盗取凭证，并在企业网络中横向移动。2025年7月20日，CISA将该缝隙归入其已知被运用缝隙（KEV）目录。

　　·CVE-2025-49704和CVE-2025-49706在被用于连环进犯后，也于7月22日被参加KEV目录。这两个缝隙可完成身份验证绕过和代码注入，即运用户已修正了前期缝隙，进犯者仍能运用未打补丁的SharePoint体系。

　　ToolShell活动的方针包含美国、欧洲和中东的各类安排，包含政府机构、动力公司和电信供给商。安全研究人员标明，进犯者或许逆向破解了微软7月“补丁星期二”发布的修正程序，然后开宣布针对CVE-2025-53770的绕过办法。

　　从医院到零售巨子，从稳妥公司到国家层面，多起事情均暴露出即便是防护最紧密的环境也存在缝隙。以下是安全团队接下来应采纳的办法：

　　1.及时打补丁——在要害职业特别重要。可从CISA的KEV条目和高严峻性CVE开端，但不止于此。还要深化考虑一个更严峻的问题：你地点的安排是否归于进犯者的方针类型？所以要验证每个CVE在你的环境中是否线.将身份安全加固作为新的安全鸿沟。今年夏天，社会工程学手法比歹意软件更见效。要阻挠MFA进犯，加强服务台验证，并约束特权拜访。

　　3.对人员进行训练，由于他们是缝隙的突破口。Scattered Spider等团伙并未运用某个CVE，而是运用了有关人员钻了安全空子。企业定时展开模仿演练，更新垂钓进犯场景，并让高风险岗位人员做好应对实在钓饵的预备特别重要。

　　4.重视初始拜访后的意向。像Interlock和Qilin这样的网络犯罪团伙不只是投进勒索软件，他们还会横向移动、囤积数据并躲避检测。应针对PowerShell乱用、凭证盗取和隐秘数据外泄等技能办法施行行为监控。

　　5.不要忽视留传体系和被忘记的基础设施。ToolShell活动运用了未打补丁的本地SharePoint服务器，其间许多运转的是不受支撑或过期的版别。

　　无论是老旧的本地SharePoint、各类设备仍是未受监控的留传设备，关于没办法晋级的要进行阻隔；关于无法打补丁的要加强监控；关于被忽视的要准时换。