文章总结： 文档通报两起安全事件：Everest勒索组织窃取Bolttech约186GB敏感数据并勒索，数据滥用风险严重；WhatsApp多设备协议存在元数据泄露漏洞，可致设备OS指纹识别与精准攻击，Meta虽修复但仍存隐患。建议用户限制关联设备并监控账户。文末包含能信安公司介绍。 综合评分： 80 文章分类： 数据泄露,漏洞预警,恶意软件,移动安全

俄罗斯黑客窃取Boltech高度敏感数据并索要赎金

能信安资讯

2026年3月6日 15:10 广东

网络安全预警通报

  安全新闻 2025年3月6日

01

俄罗斯黑客窃取Boltech高度敏感数据并索要赎金

Everest勒索软件组织声称已从全球保险基础设施平台Bolttech处截获了约186GB的数据。该威胁行为者正要求该公司支付赎金。

根据Everest在暗网泄露网站上发布的信息，其窃取的数据高度敏感。

该团伙声称：”我们掌握着高度敏感的数据，包括员工和代理账户（电子邮件、姓名、角色、标识符）、客户信息、联系详情、保单数据、抵押贷款相关记录、电话号码、电子邮件地址、被保险财产地址、财务参数以及内部运营标识符。”

为了支持其说法，该团伙发布了照片样本。网站上还有一个倒计时器和解释说明，声称如果本周晚些时候未收到Bolttech的回复，数据将被公开。

Cybernews研究团队在调查数据样本后表示，Bolttech数据被滥用的风险是严重的。

我们的研究人员解释说：”客户、员工的个人身份信息、保单标识符可能导致相关人员遭受网络钓鱼、身份信息被用于画像分析。保单ID也可能被用于向客户支持部门提交欺诈性索赔。”

目前还难以确定数据库中是否包含完整的地址信息。但研究团队补充道，如果包含，则人肉搜索的风险会更大。

Bolttech平台于2020年推出，连接保险公司、经纪商和技术平台，以实现保险单的数字化分销。其保险交易所处理的年总保费超过50亿美元，连接着超过150家保险公司。

今年夏天早些时候，总部位于新加坡的Bolttech完成了1.47亿美元的C轮融资，估值达21亿美元。该公司年收入约15亿美元。

Everest被认为是与俄罗斯有关的勒索软件团伙，于2021年首次被识别。它在2022年10月攻击美国电信巨头AT&T后成为头条新闻。当时，Everest声称能够访问AT&T的整个企业网络。

根据Cybernews的暗网监控工具Ransomlooker的数据，在过去的12个月中，Everest已经侵害了超过100家组织，使其成为当前最臭名昭著的网络犯罪集团之一。

Everest是当前运作中最具攻击性的勒索软件组织之一。它最近攻击了巴西石油巨头巴西国家石油公司和全球运动服装及鞋类品牌Under Armour。

02

WhatsApp漏洞泄露用户元数据，包含设备操作系统信息

WhatsApp的多设备加密协议长期存在元数据泄露问题，使得攻击者能够对用户设备的操作系统进行指纹识别，从而有助于精准投递恶意软件。近期研究显示Meta已进行部分修复，但透明度问题依然存在。

Meta旗下的WhatsApp拥有超过30亿月活跃用户，其使用端到端加密来保障消息安全；然而，其多设备功能却会暴露设备信息。

在该设置下，发送方与接收方的每个设备建立独立会话，使用的是在设备而非服务器上生成的唯一加密密钥。

密钥ID在实现上的差异，会揭示设备运行的是Android还是iOS系统，这对网络攻击链中的侦查环节至关重要。

攻击者可被动利用此漏洞，无需用户交互即可通过查询WhatsApp服务器获取会话密钥，从而识别操作系统类型，进而向Android设备部署精准漏洞利用程序和恶意软件，同时避免触及iOS设备或惊动受害者。

2024年初，Tal A. Be’ery在WOOT’24上的研究揭露了基于Signal协议实现的、按设备建立的会话会泄露设备数量、类型和身份信息。

同年晚些时候，攻击者已能精确定位特定设备进行漏洞利用。2025年，Gabriel Karl Gegenhuber等人在WOOT’25上详细阐述了操作系统指纹识别方法：Android的签名预密钥ID每月从0开始缓慢递增，而iOS的模式则截然不同。

Tal A. Be’ery使用定制工具验证了这一点，确认攻击者可将这些泄露信息串联起来：先检测操作系统，然后悄无声息地投递针对特定操作系统的恶意负载。

近期，WhatsApp已将Android签名预密钥ID的分配方式更改为在整个24位范围内随机取值，从而阻断了该攻击途径。这一变动是通过监测工具发现的，标志着Meta改变了先前认为此问题”无法采取行动”的立场。

然而，一次性预密钥仍然具有区分度：iOS的ID起始值较低且每隔几天递增，而Android则使用完全随机的范围。修复后经过调整的工具仍能可靠地检测出操作系统。

这使得高级持续性威胁能够利用WhatsApp作为传播恶意软件的渠道，正如Paragon间谍软件案例所示。查询过程中不会向用户发出任何通知，从而保持了攻击的隐蔽性。

批评者指出，此次修复措施的推出并未像处理另一个类似问题那样，向研究人员发出警报、提供漏洞赏金或分配CVE编号。CVE通过CVSS评分记录问题，而非用于指责；此类疏漏阻碍了问题的追踪。

虽然修复措施在持续改进，但实现跨平台的完全随机化并提高CVE透明度，将能更好地保护数十亿用户，促进社区协作。在当前风险持续存在的情况下，用户应限制关联设备数量并监控账户活动。

▼

能信安——新一代网络安全领先企业！

公司简介

深圳市能信安科技股份有限公司，是以安全、移动、泛在和大数据为主要方向的专业技术公司，致力于移动互联安全、车联网安全、物联网安全、大数据安全和人工智能安全技术。

公司是公安部、工信部网络安全技术支撑单位，国家网络安全威胁和漏洞信息共享平台技术支撑单位，是深圳大运会、党的十八大、2020年全国两会、2021年联合国生物多样性大会网络安全技术支撑单位。公司是国家级专精特新“小巨人”企业，中国移动安全十强企业，全国网络安全百强企业，具有良好的品牌影响力。

公司为中国新一代网络安全领先企业。在移动安全领域，公司可提供业界最先进、完整的技术、产品与解决方案，引领移动互联安全的技术潮流。主要产品及服务包括移动应用安全防火墙、无线安全检测及防御系统、移动应用安全检测及加固技术等。在数据安全领域，提供业界领先的数据安全治理、数据安全合格产品与服务。

公司依托于多年网络安全领域的技术经验及专业资质，向各类政府机关及企事业单位提供等级（分级）保护顾问咨询、关基保护顾问咨询、数据安全治理、密码改造顾问咨询、信息系统风险评估、安全体系建设咨询、修复加固服务、渗透测试服务、应急响应服务、安全运维保障服务。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：能信安资讯 《俄罗斯黑客窃取Boltech高度敏感数据并索要赎金》