勒索软件病毒随着时间的推移变得越来越有害。更糟糕的是,今年出现了许多新的勒索软件即服务(RaaS)团伙,例如Mindware、Onyx和BlackBasta,以及臭名昭著的勒索软件运营商REvil的回归。所有这些都表明勒索软件攻击无处不在,任何时候组织都可能成为下一个受害者。在2022年接近尾声之际,让我们回顾一下今年发生的14起重大勒索软件攻击事件,这些事件中勒索货币金额均超过100万美元。总结这些勒索软件攻击的目的是为了更好地洞察网络犯罪分子的策略和意图,以便他们能够洞察勒索软件的危害并更好地防范此类威胁。没有任何组织能够完全免受勒索软件攻击的威胁。因此,提前制定适当的勒索软件事件响应计划至关重要。1.哥斯达黎加政府赎金:2000万美元这是2022年最受关注的攻击,因为这是一个国家首次宣布“国家紧急状态”以应对勒索软件攻击。调查显示,在4月中旬至5月初的第一波攻击中,有27个政府机构成为目标。数TB的数据和国库的800多台服务器受到影响,数字税务服务和海关控制IT系统瘫痪,不仅影响政府服务,也影响涉及进出口的私营部门。勒索软件组织Conti声称对这次袭击负责,并向哥斯达黎加政府索要1000万美元的赎金,后来又增加到2000万美元。从5月31日开始,另一波攻击使该国的医疗保健系统陷入混乱。这次与HIVE相关的攻击直接影响了哥斯达黎加的普通民众,因为它以非正常的方式使该国的医疗系统离线。这一系列针对哥斯达黎加政府的攻击清楚地表明了勒索软件攻击可能对政府组织造成的毁灭性后果,这可能会开启勒索软件的新时代。如果没有足够的资源用于勒索软件攻击的准备和缓解,以及为所有员工和其他人提供网络安全意识和技能培训以应对此类威胁,整个国家都可能因网络攻击而瘫痪。2.CentreHospitalierSudFrancilien(CHSF)医院勒索赎金:1000万美元今年8月,法国巴黎一家医院CentreHospitalierSudFrancilien(CHSF)遭受网络攻击,被迫将患者转诊至其他机构,耽误了很多年。表手术计划。据悉,CHSF为当地60万居民提供诊疗服务,因此运营中断,危急关头对患者健康甚至生命构成严重威胁。在随后的公告中,CHSF表示,此次网络攻击导致医院的业务软件、存储系统(尤其是医学影像)和与患者入院相关的信息系统暂时无法访问。勒索软件团伙向医院索要1000万美元以换取解密密钥。研究人员在此次事件中发现了LockBit3.0感染迹象,国家宪兵部随后介入调查并开始追踪RagnarLocker和LockBit。如果LockBit3.0确实是CHSF攻击的幕后黑手,那么它们就违反了RaaS禁止对医疗保健提供商系统进行加密攻击的“规则”。3、黑山政府部门和国家议会赎金:1000万美元2022年9月,欧洲国家黑山的多个政府部门遭受大规模网络攻击,导致10多个政府机构的150多个工作站无法访问。此次攻击结合了勒索软件和分布式拒绝服务(DDoS)技术,扰乱了政府服务并迫使该国的电力系统进行手动控制。古巴勒索软件组织声称对这次袭击负有部分责任。他们使用古巴勒索软件感染了黑山议会办公网络,并在勒索门户网站上发布了针对黑山议会的勒索通知,声称窃取了财务文件、银行通讯、资产负债表、税务文件、赔偿金甚至源代码。这些文件是免费分发的,任何人都可以下载。4、WardHadaway律师事务所勒索赎金:价值600万美元的比特币。全球百强律师事务所WardHadaway在今年3月发现了一次网络攻击。从其IT系统下载的文件和数据将在网上公开,逾期赎金将翻倍至600万美元。黑客还向WardHadaway发送了一份在攻击中复制的数据和文件列表,其中一些已以加密形式上传到网上。沃德·哈达威的IT系统保存着大量机密信息,包括个人数据,其中一些甚至是非常敏感的个人数据。幸运的是,该公司的文件管理系统没有受到勒索软件攻击的影响,因此该事件并未对沃德·哈达威的日常业务运营造成干扰。5.卡林西亚州政府赎金:价值500万美元的比特币2022年5月,网络犯罪组织黑猫(又名ALPHV)声称从奥地利克恩顿州政府获得了敏感数据和解密软件的访问权限,并索要价值500万美元的比特币。比特币来解锁加密的计算机系统。攻击者加密了数千个政府机构的工作站,导致政府服务严重中断。克恩顿州政府的网站和电子邮件服务也暂时关闭,政府无法签发新护照或交通罚单。此外,此次袭击事件还阻碍了区行政办公室在新冠病毒检测和接触者追踪方面的防疫工作。最终,政府拒绝支付赎金,理由是没有证据表明BlackCA从其系统中获取了敏感数据,而且州政府能够通过可访问的备份恢复工作站。6.意大利铁路公司Trenitalia赎金:价值500万美元的比特币2022年3月,Hive勒索软件集团攻击了意大利铁路公司Trenitalia的计算机系统,影响了该公司员工计算机和系统的正常运行。此外,连接到Trenitalia的票务系统Trenord也受到了黑客的影响。但是,Trenord系统可以通过防止影响门票销售来保持业务的相对正常运行。Hive集团已提出500万美元的比特币赎金要求,并在三天的期限内将金额翻倍至1000万美元。目前尚不清楚Trenitalia是否最终支付了赎金。7.美国麦岭市公共市政系统赎金:500万美元2022年8月,美国科罗拉多州麦岭市市政服务系统遭受勒索软件攻击,导致电话、电子邮件系统和其他市政服务被破坏。服务系统宕机了一个多星期。犯罪分子索要500万美元以解锁麦岭市的市政数据和计算机系统,并要求以无法追踪的加密货币门罗币付款。据悉,这些数据和系统被一个神秘的海外勒索软件所控制。但市政府官员决定不支付赎金,并与该市的IT专业人员合作,从可行的备份中恢复存储在该市网络上的文件。值得一提的是,这次攻击的幕后黑手也是黑猫集团。网络安全专家认为,黑猫勒索软件极具侵略性和危害性。它是用一种叫做Rust的编程语言开发的,系统管理员通常很难发现它。8、意大利比萨大学(UniversityofPisa)赎金:500万美元2022年6月,意大利比萨大学成为黑猫的目标。攻击者要求学校管理部门支付450万美元以恢复对锁定数据的访问,如果未在规定时间内收到赎金,则将增加到500万美元。攻击者还通过窃取比萨大学专用浏览器Tor上的聊天应用程序的独占访问权限来响应赎金要求,从而获得对暗网的访问权限。在这次攻击中,黑猫使用了双重甚至三重的敲诈手段,威胁说“不收钱就泄露关键信息”。对于受害者来说,这无疑是最糟糕的时刻。因为在此之前,巴勒莫市的市政选举已经被勒索软件攻击严重扰乱。9.罗马尼亚石油公司Rompetrol赎金:200万美元2022年3月,罗马尼亚年产超过500万吨的最大炼油厂Rompetrol成为Hive勒索软件组织的目标。由于这次袭击,Rompetrol被迫关闭其网站和加油站的会员卡服务,但客户可以选择用现金或银行卡付款。据了解,此次攻击影响了该公司的大部分IT服务,Hive组织威胁要泄露被盗数据,除非Rompetrol支付200万美元的赎金。攻击发生前,Rompetrol的母公司KMG刚刚宣布,RompetrolRafinare将于3月11日至4月3日停产,以按计划进行技术改造,同样受到勒索软件攻击的影响。10、法国服装公司Damart赎金:200万美元2022年9月,在全球拥有130多家门店的法国服装品牌Damart遭到Hive网络犯罪集团的攻击,索要200万美元赎金。该攻击被证实访问了Damart的ActiveDirectory,尽管Damart主动关闭系统以保护它们,但网络攻击影响了92家商店,影响了它们处理新订单的能力,客户支持服务无法提供。Damart没有直接与网络犯罪分子谈判,而是将此事通知了国家警察,这使得Hive不太可能收到赎金。目前尚不清楚Hive是否在网络入侵期间成功窃取了Damart的用户隐私等敏感数据。然而,该团伙过去曾成功地采用“双重勒索”策略,即在加密数据之前窃取数据。11.TiftRegionalMedicalCenter赎金:115万美元位于美国佐治亚州的TiftRegionalMedicalCenter于2022年7月成为目标,但直到与Hive集团的谈判破裂后,该事件才被公开。在7月和8月的黑客攻击中,Hive团伙窃取了大约1TB的医疗中心数据,包括医疗记录、员工工资记录和机密商业信息。该组织于8月25日向医疗中心发送电子邮件,正式勒索115万美元,并提供了部分被盗信息的链接,但Tift仅支付了10万美元作为回应。对此,Hive的回复也很有意思:“告诉董事会,他们可以留下10万美元聘请律师,我们会公布这些数据。”1月,澳大利亚电信公司Optus遭到不明勒索组织攻击,1120万用户数据被盗。可能泄露的信息包括客户的姓名、出生日期、电话号码、电子邮件地址,以及部分客户的地址和身份证。一个数字,例如驾照或护照号码。攻击者向Optus索要价值100万美元的门罗币,以防止他们出售被盗数据。但Optus最终拒绝支付赎金,并联系澳大利亚联邦警察调查此事。13.格伦县教育办公室赎金:100万美元2022年5月,美国加利福尼亚州格伦县教育办公室(GCOE)和学区遭到量子勒索软件团伙的攻击,索要100万美元赎金。随后,GCOE与Quantum组织进行了谈判。Quantum组织向GCOE谈判人员提供了一个压缩文件存档,作为他们访问过该系统的证据。最终,GCOE向Quantum集团支付了40万美元的赎金,以获得解密密钥和某些保证。量子集团向该县保证,将删除所有文件,提供删除证据,解释他们如何进入网络以及在那里做了什么,提供所有被盗文件的完整列表,并确保他们不会攻击该地区,他们也不会出售任何被盗的数据。14、英伟达(Nvidia)勒索赎金:100万美元2022年2月底,全球知名半导体芯片公司英伟达被曝遭到勒索软件攻击。不久之后,Nvidia官方确认已被攻破,攻击者开始在网上泄露员工信息。凭据和秘密信息。勒索软件组织Lapsus$声称对这次攻击负责,并表示他们可以访问1TB的公司数据,如果Nvidia拒绝支付100万美元的赎金和未指定的百分比,他们就会在网上泄露这些数据。媒体报道称,由于内部系统遭到破坏,Nvidia不得不将部分业务下线两天。然而,该公司后来声称,此次攻击并未对其运营造成任何影响,该公司通过加强安全措施并立即聘请网络事件响应专家来迅速应对勒索软件攻击,以控制局势。根据一些报道,Nvidia通过尝试跟踪Lapsus$成员并在他们的系统上安装特洛伊木马来“反入侵”黑客。但上述信息的真实性尚未得到证实。参考链接:https://www.privacyaffairs.com/ransomware-attacks-in-2022
