勒索软件几乎无处不在,每11秒就会发生一次新的勒索软件攻击。从以前的邮件附件传播到现在的网页链接传播,攻击手段不断更新换代。一不留神,就有可能被黑客组织盯上。我们经常看到某个组织的数据泄露,某个系统受到攻击。这些事件都与勒索软件攻击有关。什么是勒索软件?勒索软件是近年来兴起的一种新型网络犯罪。它通常通过木马病毒对受害者系统中的文件或数据进行加密,并要求在一定时间内支付赎金以获得解密密钥。如果黑客在规定时间内没有收到赎金,就会永久删除或锁定数据,或者在暗网上出售数据,给受害人造成无法弥补的损失。勒索软件已成为全球企业和组织的主要网络威胁。勒索软件攻击的过程:黑客通过技术手段获得对某个组织或某个系统的访问权限,进入该组织的内部网络。内部网络通常缺乏强有力的访问控制,因此黑客可以轻易地横向渗透到内部网络,并最终获得关键系统的访问权限,进而控制大量的内部网络基础设施或关键的敏感信息和数据。一旦成功控制了关键系统或获取了关键数据,一方面想办法窃取数据,另一方面对系统和数据进行加密,使其无法正常运行。这时候你就可以开口索要赎金了。勒索软件攻击通常会给黑客组织带来可观的回报。勒索软件的平均勒索金额从2018年的5,000美元上升到2019年的84,000美元,到2020年的213,000美元和2021年的323,000多美元。对于勒索组织而言,攻击目标越大,目标越强大,造成的影响和损失就越大,获得赎金的可能性越大。与PhoenixCryptolocker要求的创纪录的4000万美元类似,使其成为迄今为止支付的最昂贵的赎金之一。分析人士认为,促成勒索软件攻击成功的最重要因素是RaaS模型的使用,该模型在2021年达到历史新高。勒索软件即服务(RaaS)是勒索软件开发人员采用的一种商业模式向感兴趣的恶意行为者提供工具,以便他们可以发起勒索软件攻击。用户注册创建恶意软件即服务或加入附属程序并分发一系列勒索软件以换取一定比例的利润。近年来,勒索者不再满足于加密数据。他们已经开始使用勒索软件来识别和窃取受害者系统中的关键数据,并威胁要泄露关键数据,要求企业支付赎金。无孔不入的“双重勒索”格局。勒索软件会造成什么损害?勒索软件攻击对受害者来说可能是灾难性的。首先,会造成直接的经济损失。攻击者要求的平均赎金数额持续上升,表明勒索软件攻击对受害者造成的经济损失越来越大。举个例子,ColonialPipeline是2021年最大的勒索软件攻击之一。该公司最终向黑客支付了近500万美元的赎金,虽然能够收回部分款项,但仍然是一笔巨款。二是造成的间接经济损失更大。与直接经济损失相比,受害人的间接损失远远超过支付赎金的直接损失,如系统停机、运行中断、数据破坏、客户流失、企业声誉受损、时间损失等,这些间接损失往往直接损失数倍甚至更高。根据调查,42%的受访者表示他们的运营受到干扰,36%的人表示他们面临严重的停机时间,近30%的人表示他们失去了收入,21%的人表示他们失去了客户。如何防范勒索软件?从勒索软件攻击事件中也可以看出,无论是政府机构、金融行业,还是高科技企业,这些网络安全防护相对较高的组织和企业都难以避免受到勒索软件的攻击。那么我们如何防止勒索软件呢?(1)必须正视勒索攻击的必然态势,网络威胁范围将不断扩大。让企业员工接受更多的网络安全教育,强化企业员工的安全防护意识,适时开展网络安全攻防演练。(2)了解一些常规的勒索软件攻击手段,并采取必要的个人防范措施:及时给计算机打补丁,修复漏洞;谨慎打开来历不明的邮件、点击链接或下载附件,防止网络木马和邮件附件攻击;尽量不要点击office宏运行提示,避免office组件感染病毒;从正规(官网)下载所需软件,不要双击打开.js、.vbs、.bat等后缀的脚本文件;病毒软件升级到最新的杀毒库,防止已知病毒样本的攻击;启用WindowsUpdate自动更新设置,定期升级系统;养成良好的备份习惯,定期对重要数据文件进行异地备份,及时使用网络硬盘或移动硬盘备份个人重要文件;更改账户密码,设置强密码,避免使用统一密码,因为统一密码会导致一台电脑被攻破,多台电脑受害,黑客会使用同一个弱密码攻击其他主机;如果业务中不需要使用RDP,建议关闭RDP,防止黑客进行RDP爆破攻击。(3)对于企业层面,需要尽可能采取防护措施,将损失降到最低:加大网络安全投入,购买专业安全公司的安全产品和安全服务,全面加固企业网络;将业务迁移到云端,使用云端提供的成熟安全服务保护您的重要业务和数据;持续备份企业重要核心资产,为抵御勒索病毒的严重冲击提供充足保障。进一步完善漏洞管理体系,配备专门的漏洞管理团队,定期落实漏洞修复措施,提供专业化的漏洞扫描和管理服务。定期进行勒索软件攻击演练,一旦系统被震荡,数据被加密,如何快速恢复系统和数据,评估攻击影响;对于数据盗窃,评估数据盗窃的影响。从而有针对性地进行系统改造和提升。我们整理了2022年第一季度的勒索软件攻击事件:1月:1月6日,一份研究报告显示,AquaticPanda利用Log4Shell漏洞攻击学术机构。AquaticPanda是一个从事情报收集和工业间谍活动双重活动的组织。1月7日,软件提供商Finalsite遭到勒索软件攻击,影响约5000所学校的网站,其中美国约4500所学校受到影响。1月9日,安全研究人员发出警告称,一种名为“夜空”的新型勒索软件再次活跃,针对企业网络,以双重勒索攻击窃取数据。1月10日,NFT平台Lympo被黑。黑客成功进入Lympo的热钱包,从中盗取总计约1.652亿个LMT,损失1870万美元。1月12日,据澎湃新闻报道,浙江省温州市某超市收银台储值卡电脑管理系统遭到黑客攻击,商家需支付0.042个比特币方可恢复。当时比特币的市场价格约为4.26万美元,0.042个币折合人民币1.1万余元。1月12日,美国医疗机构MemorialHealthSystem开始以信件方式通知受影响患者。2021年8月15日,美国俄亥俄州的MemorialHealthSystem遭到勒索软件攻击,大约216,478名患者(PHI)的受保护健康信息可能被泄露。1月15日,跨国国防承包商Hensoldt证实其英国子公司的部分系统感染了Lorenz勒索软件。Lorenz勒索软件团伙还实施双重勒索模式,先窃取数据再加密,赎金要求相当高,从50万美元到70万美元不等。1月17日,美国监狱遭到勒索软件攻击后倒塌。这次袭击使得监狱内的摄像头停止工作,自动门控系统无法使用,监狱内的所有互联网服务也被切断,工作人员无法查询囚犯记录。囚犯被迫留在房间内。1月17日,勒索软件组织ShinyHunters窃取了属于印度时装和零售公司AdityaBirlaFashionandRetail,ABFRL的客户和员工的700GB数据,这些数据在暗网市场上泄露。这些数据包括540万个唯一的电子邮件地址、姓名、电话号码、街道地址、订单历史记录和密码,存储为MachineDigest-5或MD5哈希。1月18日,英国保护伞公司ParasolGroup遭到黑客攻击,网络中断。从1月12日开始的多日中断导致公司的MyParasol门户无法访问。人们普遍猜测它是勒索软件。意大利奢侈时装品牌Moncler于1月20日证实,它遭受了一次重大勒索软件攻击,导致数据泄露。去年12月下旬,遭到勒索软件组织AlphV/BlackCat的攻击,索要赎金300万美元。它被盟可睐拒绝了,结果,在违规中窃取的数据被发布在暗网上。1月21日,朝鲜黑客从全球加密货币初创公司Lazarus的子公司BlueNoroff窃取了数百万美元。1月21日,加密货币交易平台Crypto.com遭到网络攻击,经确认483个账户被黑,价值3380万美元的加密货币被提取。其中BTC443.93枚,价值约1861.36万美元,ETH4836.26枚,价值约1513.25万美元,其他数字货币价值6.6万美元。1月24日,印度尼西亚银行(BankIndonesia)遭到勒索软件攻击,超过13GB的数据被泄露。印尼央行遭到Conti勒索病毒攻击,内网十余个系统被勒索病毒感染。该勒索团伙声称窃取了超过13GB的内部文件,如果印尼央行不支付赎金,数据将被公开泄露。Conti是一家勒索软件即服务(RaaS)企业,与俄罗斯网络犯罪集团WizardSpider有关联。1月26日,该黑客组织对铁路设施进行勒索和攻击,试图寻求政治诉求。“白俄罗斯网络游击队”黑客组织自称成功入侵并加密白俄罗斯国家铁路公司内部服务器,以威胁释放部分政治犯,希望俄罗斯撤军。1月27日,LockBit勒索软件袭击了法国司法部和欧洲公司。臭名昭著的网络犯罪集团Lockbit表示,已成功“拿下”法国司法部并加密相关文件,索要赎金以换取数据。威胁要在2月10日之前支付赎金,否则“所有被盗数据将在暗网上发布”。这波勒索软件攻击不仅波及法国司法部,还涉及西班牙、意大利、法国、德国、英国等欧洲各国的一系列大型企业集团。2月:2月1日,英国零食制造商KPSnacks遭受勒索软件攻击。2月2日,美国营销巨头RRD的数据在Conti勒索软件攻击中被盗。直到2022年1月15日,Conti勒索软件团伙开始泄露从RRD公司窃取的用户数据,总计2.5GB。2月2日,McMenamins遭受了Conti勒索软件攻击。其2,700名员工的数据可能受到影响,包括他们的姓名、出生日期、地址、电子邮件地址、直接存款银行账户信息、社会安全号码和福利记录。2月2日,英国KPSnacks遭遇勒索软件攻击。孔蒂是这次袭击的幕后黑手。2月3日,加密货币平台Wormhole遭到黑客攻击,估计损失3.22亿美元,主要是ETH和SOL。该问题源于以太坊区块链中的“智能合约”缺陷,该缺陷允许别有用心的攻击者将一种加密货币转换为另一种加密货币并逃脱。在加州社区学院2月4日发布的一份声明中,该学院的数据在一次复杂的网络攻击中遭到破坏。学校官员表示,一些教职员工以及现任和前任学生的私人信息遭到泄露。OhloneCommunityCollegeDistrict是一个多校区单一社区学院区,位于加利福尼亚州旧金山湾南部。2月7日消息,SwissportInternationalLtd.在当地时间2月3日早上6点遭到勒索软件攻击,此次攻击入侵了该公司全球部分IT基础设施,对公司运营造成严重破坏。结果,有几个航班延误了。2月7日,欧洲港口石油设施遭到黑客攻击,油轮无法靠港。自1月29日起,受勒索软件攻击,荷兰阿姆斯特丹、鹿特丹和比利时安特卫普多个港口被封锁,无法装卸和转运石油。截至当地时间2月4日,至少有7艘油轮被迫在安特卫普港外等待,无法靠港。2月7日,区块链基础设施公司Meter表示:“美国东部时间周六上午9点左右开始的平台网络攻击中,价值440万美元被盗。“包括1391个ETH和2.74个BTC被盗。2月8日,加密交易所PayBito遭受LockBit勒索攻击,大量客户数据被盗。目前部分被盗数据发布在该团伙的Tor泄密网站上。该网络在攻击中,勒索软件团伙成功窃取了一个包含全球超过100,000名客户个人数据信息的数据库。此外,该团伙还窃取了一些电子邮件数据和密码哈希值,其中一些可以轻松解密。该团伙还成功窃取了管理员的个人数据,声称如果没有收到赎金,被盗数据将在2022年2月21日公布。2月8日,商业服务公司Morley遭到勒索攻击,超过50万人的数据2021年8月公司遭遇勒索病毒攻击,大量文件和数据被加密,此前攻击者窃取了大量用户数据。2月15日,美国联邦调查局(FBI)和美国特勤局发布了一份联合网络安全咨询报告,其中透露BlackByte勒索软件组织在过去三个月中至少入侵了三个美国关键基础设施组织。2月16日,黑客从韩国加密货币平台KLAYswap盗取了约190万美元。2月23日,国际货运巨头ExpeditorsInternational遭遇疑似勒索软件攻击,被迫关闭全球主要业务系统。2月25日,华硕子公司ASUSTOR遭到攻击,被勒索数千万人民币赎金。如果ASUSTOR支付50个比特币,DeadBolt攻击者将出售所有受害者的主解密密钥和零日漏洞信息。这意味着华芸科技将承担此次勒索攻击的全部损失,约数千万人民币。2月26日,Nvidia似乎遭遇了一次重大网络攻击,甚至导致电子邮件和开发者工具中断。对NvidiaAttack实施勒索软件的是一个名为LAPSU$的南美组织,他们声称入侵了Nvidia并窃取了超过1TB的专有数据,包括驱动程序、设计图和固件、各种机密文件、SDK开发包等。黑客向Nvidia解释了攻击目的的原因。黑客要求Nvidia解除对RTX30系列显卡的挖矿限制。2月27日,在遭到勒索软件攻击后,英伟达似乎也对黑客团伙进行了反击。该黑客组织声称,他们发现Nvidia通过他们在入侵中使用的漏洞连接到他们的虚拟机,试图加密窃取的数据并成功重置他们的机器。不过黑客组织表示,数据已经备份,这意味着英伟达的反击可能不会成功。2月28日,丰田汽车公司近日表示,丰田汽车零部件供应商遭到“勒索软件”攻击,导致系统瘫痪。14家工厂停止运营。3月:3月1日,保险巨头AON遭到网络攻击。AON发布文件称,此次网络攻击的影响“有限”。3月5日,医疗保健公司MonHealth披露了第二次数据泄露事件。第一次网络攻击是在2021年12月18日被发现的,数周后数据被盗。3月初,MonHealth披露了第二次数据泄露事件。受影响的数据包括姓名、地址、出生日期、社会安全号码、健康保险索赔号码、医疗记录号码、患者账号、医疗信息和其他各种数据,影响了大约40万人。3月4日,黑客声称获得了71,000个Nvidia员工电子邮件帐户。攻击者可能已经获得了71,000份员工电子邮件和哈希值,黑客可能会使用这些信息来破解相关密码。LAPSU$在攻击Nvidia后表示,他们希望Nvidia在FOSS协议下永久开源所有已发布和未来适用于Windows、MacOS、Linux等的显卡驱动程序。3月7日,有消息称,黑客在网上泄露了三星190GB的机密数据,不仅包括生物识别解锁算法等敏感信息,甚至还有来自芯片供应商高通(Qualcomm)的机密数据。大量三星内部源代码在网上泄露。“勒索团伙”Lapsus$是这次网络攻击的幕后黑手。3月7日,该恶意软件现在使用从NVIDIA窃取的代码签名证书。在Lapsus$泄露了NVIDIA的代码签名证书后,安全研究人员很快发现这些证书被用于签署威胁参与者使用的恶意软件和其他工具。3月9日,东欧大型加油站服务商Rompetrol遭到Hive勒索软件攻击。官网、APP等全部下线。勒索团伙索要200万美元赎金,换取解密器和不泄露被盗数据的承诺。3月14日,普利司通美洲公司遭到LockBit勒索软件攻击。普利司通公司承认,2月份对其子公司之一的勒索软件攻击导致其在北美和中美洲的计算机网络和生产中断了大约一周。攻击数据泄露,要求赎金。3月15日,育碧遭受网络攻击,导致服务暂时中断。攻击者是数据勒索组织LAPSUS$。3月16日,Anonymous黑客组织入侵了俄罗斯能源巨头Rosneft的德国子公司,并窃取了20TB的数据。3月23日,Lapsus$团伙声称已经破坏了微软的源代码存储库。Lapsus$在攻击英伟达、三星、沃达丰等巨头后,“黑手”微软,拿到了Cortana和Bing的源代码。3月23日,据BleepingComputer网站报道,希腊国有邮政服务提供商ELTA遭到勒索软件攻击,导致其大部分服务下线。3月24日,Lapsus$黑客组织声称从Okta窃取了数百GB的敏感数据。Okta是一家被全球数千家企业使用的认证技术解决方案公司,在身份认证服务方面拥有超过15,000家客户。3月28日,微软确认37GB的源代码被黑客窃取。3月29日,匿名组织泄露了从俄罗斯中央银行窃取的28GB数据。3月29日,雀巢公司遭到Anonymous组织的攻击,导致10GB敏感数据泄露,以惩罚其不停止在俄罗斯的业务。3月30日,美国卫星通信提供商Viasat披露了2月24日俄乌战争爆发当天欧洲KA-SAT卫星宽带网络遭受网络攻击的报告。这次攻击还导致德国约5,800台风力涡轮机的调制解调器离线,并影响了来自德国、法国、意大利、匈牙利、希腊和波兰的大量个人客户。3月30日,区块链公司如影网络价值6.25亿美元的加密货币被盗,史上最大规模的加密黑客攻击诞生。其中包括173,600个以太币、6,610个币安币和2550万美元的USDC。结语勒索软件攻击的领域越来越广,服务业、能源、制造、金融等行业都在攻击者的目标范围内;三星、育碧、英伟达和微软等大型科技公司、政府部门、大学、医疗机构等组织等等,都受到不同形式的勒索软件攻击。勒索软件攻击将更加猖獗,勒索软件的威胁正在成为笼罩在互联网世界的噩梦。我们只有勇于面对,未雨绸缪,才是上策。
