勒索軟件幾乎無處不在,每 11 秒就會發生一次新的勒索軟件攻擊。從以前的郵件附件傳播,到現在網頁鏈接植入傳播,攻擊手段不斷翻新,稍微不注意,就有可能被黑客組織們盯上。我們經常看到某某機構數據泄露,某某系統被攻擊,這些事件都與勒索軟件攻擊有關。
什么是勒索軟件?
勒索軟件,是近幾年興起一種新型網絡犯罪方式,它通常是通過木馬病毒加密被害者系統里的文件或者數據,要求在特定時間內按照他們要求的方式支付贖金,以取得解密鑰匙。如果在指定時間內黑客沒有收到贖金,那么它將永久性刪除或者鎖定數據,或者將數據在暗網上售賣,給被害者造成無法彌補的損失。勒索軟件已成為全球企業和組織面臨的主要網絡威脅。
勒索軟件攻擊的過程:黑客通過技術手段獲得某個組織或某個系統的訪問權限,進入到該組織的內部網絡,內部網絡通常缺乏強力的訪問控制,因而黑客很容易在內網橫向滲透,最終獲得關鍵系統訪問權限,進而控制大量內網基礎設施或關鍵敏感信息數據等。一旦成功控制了關鍵系統或獲取關鍵數據之后,一方面想辦法把數據竊取出來,一方面對系統和數據進行加密,使之不能正常運轉,這時即可大開獅口,索要贖金。
勒索軟件的攻擊,通常會給黑客組織帶來可觀回報。勒索軟件的平均贖金金額,從2018年的5000美元,到2019年的8.4萬美元,到2020年上升到21.3萬美元,2021年則超過32.3萬美元。
對于勒索組織而言,攻擊的目標越龐大,目標實力越雄厚,造成的影響和損失越大,越可能得到更高的贖金金額。類似于Phoenix Cryptolocker索要的創紀錄的4000萬美元,成為迄今為止支付最昂貴的贖金之一。
分析人士認為,促成勒索軟件攻擊成功的最重要因素是RaaS模式的使用,該模式的使用在2021年達到了有史以來的最高水平。勒索軟件即服務(RaaS)是一種商業模型,其中勒索軟件開發者向感興趣的惡意行為者提供工具,以便他們可以發起勒索軟件攻擊。使用者通過簽約創建惡意軟件即服務或加入聯盟計劃,并分發一系列勒索軟件以換取一定比例的利潤。
近年來,勒索者不再滿足于對數據進行加密,其開始通過勒索軟件識別和竊取被攻擊者系統中的關鍵數據,并以將關鍵數據公開為威脅,要求企業支付贖金,這便是當前較為普遍的“雙重勒索”模式。
勒索軟件會造成什么損失?
勒索軟件攻擊,對被害者造成的損失是災難性的。
首先,會造成直接經濟損失。攻擊者向受害者索要的平均贖金數額不斷上漲,可以看出,勒索軟件攻擊已給受害者造成越來越嚴重的經濟損失。舉一個例子,Colonial Pipeline是2021年最大的勒索軟件攻擊事件之一,該公司最終支付了向黑客支付近500萬美元贖金,雖然它能夠拿回部分錢,但仍是一筆巨大的金額。
其次,造成的間接經濟損失更大。而相比直接經濟損失,被害者的間接損失遠遠超出了支付贖金的直接損失,系統停機、運營中斷、數據被破壞、客戶流失、企業聲譽受損、時間損失等,這些間接損失往往是直接損失的幾倍甚至更高。據調查,42% 的調查受訪者表示他們的運營中斷了,36% 的受訪者表示他們面臨著嚴重的停機時間,近 30% 的人表示他們失去了收入,21% 的人表示他們失去了客戶。
如何防范勒索軟件?
從勒索軟件攻擊的事件,也可以看出,無論政府機構、金融行業,還是高科技公司,這些網絡安全防護比較高的組織和企業,都難以避免被勒索攻擊的情況發生。因而在對待勒索軟件上,我們如何防范?
1. 要正視勒索攻擊為一種不可避免的情況,而且網絡威脅的范圍也將持續擴大。讓企業員工都接受更多的網絡安全教育,加強企業員工的安全防護意識,適時進行網絡安全攻防演習。
2. 了解勒索軟件攻擊的一些常規手段,并進行必要的個人防范:
1)及時給電腦打補丁,修復漏洞;
2)謹慎打開來歷不明的郵件,點擊其中鏈接或下載附件,防止網絡掛馬和郵件附件攻擊;
3)盡量不要點擊 office 宏運行提示,避免來自 office 組件的病毒感染;
4)需要的軟件從正規(官網)途徑下載,不要用雙擊方式打開.js、.vbs、.bat 等后綴名的腳本文件;
5)升級防病毒軟件到最新的防病毒庫,阻止已知病毒樣本的攻擊;
6)開啟 Windows Update 自動更新設置,定期對系統進行升級;
7)養成良好的備份習慣,對重要數據文件定期進行非本地備份,及時使用網盤或移動硬盤備份個人重要文件;
8)更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃,黑客會通過相同的弱密碼攻擊其它主機;
9)如果業務上無需使用 RDP 的,建議關閉 RDP,以防被黑客 RDP 爆破攻擊
3. 對于企業層面,則需要盡可能采取保護措施,以最大限度地減少破壞。
1)針對網絡安全加大投入,購買專業安全公司的安全產品和安全服務,對企業網絡進行全面加固;
2)將業務遷移到云上,借助云提供的成熟的安保服務來保護自己重要業務和數據;
3)對企業重要核心資產持續進行備份,以提供足夠的保險來抵御勒索病毒的嚴重影響。
4)進一步完善漏洞管理系統,配置專門負責漏洞管理的團隊,定期實施漏洞修補措施,配備專門的漏洞掃描和管理服務。
5)定時進行勒索軟件攻擊演練,一旦被攻擊造成系統巖機、數據被加密等情形,如何快速恢復系統和數據,評估攻擊造成的影響;對于數據被盜,評估數據被盜的影響。從而,有針對性進行系統改造和完善。
我們梳理了2022年1季度的勒索軟件攻擊事件:
1月:
1月6日,有研究報告表明,Aquatic Panda利用Log4Shell漏洞攻擊學術機構。Aquatic Panda是進行情報收集和工業間諜活動的雙重活動的組織。
1月7日,軟件供應商Finalsite遭勒索軟件攻擊,影響了大約5000所學校的網站,其中約有4500所美國的學校受影響。
1月9日,安全研究人員發布警告稱,一個名為“Night Sky”的新型勒索軟件正再活躍,它以企業網絡為目標,并在雙重勒索攻擊中竊取數據。
1月10日,NFT平臺Lympo遭黑客攻擊,黑客成功進入了Lympo的熱錢包,并從里面偷走了總共約1.652億個LMT,損失1870萬美元。
1月12日,據澎湃新聞報道,浙江省溫州市一家超市收銀臺的儲值卡電腦管理系統遭黑客攻擊,商家被要求支付0.042枚比特幣后才可恢復。比特幣當時的行情約為4.26萬美元,0.042枚相當于超過1.1萬元人民幣。
1月12日,美國醫療機構Memorial Health System開始通過信函通知受影響的患者,2021年8月15日,美國俄亥俄州的Memorial Health System遭到勒索軟件攻擊后,大約216478名患者的受保護健康信息(PHI)可能被泄露。
1月15日,跨國國防承包商 Hensoldt 證實,其英國子公司的部分系統感染了 Lorenz 勒索軟件。Lorenz 勒索軟件團伙也實施雙重勒索模式,即在加密數據之前竊取數據,贖金要求相當高,介于 50萬美元到 70萬美元之間。
1月17日,美國監獄受到勒索軟件攻擊后崩潰,這次的攻擊使得監獄內部的攝像機停止工作,自動門控制系統也無法使用,監獄的所有互聯網服務也被切斷,工作人員無法查詢囚犯記錄,囚犯被迫待在房間內。
1月17日,勒索軟件團體 ShinyHunters 竊取了屬于印度時尚和零售公司 Aditya Birla Fashion and Retail、ABFRL 的客戶和員工的 700 GB 數據,數據在暗網市場上泄露。數據包括 540 萬個唯一的電子郵件地址、姓名、電話號碼、街道地址、訂單歷史記錄和密碼,這些數據存儲為 Machine Digest-5 或 MD5 哈希值。
1月18日,英國雨傘公司Parasol Group遭黑客入侵網絡中斷,從1月12日開始的多天中斷,導致該公司MyParasol門戶網站無法訪問,外界普遍猜測是勒索軟件。
1月20日,意大利奢侈時尚品牌 Moncler 證實,它遭受了一次重大的勒索軟件攻擊,導致數據泄露。在去年 12 月下旬,被勒索軟件組織AlphV/BlackCat攻擊,贖金要求為 300 萬美元。但被Moncler 拒絕,結果,泄露中被盜的數據被發布在了暗網上。
1月21日,朝鮮黑客從全球加密貨幣初創公司Lazarus 子組織 BlueNoroff 竊取了數百萬美元。
1月21日,加密貨幣交易平臺Crypto.com受到網絡攻擊,確認有483個賬號被黑,價值3380萬美元的加密貨幣被提現。其中有443.93BTC,價值約1861.36萬美元,4836.26ETH,價值約1513.25萬美元,以及價值6.6萬美元的其他數字貨幣。
1月24日,印尼央行(印度尼西亞銀行)遭勒索軟件襲擊,超13GB數據外泄。印尼央行遭Conti勒索軟件襲擊,內部網絡十余個系統感染勒索病毒。勒索團伙稱,已竊取超過13GB的內部文件,如印尼央行不支付贖金,將公開泄露數據。Conti是一項勒索軟件即服務(RaaS)業務,與俄羅斯網絡犯罪組織Wizard Spider有所關聯。
1月26日,黑客組織勒索攻擊鐵路關基設施,試圖謀求政治訴求。“白俄羅斯網絡游擊隊”黑客團伙宣稱,成功入侵并加密了白俄羅斯國家鐵路公司內部服務器,以此要挾釋放部分政治犯,并希望俄羅斯撤軍。
1月27日,LockBit勒索軟件攻擊了法國司法部和歐洲公司。惡名昭著的網絡犯罪團伙Lockbit表示,已經成功“拿下”法國司法部并加密了相關文件,要求對方支付贖金以換取數據。要挾必須在2月10日前支付贖金,否則“所有被盜數據都將被發布至暗網”。
這一波勒索軟件攻擊影響的不只是法國司法部,同時也涉及到西班牙、意大利、法國、德國和英國等多個歐洲國家的一系列大型企業集團。
2月:
2月1日,英國零食生廠商KP Snacks遭受了勒索軟件攻擊。
2月2日,美國營銷巨頭RRD在Conti勒索軟件攻擊中數據被盜。直到2022年1月15日,Conti勒索軟件團伙開始泄露從RRD公司竊取的用戶數據,總計為2.5GB。
2月2日,McMenamins遭受Conti勒索軟件攻擊。可能已經影響了其 2,700 名員工的數據,包括他們的姓名、出生日期、地址、電子郵件地址、直接存款銀行賬戶信息、社會安全號碼和福利記錄。
2月2日,英國KP零食遭遇勒索軟件攻擊。Conti是這次襲擊的幕后黑手。
2月3日,加密貨幣平臺Wormhole遭黑客入侵,預估損失3.22億美元,主要為ETH 和 SOL 。問題源于以太坊區塊鏈上的一個“智能合約”缺陷,別有用心的攻擊者可借此將一款加密貨幣轉換成另一種并跑路。
2月4日,美國加州社區學院發布的一份聲明中,學院的數據在一次復雜的網絡攻擊中遭到破壞。學校官員表示,一些教職員工、教職員工以及現任和前任學生的私人信息遭到泄露。Ohlone社區學院區是一個多校區的單一社區學院區,位于加利福尼亞州舊金山灣的南部。
2月7日,瑞士國際空港服務有限公司(Swissport International Ltd.)于當地時間2月3日早上6點遭勒索軟件攻擊,本次攻擊入侵了該公司部分全球IT基礎設施,對公司運營造成嚴重影響,導致多趟航班延誤。
2月7日,黑客攻擊歐洲港口石油設施,油輪無法靠港。1月29日起,因遭到勒索軟件的攻擊,位于荷蘭阿姆斯特丹和鹿特丹、比利時安特衛普的幾處港口的石油裝卸和轉運受阻。截至當地時間2月4日,至少有7艘油輪被迫在安特衛普港外等候,無法靠港。
2月7日,區塊鏈基礎設施公司Meter表示:“在美國東部時間周六早上 9 點左右開始的平臺網絡攻擊中,440萬美元被盜。”包括1391 ETH和2.74 BTC被盜。
2月8日,加密交易所PayBito遭受LockBit勒索攻擊,竊取了大量客戶數據。目前,部分被盜數據公布在該團伙的Tor泄漏網站上。此次網絡攻擊中,該勒索軟件團伙成功竊取一個數據庫,其中包含來自全球 約10萬多名客戶的個人數據信息。除此之外,該團伙還盜取了部分電子郵件數據和密碼哈希值,其中一些數據可以輕易被解密。該團伙還成功竊取了管理員的個人數據,聲稱如果收不到贖金,將在2022年2月21日公布被盜數據。
2月8日,商業服務公司Morley遭勒索攻擊,超50萬人數據泄露。在2021年8月,該公司遭遇了勒索軟件攻擊,大量的文件和數據被加密,而在此之前攻擊者已經竊取了大量的用戶數據。
2月15日,美國聯邦調查局 (FBI) 與美國特勤局發布了一份聯合網絡安全咨詢公告,該公告透露,BlackByte 勒索軟件組織在過去3個月中入侵了至少3 個美國關鍵基礎設施組織。
2月16日,黑客從韓國加密貨幣平臺KLAYswap竊取約190萬美元。
2月23日,國際貨運巨頭Expeditors International遭遇疑似勒索軟件攻擊,被迫緊急關閉全球主要業務系統。
2月25日,華碩子公司ASUSTOR遭攻擊,被勒索上千萬元人民幣贖金。如果ASUSTOR 支付 50個比特幣,那么DeadBolt 攻擊者將會出售所有受害者的主解密秘鑰和零日漏洞信息。這意味ASUSTOR將要承擔本次勒索攻擊的全部損失,約合人民幣上千萬元。
2月26日,英偉達似乎遭遇了一次重大的網絡攻擊,甚至導致電子郵件及開發者工具中斷。是一個名為 LAPSU$ 的南美組織對英偉達實施了此次勒索軟件攻擊,他們聲稱已入侵英偉達,并竊取了超過 1TB 的專有數據,其中包括了驅動程序、設計圖紙和固件,各類機密文檔,SDK開發包等資料。黑客向英偉達說明了發動本次攻擊的目的。黑客要求英偉達解除對RTX30系列顯卡的挖礦限制。
2月27日,被勒索軟件攻擊后,英偉達似乎也對該黑客組織進行了反制攻擊。該黑客組織聲稱,他們一覺睡醒后發現,英偉達通過他們入侵時使用的漏洞連上了他們的虛擬機,試圖加密被竊數據并成功重置了他們的機器。不過該黑客組織表示數據早已備份,這意味著英偉達的反制攻擊可能沒有成功。
2月28日,豐田汽車公司近日表示,豐田汽車零部件供應商因受到了“勒索軟件”攻擊,從而導致系統癱瘓。14家工廠停止運營。
3月:
3月1日,保險業巨頭 AON 遭網絡攻擊 ,AON發文稱此次網絡攻擊帶來的影響“有限”。
3月5日,醫療保健公司Mon Health披露第二起數據泄露事件。2021年12月18日發現遭受了第一次網絡攻擊,幾周后才得知數據被盜。3月初,Mon Health披露了第二次數據泄漏,受影響的數據包括姓名、地址、出生日期、社會安全號碼、健康保險索賠號碼、病歷號碼、患者帳號、醫療信息和各種其他數據,大約影響40萬人。
3月4日,黑客聲稱拿到7.1萬英偉達員工電子郵件賬號。攻擊者可能拿到了 7.1 萬員工電子郵件和哈希值,而黑客可能利用這些信息來破解相關密碼。
在攻擊英偉達之后,LAPSU$表示,他們希望英偉達將所有已發布和未來顯卡的Windows、MacOS、Linux等版本驅動在FOSS協議下全部永久開源。
3月7日,據報道,黑客在網上泄露了190GB的三星機密數據,不僅是生物識別解鎖算法這敏感資料,甚至還包括芯片提供方高通(Qualcomm)的機密數據。大量的三星內部源代碼已經泄露到網上。"勒索團伙 "Lapsus$是這次網絡攻擊的幕后黑手。
3月7日,惡意軟件現在使用 NVIDIA 竊取的代碼簽名證書。 在 Lapsus$ 泄露 NVIDIA 的代碼簽名證書后, 安全研究人員很快發現 這些證書被用于簽署惡意軟件和威脅參與者使用的其他工具。
3月9日,東歐大型加油站服務商Rompetrol遭到Hive勒索軟件攻擊,官網、APP等全部下線,勒索團伙要求支付200萬美元贖金,以換取解密器和不泄露被盜數據的承諾。
3月14日,普利司通美洲公司遭到LockBit勒索軟件攻擊。普利司通公司承認其一家子公司在2月份遭遇勒索軟件攻擊,導致其在北美和中美地區的計算機網絡和生產中斷了約一周時間。此次攻擊數據被泄露,并被喊話支付贖金。
3月15日,育碧遭遇網絡攻擊,造成服務暫時中斷。攻擊者則是數據勒索組織LAPSUS$。
3月16日,匿名者(Anonymous)黑客組織入侵俄羅斯能源巨頭位于德國的子公司Rosneft ,竊取了20TB數據。
3月23日,Lapsus$團伙聲稱入侵了微軟的源代碼存儲庫。Lapsus$攻擊英偉達、三星、沃達豐等巨頭后,又對微軟下“黑手”,并拿到Cortana、Bing的源代碼
3月23日,據 Bleeping Computer 網站消息,希臘國有郵政服務供應商 ELTA 遭到勒索軟件攻擊,使其大部分服務處于離線狀態。
3月24日,Lapsus$黑客團伙聲稱從Okta竊取了數百G的敏感數據。Okta是一家被全球數千家企業使用的認證技術方案公司,擁有超過15,000名客戶的身份認證服務。
3月28日,微軟確認被黑客竊取37GB源代碼。
3月29日,Anonymous組織泄露從俄羅斯央行竊取的28GB數據。
3月29日,雀巢遭Anonymous組織攻擊 致10GB敏感資料外泄,以懲罰其未停止在俄羅斯的業務。
3月30日,美國衛星通信提供商Viasat披露了一份關于2月24日俄烏戰爭爆發當天歐洲KA-SAT衛星寬帶網絡遭受網絡攻擊事件的報告。這次攻擊還導致德國大約5800臺風力渦輪機的調制解調器離線,并影響了來自德國、法國、意大利、匈牙利、希臘和波蘭的大量個人客戶。
3月30日,區塊鏈公司Ronin Network 被盜價值6.25億美元加密貨幣,史上最大的加密黑客攻擊誕生。包括173,600 枚以太坊、6610個幣安幣和 2550 萬USDC。
結語:
勒索軟件攻擊的領域越來越廣,服務業、能源、制造業、金融等行業都在攻擊者的目標范圍內;三星、育碧、英偉達、微軟等大型科技公司,政府部門、大學、醫療機構等等,都遭受到不同形式的勒索軟件攻擊。勒索軟件的攻擊將更加猖獗,勒索軟件威脅正成為籠罩在互聯網世界的惡夢。我們只有勇于面對,做好防范,才是上策。
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執照