什么是勒索软件?
勒索软件,是近几年兴起一种新型网络犯罪方式,它通常是通过木马病毒加密被害者系统里的文件或者数据,要求在特定时间内按照他们要求的方式支付赎金,以取得解密钥匙。如果在指定时间内黑客没有收到赎金,那么它将永久性删除或者锁定数据,或者将数据在暗网上售卖,给被害者造成无法弥补的损失。勒索软件已成为全球企业和组织面临的主要网络威胁。
勒索软件攻击的过程:黑客通过技术手段获得某个组织或某个系统的访问权限,进入到该组织的内部网络,内部网络通常缺乏强力的访问控制,因而黑客很容易在内网横向渗透,最终获得关键系统访问权限,进而控制大量内网基础设施或关键敏感信息数据等。一旦成功控制了关键系统或获取关键数据之后,一方面想办法把数据窃取出来,一方面对系统和数据进行加密,使之不能正常运转,这时即可大开狮口,索要赎金。
勒索软件的攻击,通常会给黑客组织带来可观回报。勒索软件的平均赎金金额,从2018年的5000美元,到2019年的8.4万美元,到2020年上升到21.3万美元,2021年则超过32.3万美元。
对于勒索组织而言,攻击的目标越庞大,目标实力越雄厚,造成的影响和损失越大,越可能得到更高的赎金金额。类似于Phoenix Cryptolocker索要的创纪录的4000万美元,成为迄今为止支付最昂贵的赎金之一。
分析人士认为,促成勒索软件攻击成功的最重要因素是RaaS模式的使用,该模式的使用在2021年达到了有史以来的最高水平。勒索软件即服务(RaaS)是一种商业模型,其中勒索软件开发者向感兴趣的恶意行为者提供工具,以便他们可以发起勒索软件攻击。使用者通过签约创建恶意软件即服务或加入联盟计划,并分发一系列勒索软件以换取一定比例的利润。
近年来,勒索者不再满足于对数据进行加密,其开始通过勒索软件识别和窃取被攻击者系统中的关键数据,并以将关键数据公开为威胁,要求企业支付赎金,这便是当前较为普遍的“双重勒索”模式。
勒索软件会造成什么损失?
勒索软件攻击,对被害者造成的损失是灾难性的。
首先,会造成直接经济损失。攻击者向受害者索要的平均赎金数额不断上涨,可以看出,勒索软件攻击已给受害者造成越来越严重的经济损失。举一个例子,Colonial Pipeline是2021年最大的勒索软件攻击事件之一,该公司最终支付了向黑客支付近500万美元赎金,虽然它能够拿回部分钱,但仍是一笔巨大的金额。
其次,造成的间接经济损失更大。而相比直接经济损失,被害者的间接损失远远超出了支付赎金的直接损失,系统停机、运营中断、数据被破坏、客户流失、企业声誉受损、时间损失等,这些间接损失往往是直接损失的几倍甚至更高。据调查,42% 的调查受访者表示他们的运营中断了,36% 的受访者表示他们面临着严重的停机时间,近 30% 的人表示他们失去了收入,21% 的人表示他们失去了客户。
如何防范勒索软件?
从勒索软件攻击的事件,也可以看出,无论政府机构、金融行业,还是高科技公司,这些网络安全防护比较高的组织和企业,都难以避免被勒索攻击的情况发生。
那么在对待勒索软件上,我们如何防范?
(1) 要正视勒索攻击为一种不可避免的情况,而且网络威胁的范围也将持续扩大。让企业员工都接受更多的网络安全教育,加强企业员工的安全防护意识,适时进行网络安全攻防演习。
(2) 了解勒索软件攻击的一些常规手段,并进行必要的个人防范:
- 及时给电脑打补丁,修复漏洞;
- 谨慎打开来历不明的邮件,点击其中链接或下载附件,防止网络挂马和邮件附件攻击;
- 尽量不要点击 office 宏运行提示,避免来自 office 组件的病毒感染;
- 需要的软件从正规(官网)途径下载,不要用双击方式打开.js、.vbs、.bat 等后缀名的脚本文件;
- 升级防病毒软件到最新的防病毒库,阻止已知病毒样本的攻击;
- 开启 Windows Update 自动更新设置,定期对系统进行升级;
- 养成良好的备份习惯,对重要数据文件定期进行非本地备份,及时使用网盘或移动硬盘备份个人重要文件;
- 更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃,黑客会通过相同的弱密码攻击其它主机;
- 如果业务上无需使用 RDP 的,建议关闭 RDP,以防被黑客 RDP 爆破攻击。
(3) 对于企业层面,则需要尽可能采取保护措施,以最大限度地减少破坏:
- 针对网络安全加大投入,购买专业安全公司的安全产品和安全服务,对企业网络进行全面加固;
- 将业务迁移到云上,借助云提供的成熟的安保服务来保护自己重要业务和数据;
- 对企业重要核心资产持续进行备份,以提供足够的保险来抵御勒索病毒的严重影响。
- 进一步完善漏洞管理系统,配置专门负责漏洞管理的团队,定期实施漏洞修补措施,配备专门的漏洞扫描和管理服务。
- 定时进行勒索软件攻击演练,一旦被攻击造成系统岩机、数据被加密等情形,如何快速恢复系统和数据,评估攻击造成的影响;对于数据被盗,评估数据被盗的影响。从而,有针对性进行系统改造和完善。
我们梳理了2022年1季度的勒索软件攻击事件:
1月:
- 1月6日,有研究报告表明,Aquatic Panda利用Log4Shell漏洞攻击学术机构。Aquatic Panda是进行情报收集和工业间谍活动的双重活动的组织。
- 1月7日,软件供应商Finalsite遭勒索软件攻击,影响了大约5000所学校的网站,其中约有4500所美国的学校受影响。
- 1月9日,安全研究人员发布警告称,一个名为“Night Sky”的新型勒索软件正再活跃,它以企业网络为目标,并在双重勒索攻击中窃取数据。
- 1月10日,NFT平台Lympo遭黑客攻击,黑客成功进入了Lympo的热钱包,并从里面偷走了总共约1.652亿个LMT,损失1870万美元。
- 1月12日,据澎湃新闻报道,浙江省温州市一家超市收银台的储值卡电脑管理系统遭黑客攻击,商家被要求支付0.042枚比特币后才可恢复。比特币当时的行情约为4.26万美元,0.042枚相当于超过1.1万元人民币。
- 1月12日,美国医疗机构Memorial Health System开始通过信函通知受影响的患者,2021年8月15日,美国俄亥俄州的Memorial Health System遭到勒索软件攻击后,大约216478名患者的受保护健康信息(PHI)可能被泄露。
- 1月15日,跨国国防承包商 Hensoldt 证实,其英国子公司的部分系统感染了 Lorenz 勒索软件。Lorenz 勒索软件团伙也实施双重勒索模式,即在加密数据之前窃取数据,赎金要求相当高,介于 50万美元到 70万美元之间。
- 1月17日,美国监狱受到勒索软件攻击后崩溃,这次的攻击使得监狱内部的摄像机停止工作,自动门控制系统也无法使用,监狱的所有互联网服务也被切断,工作人员无法查询囚犯记录,囚犯被迫待在房间内。
- 1月17日,勒索软件团体 ShinyHunters 窃取了属于印度时尚和零售公司 Aditya Birla Fashion and Retail、ABFRL 的客户和员工的 700 GB 数据,数据在暗网市场上泄露。数据包括 540 万个唯一的电子邮件地址、姓名、电话号码、街道地址、订单历史记录和密码,这些数据存储为 Machine Digest-5 或 MD5 哈希值。
- 1月18日,英国雨伞公司Parasol Group遭黑客入侵网络中断,从1月12日开始的多天中断,导致该公司MyParasol门户网站无法访问,外界普遍猜测是勒索软件。
- 1月20日,意大利奢侈时尚品牌 Moncler 证实,它遭受了一次重大的勒索软件攻击,导致数据泄露。在去年 12 月下旬,被勒索软件组织AlphV/BlackCat攻击,赎金要求为 300 万美元。但被Moncler 拒绝,结果,泄露中被盗的数据被发布在了暗网上。
- 1月21日,朝鲜黑客从全球加密货币初创公司Lazarus 子组织 BlueNoroff 窃取了数百万美元。
- 1月21日,加密货币交易平台Crypto.com受到网络攻击,确认有483个账号被黑,价值3380万美元的加密货币被提现。其中有443.93BTC,价值约1861.36万美元,4836.26ETH,价值约1513.25万美元,以及价值6.6万美元的其他数字货币。
- 1月24日,印尼央行(印度尼西亚银行)遭勒索软件袭击,超13GB数据外泄。印尼央行遭Conti勒索软件袭击,内部网络十余个系统感染勒索病毒。勒索团伙称,已窃取超过13GB的内部文件,如印尼央行不支付赎金,将公开泄露数据。Conti是一项勒索软件即服务(RaaS)业务,与俄罗斯网络犯罪组织Wizard Spider有所关联。
- 1月26日,黑客组织勒索攻击铁路关基设施,试图谋求政治诉求。“白俄罗斯网络游击队”黑客团伙宣称,成功入侵并加密了白俄罗斯国家铁路公司内部服务器,以此要挟释放部分政治犯,并希望俄罗斯撤军。
- 1月27日,LockBit勒索软件攻击了法国司法部和欧洲公司。恶名昭著的网络犯罪团伙Lockbit表示,已经成功“拿下”法国司法部并加密了相关文件,要求对方支付赎金以换取数据。要挟必须在2月10日前支付赎金,否则“所有被盗数据都将被发布至暗网”。
- 这一波勒索软件攻击影响的不只是法国司法部,同时也涉及到西班牙、意大利、法国、德国和英国等多个欧洲国家的一系列大型企业集团。
2月:
- 2月1日,英国零食生厂商KP Snacks遭受了勒索软件攻击。
- 2月2日,美国营销巨头RRD在Conti勒索软件攻击中数据被盗。直到2022年1月15日,Conti勒索软件团伙开始泄露从RRD公司窃取的用户数据,总计为2.5GB。
- 2月2日,McMenamins遭受Conti勒索软件攻击。可能已经影响了其 2,700 名员工的数据,包括他们的姓名、出生日期、地址、电子邮件地址、直接存款银行账户信息、社会安全号码和福利记录。
- 2月2日,英国KP零食遭遇勒索软件攻击。Conti是这次袭击的幕后黑手。
- 2月3日,加密货币平台Wormhole遭黑客入侵,预估损失3.22亿美元,主要为ETH 和 SOL 。问题源于以太坊区块链上的一个“智能合约”缺陷,别有用心的攻击者可借此将一款加密货币转换成另一种并跑路。
- 2月4日,美国加州社区学院发布的一份声明中,学院的数据在一次复杂的网络攻击中遭到破坏。学校官员表示,一些教职员工、教职员工以及现任和前任学生的私人信息遭到泄露。Ohlone社区学院区是一个多校区的单一社区学院区,位于加利福尼亚州旧金山湾的南部。
- 2月7日,瑞士国际空港服务有限公司(Swissport International Ltd.)于当地时间2月3日早上6点遭勒索软件攻击,本次攻击入侵了该公司部分全球IT基础设施,对公司运营造成严重影响,导致多趟航班延误。
- 2月7日,黑客攻击欧洲港口石油设施,油轮无法靠港。1月29日起,因遭到勒索软件的攻击,位于荷兰阿姆斯特丹和鹿特丹、比利时安特卫普的几处港口的石油装卸和转运受阻。截至当地时间2月4日,至少有7艘油轮被迫在安特卫普港外等候,无法靠港。
- 2月7日,区块链基础设施公司Meter表示:“在美国东部时间周六早上 9 点左右开始的平台网络攻击中,440万美元被盗。”包括1391 ETH和2.74 BTC被盗。
- 2月8日,加密交易所PayBito遭受LockBit勒索攻击,窃取了大量客户数据。目前,部分被盗数据公布在该团伙的Tor泄漏网站上。此次网络攻击中,该勒索软件团伙成功窃取一个数据库,其中包含来自全球 约10万多名客户的个人数据信息。除此之外,该团伙还盗取了部分电子邮件数据和密码哈希值,其中一些数据可以轻易被解密。该团伙还成功窃取了管理员的个人数据,声称如果收不到赎金,将在2022年2月21日公布被盗数据。
- 2月8日,商业服务公司Morley遭勒索攻击,超50万人数据泄露。在2021年8月,该公司遭遇了勒索软件攻击,大量的文件和数据被加密,而在此之前攻击者已经窃取了大量的用户数据。
- 2月15日,美国联邦调查局 (FBI) 与美国特勤局发布了一份联合网络安全咨询公告,该公告透露,BlackByte 勒索软件组织在过去3个月中入侵了至少3 个美国关键基础设施组织。
- 2月16日,黑客从韩国加密货币平台KLAYswap窃取约190万美元。
- 2月23日,国际货运巨头Expeditors International遭遇疑似勒索软件攻击,被迫紧急关闭全球主要业务系统。
- 2月25日,华硕子公司ASUSTOR遭攻击,被勒索上千万元人民币赎金。如果ASUSTOR 支付 50个比特币,那么DeadBolt 攻击者将会出售所有受害者的主解密秘钥和零日漏洞信息。这意味ASUSTOR将要承担本次勒索攻击的全部损失,约合人民币上千万元。
- 2月26日,英伟达似乎遭遇了一次重大的网络攻击,甚至导致电子邮件及开发者工具中断。是一个名为 LAPSU$ 的南美组织对英伟达实施了此次勒索软件攻击,他们声称已入侵英伟达,并窃取了超过 1TB 的专有数据,其中包括了驱动程序、设计图纸和固件,各类机密文档,SDK开发包等资料。黑客向英伟达说明了发动本次攻击的目的。黑客要求英伟达解除对RTX30系列显卡的挖矿限制。
- 2月27日,被勒索软件攻击后,英伟达似乎也对该黑客组织进行了反制攻击。该黑客组织声称,他们一觉睡醒后发现,英伟达通过他们入侵时使用的漏洞连上了他们的虚拟机,试图加密被窃数据并成功重置了他们的机器。不过该黑客组织表示数据早已备份,这意味着英伟达的反制攻击可能没有成功。
- 2月28日,丰田汽车公司近日表示,丰田汽车零部件供应商因受到了“勒索软件”攻击,从而导致系统瘫痪。14家工厂停止运营。
3月:
- 3月1日,保险业巨头 AON 遭网络攻击 ,AON发文称此次网络攻击带来的影响“有限”。
- 3月5日,医疗保健公司Mon Health披露第二起数据泄露事件。2021年12月18日发现遭受了第一次网络攻击,几周后才得知数据被盗。3月初,Mon Health披露了第二次数据泄漏,受影响的数据包括姓名、地址、出生日期、社会安全号码、健康保险索赔号码、病历号码、患者帐号、医疗信息和各种其他数据,大约影响40万人。
- 3月4日,黑客声称拿到7.1万英伟达员工电子邮件账号。攻击者可能拿到了 7.1 万员工电子邮件和哈希值,而黑客可能利用这些信息来破解相关密码。
- 在攻击英伟达之后,LAPSU$表示,他们希望英伟达将所有已发布和未来显卡的Windows、MacOS、Linux等版本驱动在FOSS协议下全部永久开源。
- 3月7日,据报道,黑客在网上泄露了190GB的三星机密数据,不仅是生物识别解锁算法这敏感资料,甚至还包括芯片提供方高通(Qualcomm)的机密数据。大量的三星内部源代码已经泄露到网上。"勒索团伙 "Lapsus$是这次网络攻击的幕后黑手。
- 3月7日,恶意软件现在使用 NVIDIA 窃取的代码签名证书。 在 Lapsus$ 泄露 NVIDIA 的代码签名证书后, 安全研究人员很快发现 这些证书被用于签署恶意软件和威胁参与者使用的其他工具。
- 3月9日,东欧大型加油站服务商Rompetrol遭到Hive勒索软件攻击,官网、APP等全部下线,勒索团伙要求支付200万美元赎金,以换取解密器和不泄露被盗数据的承诺。
- 3月14日,普利司通美洲公司遭到LockBit勒索软件攻击。普利司通公司承认其一家子公司在2月份遭遇勒索软件攻击,导致其在北美和中美地区的计算机网络和生产中断了约一周时间。此次攻击数据被泄露,并被喊话支付赎金。
- 3月15日,育碧遭遇网络攻击,造成服务暂时中断。攻击者则是数据勒索组织LAPSUS$。
- 3月16日,匿名者(Anonymous)黑客组织入侵俄罗斯能源巨头位于德国的子公司Rosneft ,窃取了20TB数据。
- 3月23日,Lapsus$团伙声称入侵了微软的源代码存储库。Lapsus$攻击英伟达、三星、沃达丰等巨头后,又对微软下“黑手”,并拿到Cortana、Bing的源代码
- 3月23日,据 Bleeping Computer 网站消息,希腊国有邮政服务供应商 ELTA 遭到勒索软件攻击,使其大部分服务处于离线状态。
- 3月24日,Lapsus$黑客团伙声称从Okta窃取了数百G的敏感数据。Okta是一家被全球数千家企业使用的认证技术方案公司,拥有超过15,000名客户的身份认证服务。
- 3月28日,微软确认被黑客窃取37GB源代码。
- 3月29日,Anonymous组织泄露从俄罗斯央行窃取的28GB数据。
- 3月29日,雀巢遭Anonymous组织攻击 致10GB敏感资料外泄,以惩罚其未停止在俄罗斯的业务。
- 3月30日,美国卫星通信提供商Viasat披露了一份关于2月24日俄乌战争爆发当天欧洲KA-SAT卫星宽带网络遭受网络攻击事件的报告。这次攻击还导致德国大约5800台风力涡轮机的调制解调器离线,并影响了来自德国、法国、意大利、匈牙利、希腊和波兰的大量个人客户。
- 3月30日,区块链公司Ronin Network 被盗价值6.25亿美元加密货币,史上最大的加密黑客攻击诞生。包括173,600 枚以太坊、6610个币安币和 2550 万USDC。
结语
勒索软件攻击的领域越来越广,服务业、能源、制造业、金融等行业都在攻击者的目标范围内;三星、育碧、英伟达、微软等大型科技公司,政府部门、大学、医疗机构等等,都遭受到不同形式的勒索软件攻击。勒索软件的攻击将更加猖獗,勒索软件威胁正成为笼罩在互联网世界的恶梦。我们只有勇于面对,做好防范,才是上策。