勒索軟件病毒正在隨著時(shí)間的推移變得更具危害性。更糟糕的是，今年已經(jīng)出現(xiàn)了許多新的勒索軟件即服務(wù)（RaaS）團(tuán)伙，例如Mindware、Onyx和Black Basta，以及惡名昭著的勒索軟件運(yùn)營商REvil的回歸。所有這些都指向一個(gè)事實(shí)：勒索軟件攻擊無處不在，企業(yè)組織隨時(shí)可能淪為下一個(gè)受害者。

在2022年即將結(jié)束之際，一起來回顧一下今年以來發(fā)生的14起重大勒索軟件攻擊事件，這些事件的勒索貨幣金額均超過了100萬美金?？偨Y(jié)這些勒索軟件攻擊的目的是為了更好地洞察網(wǎng)絡(luò)犯罪分子的策略和意圖，以便能夠深入了解勒索軟件的危害，并更好地防范此類威脅。在勒索軟件攻擊威脅下，沒有組織是絕對安全的。因此，提前制定適當(dāng)?shù)睦账鬈浖录憫?yīng)計(jì)劃至關(guān)重要。

1.哥斯達(dá)黎加政府

勒索贖金：2000萬美元

這是2022年最受關(guān)注的攻擊事件，因?yàn)檫@是一個(gè)國家首次宣布進(jìn)入“國家緊急狀態(tài)”以應(yīng)對勒索軟件攻擊。調(diào)查顯示，從4月中旬到5月初，27個(gè)政府機(jī)構(gòu)成為第一波攻擊活動的目標(biāo)。國家財(cái)政部數(shù)TB數(shù)據(jù)和800多臺服務(wù)器受到影響，數(shù)字稅務(wù)服務(wù)和海關(guān)控制IT系統(tǒng)癱瘓，不僅影響了政府服務(wù)，還影響了從事進(jìn)出口的私營部門。

勒索軟件組織Conti聲稱對此輪攻擊負(fù)責(zé)，并要求哥斯達(dá)黎加政府支付1000萬美元的贖金，后來這一金額又增加到2000萬美元。5月31日開始，另一波攻擊使該國的醫(yī)療保健系統(tǒng)陷入混亂。這次與HIVE相關(guān)的攻擊直接影響了哥斯達(dá)黎加的普通民眾，因?yàn)樗乖搰尼t(yī)療保健系統(tǒng)被非正常下線。

這一系列針對哥斯達(dá)黎加政府的攻擊，清楚地展示了勒索軟件攻擊可能對政府組織造成的嚴(yán)重破壞性后果，這或?qū)㈤_啟一個(gè)新的勒索軟件時(shí)代。如果沒有投入足夠的資源進(jìn)行勒索軟件攻擊準(zhǔn)備和緩解，以及為全體工作人員等提供網(wǎng)絡(luò)安全意識和技能培訓(xùn)以應(yīng)對此類威脅，那么整個(gè)國家都可能因?yàn)榫W(wǎng)絡(luò)攻擊而陷入癱瘓。

2.Center Hospitalier Sud Francilien（CHSF）醫(yī)院

勒索贖金：1000萬美元

今年8月，法國巴黎的一家醫(yī)院Center Hospitalier Sud Francilien（CHSF）遭遇網(wǎng)絡(luò)攻擊，迫使其將患者轉(zhuǎn)診至其他機(jī)構(gòu)，并推遲了多臺手術(shù)計(jì)劃。據(jù)悉，CHSF為當(dāng)?shù)?0萬居民提供診療服務(wù)，因此其運(yùn)營中斷，給身處危急關(guān)頭的病患造成嚴(yán)重的健康甚至生命威脅。

CHSF在隨后發(fā)布的公告中表示，此次網(wǎng)絡(luò)攻擊致使醫(yī)院的業(yè)務(wù)軟件、存儲系統(tǒng)（特別是醫(yī)學(xué)影像）及與患者入院相關(guān)的信息系統(tǒng)暫時(shí)無法訪問。勒索軟件團(tuán)伙要求醫(yī)院支付1000萬美元以換取解密密鑰。

研究人員在此次事件中發(fā)現(xiàn)了LockBit 3.0感染的跡象，國家憲兵部門隨后介入調(diào)查，并開始追蹤Ragnar Locker和LockBit。如果LockBit 3.0確實(shí)就是CHSF攻擊事件的幕后黑手，那他們就違反了RaaS的“行規(guī)”，即不得向醫(yī)療保健服務(wù)商的系統(tǒng)發(fā)動加密攻擊。

3.黑山政府部門和國家議會

勒索贖金：1000萬美元

2022年9月，歐洲國家黑山的多個(gè)政府部門遭遇超大規(guī)模網(wǎng)絡(luò)攻擊，致使超過10個(gè)政府機(jī)構(gòu)的150多個(gè)工作站均無法訪問。此次攻擊采用了勒索軟件與分布式拒絕服務(wù)（DDoS）相結(jié)合的方式，不僅擾亂了政府服務(wù)，還迫使該國的電力系統(tǒng)轉(zhuǎn)為手動控制。Cuba勒索軟件組織宣稱對此次攻擊負(fù)部分責(zé)任，他們使用Cuba勒索軟件感染了黑山議會辦公室網(wǎng)絡(luò)，并在勒索門戶上發(fā)布了黑山議會勒索公告，稱竊取了財(cái)務(wù)文件、銀行通信內(nèi)容、資產(chǎn)負(fù)債表、稅務(wù)文件、賠償金乃至源代碼。這些文件免費(fèi)發(fā)布，任何人均可下載。

4.律師事務(wù)所Ward Hadaway

勒索贖金：價(jià)值600萬美元的比特幣

全球排名Top 100的律師事務(wù)所Ward Hadaway在今年3月發(fā)現(xiàn)了一次網(wǎng)絡(luò)攻擊，一名匿名黑客警告稱，如果一周內(nèi)不支付300萬美元，從其IT系統(tǒng)下載的文件和數(shù)據(jù)將被公布在網(wǎng)上，逾期贖金將翻倍至600萬美元。

黑客還向Ward Hadaway發(fā)送了一份在攻擊中被復(fù)制的數(shù)據(jù)和文件的列表，其中一些已經(jīng)以加密的形式上傳到網(wǎng)上。Ward Hadaway的IT系統(tǒng)擁有大量的機(jī)密信息，包括個(gè)人數(shù)據(jù)，其中一些甚至是非常敏感的個(gè)人數(shù)據(jù)。不過幸運(yùn)的是，公司的文件管理系統(tǒng)并未受到勒索攻擊影響，所以這起事件并沒有造成Ward Hadaway公司日常業(yè)務(wù)運(yùn)營的中斷。

5.奧地利卡林西亞州政府

勒索贖金：價(jià)值500萬美元的比特幣

2022年5月，網(wǎng)絡(luò)犯罪組織Black Cat（也被稱為ALPHV）聲稱獲取了奧地利卡林西亞州政府的敏感數(shù)據(jù)和解密軟件訪問權(quán)限，并向其索要價(jià)值500萬美元的比特幣來解鎖加密的計(jì)算機(jī)系統(tǒng)。攻擊者加密了數(shù)千個(gè)政府機(jī)構(gòu)的工作站，導(dǎo)致政府服務(wù)嚴(yán)重中斷?？治鱽喼菡W(wǎng)站和電子郵件服務(wù)也一度暫時(shí)關(guān)閉，導(dǎo)致政府無法發(fā)放新護(hù)照或交通罰單。此外，此次攻擊還妨礙了該地區(qū)行政辦公室關(guān)于新冠病毒檢測和接觸者追蹤的防疫工作。最終，政府拒絕了支付贖金，理由是沒有證據(jù)表明Black Ca已經(jīng)從其系統(tǒng)中獲取敏感性數(shù)據(jù)，而且州政府能夠使用可訪問的備份來恢復(fù)工作站運(yùn)行。

6.意大利鐵路公司Trenitalia

勒索贖金：價(jià)值500萬美元的比特幣

2022年3月，Hive勒索軟件組織攻擊了意大利鐵路公司Trenitalia的計(jì)算機(jī)系統(tǒng)，影響了公司員工電腦和系統(tǒng)的正常運(yùn)行。此外，與Trenitalia連接的票務(wù)系統(tǒng)Trenord也受到了黑客攻擊的影響。不過，Trenord系統(tǒng)可以通過防止受影響的車票銷售，保持相對正常的業(yè)務(wù)運(yùn)行。

Hive組織提出了500萬美元的比特幣贖金要求，期限為三天，否則金額將翻倍至1000萬美元。目前還不清楚Trenitalia最終是否支付了贖金。

7.美國麥嶺市（City of Wheat Ridge）公共市政系統(tǒng)

勒索贖金：500萬美元

2022年8月，美國科羅拉多州麥嶺市的市政服務(wù)系統(tǒng)遭遇勒索軟件攻擊，致使電話、電子郵件系統(tǒng)和其他市政服務(wù)系統(tǒng)關(guān)閉了一個(gè)多星期。

犯罪分子索要500萬美元來解鎖麥嶺市的市政數(shù)據(jù)和計(jì)算機(jī)系統(tǒng)，并要求用一種難以追蹤的加密貨幣Monero來支付。據(jù)悉，這些數(shù)據(jù)和系統(tǒng)被一個(gè)神秘的海外勒索軟件控制。但該市官員決定拒絕支付贖金，并與該市的IT專業(yè)人士一起努力從可行的備份恢復(fù)存儲在該市網(wǎng)絡(luò)中的文件。值得一提的是，此次攻擊背后的惡意行為者同樣是Black Cat組織。網(wǎng)絡(luò)安全專家認(rèn)為，Black Cat勒索軟件極具攻擊性，并且危害巨大。它是用一種叫做Rust的編程語言開發(fā)，系統(tǒng)管理員通常很難發(fā)現(xiàn)這種語言。

8.意大利比薩大學(xué)（University of Pisa）

勒索贖金：500萬美元

2022年6月，意大利的比薩大學(xué)淪為Black Cat的目標(biāo)。攻擊者要求學(xué)校管理層支付450萬美元來恢復(fù)對已鎖定數(shù)據(jù)的訪問權(quán)限，如果規(guī)定時(shí)間內(nèi)未受到贖金，贖金金額將增加到500萬美元。攻擊者還竊取了比薩大學(xué)專用瀏覽器Tor上一個(gè)聊天應(yīng)用的獨(dú)家訪問權(quán)來訪問暗網(wǎng)，以此來回應(yīng)贖金要求。在此次攻擊中，BlackCat使用了雙重甚至三重勒索策略，威脅稱“如果得不到報(bào)酬就泄露關(guān)鍵信息”。對于受害者來說，這無疑是最糟糕的時(shí)刻。因?yàn)樵诖酥?，帕勒莫的市政選舉已經(jīng)受到勒索軟件攻擊的嚴(yán)重干擾。

9.羅馬尼亞石油公司Rompetrol

勒索贖金：200萬美元

2022年3月，羅馬尼亞最大的煉油廠，年產(chǎn)量超過500萬噸石油公司Rompetrol成為Hive勒索組織的攻擊目標(biāo)。由于此次攻擊，Rompetrol被迫關(guān)閉了其網(wǎng)站和加油站的會員卡服務(wù)，不過顧客可以選擇用現(xiàn)金或銀行卡付款。據(jù)了解，這次攻擊影響了該公司的大部分IT服務(wù)，Hive組織威脅稱，除非Rompetrol支付200萬美元的贖金，否則他們將泄露竊取的數(shù)據(jù)。

在攻擊發(fā)生之前，Rompetrol母公司KMG剛剛宣布，Rompetrol Rafinare將在3月11日至4月3日期間關(guān)閉，以按計(jì)劃進(jìn)行技術(shù)改造，這一計(jì)劃同樣受到了勒索攻擊的影響。

10.法國服裝公司Damart

勒索贖金：200萬美元

2022年9月，在全球擁有130多家門店的法國服裝品牌Damart遭到Hive網(wǎng)絡(luò)犯罪團(tuán)伙的攻擊，并索要200萬美元的贖金。這次攻擊被證實(shí)訪問了Damart的活動目錄，盡管Damart主動關(guān)閉了系統(tǒng)以保護(hù)它們，但這次網(wǎng)絡(luò)攻擊還是影響了92家商店，并影響到這些門店處理新訂單的能力，客戶支持服務(wù)也無法提供。Damart并沒有直接與網(wǎng)絡(luò)犯罪分子進(jìn)行談判，而是將事件通知了國家警察，這使得Hive不太可能收到贖金。目前尚不清楚Hive在網(wǎng)絡(luò)入侵過程中是否成功竊取了Damart公司的用戶隱私等敏感數(shù)據(jù)。然而，該團(tuán)伙過去曾成功地采用過“雙重勒索”策略，即在加密數(shù)據(jù)之前先竊取數(shù)據(jù)。

11.蒂夫特地區(qū)醫(yī)療中心

勒索贖金：115萬美元

美國喬治亞州的蒂夫特地區(qū)醫(yī)療中心在2022年7月成為攻擊目標(biāo)，但直到與Hive團(tuán)伙的談判破裂后，事件才被公之于眾。

在7月和8月發(fā)生的黑客攻擊中，Hive團(tuán)伙竊取了該醫(yī)療中心約1TB的數(shù)據(jù)，其中包括診療記錄、員工工資記錄和機(jī)密商業(yè)信息。該組織于8月25日給醫(yī)療中心發(fā)郵件正式提出了115萬美金的勒索要求，并提供了一些被盜信息的鏈接，但Tift僅支付了10萬美元作為回應(yīng)。對此，Hive的回復(fù)也非常有趣：“告訴董事會他們可以留下10萬美元請律師。我們將公布這些數(shù)據(jù)?！?/p>

12.澳洲電信運(yùn)營商Optus

勒索贖金：價(jià)值100萬美元的加密貨幣

2022年9月，澳大利亞電信公司Optus遭遇不明身份的勒索組織攻擊，1120萬用戶的數(shù)據(jù)被竊，可能泄露的信息包括客戶的姓名、出生日期、電話號碼、電子郵件地址，還有部分客戶的地址、身份證號碼，如駕照或護(hù)照號碼。

攻擊者要求Optus支付價(jià)值100萬美元的門羅幣（Monero），以阻止他們出售竊取的數(shù)據(jù)。但Optus方面最終拒絕支付贖金，并聯(lián)系了澳大利亞聯(lián)邦警察調(diào)查此事。

13.美國格倫縣教育辦公室

勒索贖金：100萬美元

2022年5月，美國加利福尼亞州格倫縣教育辦公室（GCOE）和學(xué)區(qū)遭到Quantum勒索軟件組織的攻擊，并被索要100萬美元贖金。隨后，GCOE和Quantum組織進(jìn)行了談判。Quantum組織向GCOE的談判代表提供了壓縮文件存檔，作為他們訪問過系統(tǒng)的證據(jù)。最終，GCOE向Quantum組織支付了40萬美元的贖金，以獲得解密密鑰和某些保證。Quantum組織則向該縣保證，它將刪除所有文件，并提供刪除的證據(jù)，解釋他們是如何進(jìn)入網(wǎng)絡(luò)的，以及他們在那里做了什么，提供一份被竊取的所有文件的完整清單，同時(shí)保證他們不會再次攻擊該地區(qū)，也不會出售任何被竊取的數(shù)據(jù)。

14.英偉達(dá)（Nvidia）

勒索贖金：100萬美元

2022年2月底，全球知名的半導(dǎo)體芯片公司英偉達(dá)被爆遭到勒索軟件攻擊，不久后，英偉達(dá)公司官方證實(shí)遭到入侵，攻擊者已開始在線泄露了員工憑據(jù)和私密信息。勒索軟件組織Lapsus$聲稱對此次攻擊負(fù)責(zé)，并表示他們可以訪問1TB的企業(yè)數(shù)據(jù)，如果英偉達(dá)拒絕支付100萬美元的贖金和一定比例的未指明費(fèi)用，他們將在線泄露這些數(shù)據(jù)。

媒體報(bào)道稱，由于英偉達(dá)的內(nèi)部系統(tǒng)遭到入侵，它不得不將部分業(yè)務(wù)下線兩天。然而，該公司后來聲稱此次攻擊并未以任何方式影響其運(yùn)營，公司通過加強(qiáng)其安全性并立即聘請網(wǎng)絡(luò)事件響應(yīng)專家來控制局勢，迅速對勒索軟件攻擊作出響應(yīng)。一些報(bào)道表示，英偉達(dá)方面“反黑”了黑客，通過設(shè)法跟蹤Lapsus$成員并在他們的系統(tǒng)上安裝病毒木馬進(jìn)行反制。但以上信息的真實(shí)性如何并未得到證實(shí)。

參考鏈接：

??https://www.privacyaffairs.com/ransomware-attacks-in-2022??