2022年的網(wǎng)絡(luò)世界并不太平，勒索攻擊事件頻發(fā)，產(chǎn)生了難以計(jì)數(shù)的數(shù)據(jù)泄露。一些大型RaaS（勒索軟件即服務(wù)）組織利用成熟的商業(yè)化運(yùn)作模式，針對(duì)全球多個(gè)行業(yè)持續(xù)“重拳出擊”，給眾多企業(yè)組織帶來了巨大的經(jīng)濟(jì)損失。

根據(jù)SpyCloud發(fā)布的《2022年勒索軟件防御報(bào)告》顯示，過去一年內(nèi)90%的受訪企業(yè)都受到了勒索軟件攻擊的影響，相比2021年72%的比例增長(zhǎng)了 25%，其中50%的企業(yè)表示至少遭受過兩次勒索攻擊，而作為勒索軟件攻擊的最終目的，2022年的贖金支付額度也出現(xiàn)了顯著增幅。根據(jù)Unit 42的一項(xiàng)調(diào)查，僅在2022 年前五個(gè)月，勒索軟件攻擊的平均贖金支付額達(dá)925162 美元，前所未有地接近100 萬美元大關(guān)，較去年增長(zhǎng) 71%。

雖然平均贖金支付額有大幅上漲的趨勢(shì)，但根據(jù)公開報(bào)道或披露的數(shù)據(jù)，目前勒索軟件攻擊所產(chǎn)生的最高贖金記錄仍然由REvil勒索軟件組織在2021年7月針對(duì)軟件供應(yīng)商Kaseya索要的7000萬美元所保持。 2022年雖然沒有打破這一記錄，但在已公開的贖金金額中，仍有兩筆達(dá)到了6000萬美元。本文根據(jù)這些公開的報(bào)道或資料，盤點(diǎn)出2022年度贖金金額TOP 10的勒索攻擊事件。

2022年度勒索軟件攻擊贖金Top10盤點(diǎn)

1.英國(guó)著名汽車經(jīng)銷商集團(tuán)Pendragon勒索攻擊事件，贖金金額：6000萬美元

據(jù)英國(guó)《泰晤士報(bào)》2022年10月21日?qǐng)?bào)道，英國(guó)著名汽車經(jīng)銷商集團(tuán)Pendragon月初曾遭到LockBit 勒索軟件的網(wǎng)絡(luò)攻擊，部分?jǐn)?shù)據(jù)被竊取，并以發(fā)布被盜數(shù)據(jù)為威脅，要求Pendragon在截止日期前支付數(shù)千萬美元級(jí)別的贖金。后經(jīng)證實(shí)，具體的贖金金額高達(dá)6000萬美元。雖然有消息稱公司被竊取的數(shù)據(jù)達(dá)到了2TB，但該公司發(fā)言人表示，Pendragon堅(jiān)決不會(huì)向?qū)Ψ街Ц囤H金，并讓IT 團(tuán)隊(duì)進(jìn)行了調(diào)查，結(jié)果顯示，攻擊者只竊取了數(shù)據(jù)庫(kù)中約5%的數(shù)據(jù)。有分析認(rèn)為，LockBit之所以開出如此高額贖金，與在攻擊發(fā)生時(shí)瑞典汽車制造商 Hedin Group 正以4億英鎊巨資收購(gòu)Pendragon有關(guān)。

2.電信公司 Intrado勒索攻擊事件，贖金金額：6000萬美元

2022年12月，Royal勒索軟件聲稱對(duì)電信公司Intrado發(fā)動(dòng)網(wǎng)絡(luò)勒索攻擊，并從受感染的設(shè)備中獲取了公司內(nèi)部文件、員工個(gè)人信息等，并發(fā)布了一個(gè)52.8 MB的樣本，其中包含護(hù)照、商業(yè)文件和駕駛執(zhí)照的掃描件。Royal以將泄露更多數(shù)據(jù)為威脅，要求Intrado支付高達(dá)6000萬美元的巨額贖金。這一事件甚至驚動(dòng)了美國(guó)衛(wèi)生與公眾服務(wù)部 (HHS)，其發(fā)言人表示對(duì)Intrado 因攻擊導(dǎo)致服務(wù)中斷“不可接受”，將繼續(xù)調(diào)查其中的根本原因。據(jù)悉，攻擊最開始發(fā)生于12月1日，但直到12月末受影響的服務(wù)也未完全恢復(fù)，還存在一些間歇性問題，目前也尚未有關(guān)于是否支付贖金的后續(xù)報(bào)道。

3.德國(guó)跨國(guó)汽車巨頭大陸集團(tuán)勒索攻擊事件，贖金金額：4000萬美元

2022年11月，LockBit 勒索軟件宣布他們成功竊取了德國(guó)跨國(guó)汽車集團(tuán)大陸集團(tuán)（Continental）系統(tǒng)中的一些數(shù)據(jù)，并要求在規(guī)定的時(shí)間內(nèi)支付贖金。據(jù)悉，被竊取的數(shù)據(jù)達(dá)到了40TB，包含監(jiān)事會(huì)會(huì)議記錄和決議草案等內(nèi)容，甚至也涉及汽車合作伙伴大眾、寶馬和梅賽德斯的敏感信息。為了促使大陸集團(tuán)支付贖金，LockBit將最開始提出5000萬美元勒索贖金降至了4000萬美元，但大陸集團(tuán)仍表示“拒絕支付”，認(rèn)為支付贖金是在資助“對(duì)關(guān)鍵基礎(chǔ)設(shè)施安全的持續(xù)攻擊”，隨后，LockBit已在其暗網(wǎng)上以 5000 萬美元的價(jià)格出售這些數(shù)據(jù)。這一事件所造成的后續(xù)影響目前還不明朗，但員工代表已在事發(fā)后寫信給董事會(huì)，要求澄清網(wǎng)絡(luò)事件并評(píng)估攻擊可能對(duì)員工造成的后果。

4.哥斯達(dá)黎加政府勒索攻擊事件，贖金金額：2000萬美元

2022年4月中旬，Conti勒索軟件開始攻擊哥斯達(dá)黎加政府，導(dǎo)致財(cái)政部覆蓋國(guó)內(nèi)大部分公職人員的支付系統(tǒng)關(guān)停數(shù)小時(shí)，該系統(tǒng)同時(shí)也負(fù)責(zé)處理政府的養(yǎng)老金支付服務(wù)，財(cái)政部不得不批準(zhǔn)延期納稅政策。此輪攻擊隨后也波及從事進(jìn)出口事務(wù)的相關(guān)部門，包括稅務(wù)和海關(guān)在內(nèi)的一些平臺(tái)連續(xù)第四天暫停運(yùn)營(yíng)。Conti最先向哥斯達(dá)黎加政府開出1000萬美元贖金，但被拒絕，隨后便發(fā)動(dòng)了更大規(guī)模攻擊，揚(yáng)言“決心通過網(wǎng)絡(luò)攻擊推翻政府”，贖金也暴漲至2000萬。據(jù)外媒報(bào)道，截至5月9日，Conti竊取了近700GB來自哥斯達(dá)尼加各政府部門的重要數(shù)據(jù)，并已將絕大部分泄露至網(wǎng)絡(luò)，給該國(guó)帶來嚴(yán)重的國(guó)家安全威脅，甚至迫使該國(guó)總統(tǒng)一度宣布國(guó)家進(jìn)入緊急狀態(tài)。

Conti所竊取的哥斯達(dá)黎加政府?dāng)?shù)據(jù)

5.臺(tái)達(dá)電子勒索攻擊事件，贖金金額：1500萬美元

2022年1月，位于中國(guó)臺(tái)灣的蘋果、特斯拉電源部件供應(yīng)商臺(tái)達(dá)電子發(fā)表聲明稱受到了勒索軟件攻擊，攻擊與Conti勒索軟件有關(guān)。盡管臺(tái)達(dá)電子官方宣稱攻擊并未影響其核心生產(chǎn)系統(tǒng)，但據(jù)當(dāng)?shù)孛襟w報(bào)道，記者已獲得一份內(nèi)部事件報(bào)告副本，報(bào)告數(shù)據(jù)顯示這次攻擊實(shí)際情形嚴(yán)峻，有1500多臺(tái)服務(wù)器和12000多臺(tái)計(jì)算機(jī)被加密，而攻擊者也開出了1500萬美元的贖金要求。有內(nèi)部消息稱，為了盡可能減少損失，臺(tái)達(dá)電子與攻擊者就可能的贖金付款進(jìn)行了談判，但最終是否支付了贖金，目前還不得而知。

6.黑山政府勒索攻擊事件，贖金金額：1000萬美元

2022年9月，黑山政府關(guān)鍵基礎(chǔ)設(shè)施遭到了來自Cuba勒索軟件的攻擊，超過10個(gè)政府機(jī)構(gòu)的150多個(gè)工作站無法訪問，公共行政部長(zhǎng)在當(dāng)?shù)仉娨暸_(tái)透露了贖金金額為1000萬美元。Cuba宣稱從黑山政府機(jī)構(gòu)獲得了財(cái)務(wù)文件、與銀行雇員的通信、賬戶變動(dòng)信息、資產(chǎn)負(fù)債表、稅務(wù)文件、賠償金乃至源代碼，如果不支付贖金將免費(fèi)發(fā)布這些數(shù)據(jù)供任何人下載。黑山國(guó)家安全局（ANB）證實(shí)了此次攻擊，其目標(biāo)是政府系統(tǒng)和其他關(guān)鍵的基礎(chǔ)設(shè)施和公用事業(yè)，包括電力、水系統(tǒng)和交通系統(tǒng)。ANB將這次攻擊歸咎于俄羅斯協(xié)調(diào)的對(duì)抗行為，自黑山于2017年加入北約以來，兩國(guó)的關(guān)系便一直處于緊張狀態(tài)。

公共行政部長(zhǎng) Maras Dukaj 在當(dāng)?shù)仉娨暸_(tái)接受采訪時(shí)透露了贖金金額

7.法國(guó)巴黎的南法蘭西林中心醫(yī)院勒索攻擊事件，贖金金額：1000萬美元

2022年8月，法國(guó)巴黎的南法蘭西林中心醫(yī)院(CHSF)遭到疑似LockBit 勒索軟件的攻擊，醫(yī)院的業(yè)務(wù)軟件、存儲(chǔ)系統(tǒng)（特別是醫(yī)學(xué)成像）和與患者相關(guān)的信息系統(tǒng)暫時(shí)無法訪問，一些患者不得不被轉(zhuǎn)診到其他醫(yī)療機(jī)構(gòu)并推遲手術(shù)預(yù)約。據(jù)法國(guó)世界報(bào)《Le Monde》報(bào)道，該醫(yī)院被要求支付1000萬美元贖金來?yè)Q取解密密鑰，但隨后醫(yī)院明確表示將拒絕支付。之后，近12GB的患者和工作人員數(shù)據(jù)被泄露，內(nèi)容包括患者社會(huì)安全號(hào)碼、實(shí)驗(yàn)室報(bào)告和其他一些健康數(shù)據(jù)。

8.Ward Hadaway律師事務(wù)所勒索攻擊事件，贖金金額：600萬美元

2022年3月，全球排名Top 100的英國(guó)律師事務(wù)所Ward Hadaway被不明黑客勒索，并要求支付價(jià)值600萬美元的比特幣。如果不能在一周內(nèi)先支付價(jià)值300萬美元的比特幣，黑客將公開所竊取的機(jī)密數(shù)據(jù)。黑客還向 Ward Hadaway 發(fā)送了一份在攻擊中被復(fù)制的數(shù)據(jù)和文件列表，其中一些已經(jīng)以加密形式上傳到網(wǎng)絡(luò)上。事后，包括代表機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)在內(nèi)的律師協(xié)會(huì)總理事會(huì) (GCB)卻認(rèn)為“沒有丟失任何數(shù)據(jù)“，但業(yè)務(wù)確實(shí)受到影響，正與網(wǎng)絡(luò)安全單位合作清理并恢復(fù)所有系統(tǒng)。

9.奧地利卡林西亞州政府勒索攻擊事件，贖金金額：500萬美元

2022年5月，Black Cat勒索軟件聲稱獲取了奧地利卡林西亞州政府的敏感數(shù)據(jù)和解密軟件訪問權(quán)限，并向其索要價(jià)值500萬美元的比特幣來解鎖加密的計(jì)算機(jī)系統(tǒng)。攻擊者加密了數(shù)千個(gè)政府機(jī)構(gòu)的工作站，導(dǎo)致政府服務(wù)嚴(yán)重中斷，州政府網(wǎng)站和電子郵件服務(wù)也一度暫時(shí)關(guān)閉，導(dǎo)致政府無法發(fā)放新護(hù)照或交通罰單。攻擊還壞了通過該地區(qū)行政辦公室進(jìn)行的新冠病毒測(cè)試和接觸者的流調(diào)工作。但州政府拒絕了支付贖金，理由是沒有證據(jù)表明Black Cat已經(jīng)從其系統(tǒng)中獲取敏感性數(shù)據(jù)，而且州政府能夠使用可訪問的備份來恢復(fù)工作站運(yùn)行。

10.意大利鐵路公司Trenitalia勒索攻擊事件，贖金金額：500萬美元

2022年3月，意大利鐵路Trenitalia系統(tǒng)遭到Hive勒索軟件攻擊，導(dǎo)致鐵路公司的車站售票系統(tǒng)完全癱瘓，乘客無法在車站人工售票處或自動(dòng)售票柜臺(tái)購(gòu)買車票，但仍然可以在線購(gòu)買車票。Hive組織提出了500萬美元的比特幣贖金要求，期限為三天，否則金額將翻倍至1000萬美元。目前還不清楚Trenitalia最終是否支付了贖金。

勒索軟件攻擊特點(diǎn)勒索軟件并非一定青睞大型企業(yè)組織

過去勒索軟件被認(rèn)為更加青睞大型企業(yè)或組織，除了有助于迅速提升自身知名度，攻擊勒索這些財(cái)力雄厚的實(shí)體往往也更容易獲得高額贖金，但現(xiàn)在勒索軟件同樣開始重視中小企業(yè)。根據(jù)SpyCloud發(fā)布的《2022年勒索軟件防御報(bào)告》顯示，在規(guī)模為500-999人的企業(yè)中，89%的企業(yè)表示遭受過勒索軟件攻擊，規(guī)模為1000-9999人的企業(yè)中，這一比例為91.5%，這些相比2021年均出現(xiàn)了9%-25%的顯著增幅。在本文盤點(diǎn)的Top 10中，也確實(shí)出現(xiàn)了諸如律師事務(wù)所、地方醫(yī)院等被勒索高額贖金的案例。

不同人數(shù)規(guī)模企業(yè)受到至少一次勒索軟件攻擊的比例分布（SpyCloud）

支付贖金也并不安穩(wěn)

在遭受勒索攻擊后，有相當(dāng)一部分企業(yè)組織最終會(huì)妥協(xié)并支付贖金，根據(jù)《2022年勒索軟件防御報(bào)告》，這一比例達(dá)到了65%。但支付了贖金并不代表就一定能恢復(fù)數(shù)據(jù)，報(bào)告顯示，在支付了贖金的企業(yè)組織中，仍有約三分之一僅能恢復(fù)部分?jǐn)?shù)據(jù)。

當(dāng)然，贖金金額往往也只是企業(yè)在勒索攻擊中所承擔(dān)損失的一個(gè)“縮影”，被加密、泄露數(shù)據(jù)的價(jià)值并不能通過贖金額度得到充分體現(xiàn)，即使最終數(shù)據(jù)通過備份恢復(fù)、也未向攻擊者支付贖金，但企業(yè)組織通過各種手段排查漏洞、修復(fù)業(yè)務(wù)、挽回聲譽(yù)等產(chǎn)生的開銷往往同樣巨大。報(bào)告顯示，在私營(yíng)企業(yè)當(dāng)中，90%的都因?yàn)槔账鬈浖舳鴷簳r(shí)中斷了運(yùn)營(yíng)，86%為此產(chǎn)生了財(cái)務(wù)損失。

企業(yè)選擇支付贖金及數(shù)據(jù)恢復(fù)情況比例統(tǒng)計(jì)（SpyCloud）

2021年7月，客戶關(guān)系管理 (CRM) 服務(wù)提供商 Atento曾遭到LockBit勒索軟件的攻擊，在拒絕支付贖金、相關(guān)數(shù)據(jù)隨后遭到泄露的情況下，這家企業(yè)為恢復(fù)中斷的業(yè)務(wù)、加強(qiáng)網(wǎng)絡(luò)安全性、保護(hù)數(shù)據(jù)、及時(shí)檢測(cè)威脅和實(shí)施有效補(bǔ)救措施相關(guān)的支出就高達(dá)4210萬美元，可見企業(yè)為勒索軟件攻擊付出的額外成本不可小視。

總體來說，勒索軟件會(huì)“看人下菜”，根據(jù)目標(biāo)實(shí)力和支付概率給出相應(yīng)的贖金，但隨著RaaS模式讓勒索攻擊變得更加強(qiáng)大的同時(shí)，也讓技術(shù)門檻大幅降低，大型勒索組織憑借自身平臺(tái)實(shí)力不斷吸引其他黑客“入伙”，而“買馬”的關(guān)鍵在哪？越高的贖金收入無疑是最好的宣傳，高額贖金恐將成為趨勢(shì)，讓企業(yè)組織越發(fā)難以承受。為此，企業(yè)需要不斷提高安全水位，提高自身“打持久戰(zhàn)”的實(shí)力，盡力在遭受攻擊時(shí)減小損失。