剛剛過(guò)去的2023年，勒索軟件活動(dòng)迎來(lái)了堪稱“大爆發(fā)”式的增長(zhǎng)，根據(jù)Zscaler發(fā)布的《2023 年全球勒索軟件報(bào)告》，僅截至2023年10月，全球勒索軟件攻擊數(shù)量同比增長(zhǎng)37.75%，勒索軟件的有效攻擊載荷激增了 57.50%?？梢灶A(yù)見，與之伴隨的大量贖金勒索正給企業(yè)帶來(lái)困擾。

但實(shí)際上，與勒索軟件攻擊上升趨勢(shì)相反，2023年度贖金支付總額降低了20%，勒索事件救助商Coveware首席執(zhí)行官Bill Siegel表示，人們面對(duì)網(wǎng)絡(luò)勒索的安全意識(shí)不斷提高，許多企業(yè)已經(jīng)投資進(jìn)行緊急事件響應(yīng)培訓(xùn)，從而減少黑客勒索帶來(lái)的損失。此外，一些國(guó)家和地區(qū)也正立法將支付贖金列為違法行為，導(dǎo)致一些企業(yè)被勒索后能夠第一時(shí)間光明正大地尋求執(zhí)法機(jī)構(gòu)幫助并拒絕支付贖金。

但勒索軟件不會(huì)就此罷休，一些高價(jià)值目標(biāo)成為它們集火的對(duì)象。這一趨勢(shì)促成了贖金的平均數(shù)額在2023年第三季度的增長(zhǎng)，達(dá)到了85.1萬(wàn)美元。FreeBuf也通過(guò)與2022年度的盤點(diǎn)相對(duì)比，發(fā)現(xiàn)已公開的最高贖金金額從6000萬(wàn)美元上漲到了8000萬(wàn)美元。為了盡可能地榨取贖金，一些勒索軟件組織態(tài)度也越發(fā)堅(jiān)決，容不得企業(yè)過(guò)多地周旋或討價(jià)還價(jià)。

本文根據(jù)公開的贖金勒索信息，整合相關(guān)公開報(bào)道與資料，盤點(diǎn)2023年度贖金勒索TOP10。注：勒索金額未公開的事件不在此次盤點(diǎn)范圍內(nèi)。

2023年度勒索軟件攻擊贖金TOP10盤點(diǎn)

英國(guó)皇家郵政遭LockBit勒索軟件攻擊，贖金金額：8000萬(wàn)美元

1月12日，英國(guó)皇家郵政遭LockBit勒索軟件組織攻擊，致使包裹和信件的國(guó)際運(yùn)輸陷入停頓。在事件發(fā)生兩周后，LockBit向?qū)Ψ剿饕哌_(dá)8000萬(wàn)美元贖金。媒體公開報(bào)道顯示，勒索軟件加密了用于國(guó)際運(yùn)輸?shù)脑O(shè)備，并在用于海關(guān)備案的打印機(jī)上打印勒索贖金票據(jù)。

最終皇家郵政拒絕支付這一堪稱“荒謬”的贖金，并聘請(qǐng)了第三方網(wǎng)絡(luò)專家協(xié)助調(diào)查和恢復(fù)業(yè)務(wù)。但該事件讓皇家郵政蒙受了嚴(yán)重?fù)p失，截至2023年9月，國(guó)際分銷服務(wù)業(yè)務(wù)收入同比下降了6.5%。

技術(shù)服務(wù)巨頭CDW遭LockBit勒索軟件攻擊，贖金金額：8000萬(wàn)美元

10月中旬， LockBit聲稱入侵了全球最大的技術(shù)服務(wù)巨頭之一CDW，要求支付8000萬(wàn)美元贖金，但CDW最終只同意支付了100萬(wàn)美元，LockBit對(duì)此稱一家價(jià)值 200 億美元的納斯達(dá)克上市企業(yè)僅支付100萬(wàn)美元贖金具有“侮辱性 ”，并最終在贖金支付倒計(jì)時(shí)結(jié)束后泄露了部分?jǐn)?shù)據(jù)。

該公司事后表示，其系統(tǒng)仍然正常運(yùn)行，已知曉在暗網(wǎng)上泄露了一些數(shù)據(jù)，并正在審查這些數(shù)據(jù)，將采取適當(dāng)?shù)拇胧┳龀龌貞?yīng)，包括直接通知受影響客戶。

臺(tái)積電遭LockBit勒索軟件攻擊，贖金金額：7000萬(wàn)美元

6月29日，LockBit將全球最大晶圓代工廠臺(tái)積電添加到了受害者名單中，并索要7000萬(wàn)美元贖金，否則將網(wǎng)絡(luò)入口點(diǎn)、密碼和相關(guān)機(jī)密信息等，這將危及臺(tái)積電及其大客戶蘋果、高通和英偉達(dá)等。

6月30日，臺(tái)積電回應(yīng)稱，已知泄露的皆為某供應(yīng)商硬件初始設(shè)定資料，事件不會(huì)影響公司生產(chǎn)營(yíng)運(yùn)，亦無(wú)公司客戶之相關(guān)資訊外泄。事發(fā)后，臺(tái)積電已經(jīng)立即根據(jù)公司的安全協(xié)議和標(biāo)準(zhǔn)操作程序終止與該相關(guān)供應(yīng)商的數(shù)據(jù)交換。

智能建筑企業(yè)江森自控國(guó)際公司遭Dark Angels勒索軟件攻擊，贖金金額：5100萬(wàn)美元

9月下旬，國(guó)際領(lǐng)先的智能建筑領(lǐng)域企業(yè)江森自控國(guó)際公司遭受了Dark Angels勒索軟件攻擊，該攻擊對(duì)公司的許多設(shè)備（包括 VMware ESXi 服務(wù)器）進(jìn)行了加密，影響了公司及其子公司的運(yùn)營(yíng)。攻擊者聲稱竊取了超過(guò) 27 TB 的公司數(shù)據(jù)，并索要5100萬(wàn)美元贖金。

Dark Angels是一個(gè)較為新近的勒索軟件組織，自2022年5月開始活動(dòng)，并于2023 年4月推出了一個(gè)名為“Dunghill Leaks”的數(shù)據(jù)泄露網(wǎng)站，用于勒索受害者，威脅稱如果不支付贖金，就會(huì)泄露數(shù)據(jù)。

印度尼西亞 BSI 銀行遭LockBit勒索軟件攻擊，贖金金額：2000萬(wàn)美元

5月初，印度尼西亞 BSI 銀行遭LockBit勒索軟件攻擊，導(dǎo)致網(wǎng)絡(luò)出現(xiàn)中斷，但該銀行最初向外界聲稱中斷是由于對(duì)網(wǎng)絡(luò)進(jìn)行維護(hù)，LockBit 回應(yīng)稱這是在撒謊。16日，在與該銀行的談判疑似破裂后，LockBit公布了所竊取的1.5 TB 個(gè)人和財(cái)務(wù)信息，以及5 月 8 日至 13 日期間與銀行代表的談判細(xì)節(jié)。

據(jù)悉，BSI 銀行愿意以1000萬(wàn)美元的贖金來(lái)恢復(fù)數(shù)據(jù)，但LockBit索要的金額為2000萬(wàn)美元。

美國(guó)最大博彩娛樂(lè)集團(tuán)遭遇勒索攻擊，贖金金額：1500萬(wàn)美元

9月7日，美國(guó)最大的博彩娛樂(lè)集團(tuán)——?jiǎng)P撒娛樂(lè)遭遇了一次網(wǎng)絡(luò)攻擊，黑客入侵了其數(shù)據(jù)庫(kù)，據(jù)悉該數(shù)據(jù)庫(kù)存儲(chǔ)了眾多客戶的駕照號(hào)碼和社會(huì)安全號(hào)碼9月14日，凱撒公司向美國(guó)證券交易委員會(huì)提交了一份8-K表，其中寫道：“我們?nèi)栽谡{(diào)查未經(jīng)授權(quán)的行為者獲取的文件中，究竟包含了多少敏感信息?！?/p>

據(jù)《華爾街日?qǐng)?bào)》的報(bào)道，為避免這些客戶數(shù)據(jù)在網(wǎng)上泄露，該公司選擇支付1500萬(wàn)美元贖金，這是最初黑客索要的3000萬(wàn)美元贖金的一半。

拳頭公司旗下游戲源代碼被黑客泄露，贖金金額：1000萬(wàn)美元

1月24日，拳頭公司在Twitter上發(fā)布公告，遭遇了黑客攻擊，旗下游戲英雄聯(lián)盟、云頂之弈以及反作弊平臺(tái)的源代碼被盜。攻擊者索要1000萬(wàn)美元贖金，但拳頭公司態(tài)度堅(jiān)決地表示拒絕支付。隨后，攻擊者在暗網(wǎng)論壇以100萬(wàn)美元起拍英雄聯(lián)盟和反作弊平臺(tái)的源代碼。

拳頭公司稱被盜的源代碼包含仍處于原型階段的“實(shí)驗(yàn)性功能”，不一定會(huì)正式向公眾發(fā)布。它還承認(rèn)源代碼泄漏可能會(huì)導(dǎo)致新的游戲內(nèi)作弊，但指出它現(xiàn)在正在積極努力解決這個(gè)問(wèn)題。

美國(guó)牙科機(jī)構(gòu)MCNA遭LockBit勒索軟件攻擊，贖金金額：1000萬(wàn)美元

3月7日，美國(guó)牙科機(jī)構(gòu)MCNA遭LockBit勒索軟件攻擊，并索要1000萬(wàn)美元贖金，否則將公布從 MCNA 網(wǎng)絡(luò)竊取的 700GB 敏感機(jī)密信息。4月7日，LockBit 在其網(wǎng)站上發(fā)布了所有數(shù)據(jù)，可供任何人下載，意味著MCNA并未支付贖金。

根據(jù)MCNA發(fā)布的通知，有將近900 萬(wàn)患者的個(gè)人數(shù)據(jù)遭到了泄露，并表示已采取一切適當(dāng)措施加以補(bǔ)救，并努力增強(qiáng)系統(tǒng)安全性以防止未來(lái)發(fā)生類似事件。該公司還聯(lián)系了執(zhí)法部門，希望防止被盜信息遭到濫用。

西部數(shù)據(jù)遭黑客勒索攻擊，贖金金額：1000萬(wàn)美元起

2023年3月26日，一個(gè)未經(jīng)授權(quán)的組織獲取了西部數(shù)據(jù)數(shù)據(jù)庫(kù)的副本，其中包含在線商店客戶的有限個(gè)人信息。據(jù)TechCrunch報(bào)道，一個(gè)“未命名”的黑客組織聲稱竊取了多達(dá)10TB的數(shù)據(jù)，并索取“至少 8 位數(shù)”的贖金。西部數(shù)據(jù)表示，在一些系統(tǒng)出現(xiàn)漏洞導(dǎo)致部分業(yè)務(wù)運(yùn)營(yíng)中斷后，該公司正在調(diào)查一起網(wǎng)絡(luò)安全事件。

黑客于4月18 日發(fā)出最后通牒，要求支付贖金，否則將面臨“重要文件”被泄露的風(fēng)險(xiǎn)。目前尚無(wú)是否已支付贖金的后續(xù)報(bào)道。

豐田遭Medusa勒索軟件攻擊，贖金金額：800萬(wàn)美元

11月17日，豐田金融服務(wù)公司（TFS）發(fā)布消息，稱遭受了數(shù)據(jù)泄露，并暴露了敏感的個(gè)人信息和財(cái)務(wù)數(shù)據(jù)。Medusa（美杜莎）勒索軟件組織聲稱是此次攻擊的發(fā)起者，索要800萬(wàn)美元贖金，并聲明可以延期，但需每天額外支付1萬(wàn)美元。

豐田汽車在媒體問(wèn)詢時(shí)承認(rèn)“豐田歐洲和非洲金融服務(wù)公司發(fā)現(xiàn)了未經(jīng)授權(quán)的訪問(wèn)，受影響的系統(tǒng)已下線，豐田汽車已與執(zhí)法機(jī)構(gòu)合作開展事件調(diào)查，本次事件影響范圍僅限于豐田金融的歐洲和非洲地區(qū)。”目前尚無(wú)是否已支付贖金的后續(xù)報(bào)道。

總結(jié)

無(wú)論是針對(duì)的企業(yè)類型還是索要贖金額度，2023年勒索軟件在贖金上的攻勢(shì)無(wú)疑更加“激進(jìn)”，但所引起的“反彈”作用也開始凸顯，總體可以歸納為如下幾點(diǎn)：

受害企業(yè)多為TOP級(jí)且遍及多個(gè)行業(yè)

從盤點(diǎn)的TOP10事件中可以看出，受害企業(yè)遍及郵政和物流、技術(shù)服務(wù)、半導(dǎo)體、智能建筑、銀行和金融、博彩娛樂(lè)、網(wǎng)絡(luò)游戲等多個(gè)行業(yè)，且絕大多數(shù)都是各行業(yè)中的龍頭企業(yè)，這些企業(yè)大多財(cái)力雄厚且用戶廣泛，更加注重自身信譽(yù)，自然成為勒索軟件理想化的攻擊目標(biāo)。

多家企業(yè)拒絕支付贖金

正如本文開篇所述，越來(lái)越多的企業(yè)在環(huán)境或政策的趨勢(shì)下開始拒絕支付贖金，所盤點(diǎn)的TOP10案例中，已有4家企業(yè)拒絕或者僅支付了少量贖金。拒絕支付贖金正越發(fā)被認(rèn)為是應(yīng)對(duì)軟件的“上策”，因?yàn)楫?dāng)支付贖金被所在的國(guó)家判定為違法行為時(shí)，還會(huì)在監(jiān)管上再度蒙受損失和懲罰。

此外，一些勒索軟件組織會(huì)公開宣布已經(jīng)收到的贖金，對(duì)企業(yè)客戶而言無(wú)疑又是一次信譽(yù)的損失。

備份數(shù)據(jù)開始成為重災(zāi)區(qū)

在遭受勒索軟件攻擊后，企業(yè)通常會(huì)選擇支付贖金或從備份中恢復(fù)數(shù)據(jù)。但為了盡可能地讓企業(yè)交出贖金，勒索軟件開始針對(duì)企業(yè)的備份數(shù)據(jù)。根據(jù)《Veeam 2023年勒索軟件趨勢(shì)報(bào)告》，93%的攻擊行為都試圖攻擊備份存儲(chǔ)庫(kù)，導(dǎo)致75%的企業(yè)在攻擊期間至少丟失了部分備份存儲(chǔ)庫(kù)，而超過(guò)三分之一(39%)的備份存儲(chǔ)庫(kù)則完全丟失。備份數(shù)據(jù)的可靠性不僅成為是否繳納贖金的籌碼，也是企業(yè)能否從勒索攻擊中迅速恢復(fù)的重要保障。

LockBit一絕騎塵

毫無(wú)疑問(wèn)，LockBit勒索軟件成為已公開贖金案例中最大的贏家，僅在TOP10中就占據(jù)了一半，且包攬了贖金排行榜前三。根據(jù)美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 的記錄顯示，自 2020 年 1 月以來(lái)，LockBit及其附屬機(jī)構(gòu)攻擊了一系列關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域內(nèi)不同規(guī)模的組織，包括金融服務(wù)、食品和農(nóng)業(yè)、教育、能源、政府和緊急服務(wù)、醫(yī)療保健、制造和運(yùn)輸。

而根據(jù)ZeroFox 的一份報(bào)告，LockBit已經(jīng)是全球所有地區(qū)、幾乎所有行業(yè)面臨的最主要勒索軟件組織，在 2022 年 1 月至 2023 年 9 月分析的7個(gè)季度中，超過(guò)四分之一的勒索軟件事件都由LockBit實(shí)施或參與。

不可否認(rèn)，在勒索軟件產(chǎn)業(yè)鏈走向成熟的當(dāng)下，這些網(wǎng)絡(luò)犯罪組織所針對(duì)的目標(biāo)不僅越發(fā)廣泛，技術(shù)也在不斷推陳出新，企業(yè)的所遭受的贖金勒索恐將“沒(méi)有最高，只有更高”，在不斷強(qiáng)化自身防御意識(shí)和手段的前提下，企業(yè)勢(shì)必也要時(shí)刻做好和勒索軟件打持久戰(zhàn)的準(zhǔn)備。