2023年以來，全球勒索軟件威脅形勢持續(xù)惡化，各種類型的勒索攻擊規(guī)模和破壞性均有明顯增長，這嚴(yán)重威脅了企業(yè)組織數(shù)字化業(yè)務(wù)的穩(wěn)定開展。

研究人員還發(fā)現(xiàn)，2023年勒索軟件攻擊在實(shí)施策略上相比以往也有了顯著變化，攻擊者不再以加密數(shù)據(jù)的方式來索要贖金，而是更傾向于盜竊數(shù)據(jù)，然后以數(shù)據(jù)公開或售賣等形式對(duì)企業(yè)進(jìn)行勒索。這一變化表明勒索攻擊者的犯罪手法在不斷翻新，企業(yè)需要更加關(guān)注對(duì)新型勒索方式的防御，以應(yīng)對(duì)不斷演變的勒索軟件威脅。本文梳理了2023年所發(fā)生的12起代表性勒索軟件攻擊事件，并對(duì)其影響進(jìn)行了分析。

1、2023年1月：英國皇家郵政遭受LockBit勒索攻擊

2023年1月，LockBit勒索攻擊團(tuán)伙對(duì)英國皇家郵政發(fā)起了攻擊，并索要8000 萬美元贖金。由于皇家郵政最終未滿足攻擊者的贖金要求，該攻擊導(dǎo)致其國際郵件投遞服務(wù)癱瘓，數(shù)百萬封信件和包裹滯留在該公司的系統(tǒng)中。

1月12日，皇家郵政聲稱，網(wǎng)絡(luò)攻擊事件迫使他們停止了國際郵政服務(wù)。盡管公司聘請(qǐng)了專業(yè)機(jī)構(gòu)幫助恢復(fù)業(yè)務(wù)，但遺憾的是，勒索攻擊的影響一直在持續(xù)。國際分銷服務(wù)業(yè)務(wù)(包括皇家郵政和GLS)的半年財(cái)務(wù)報(bào)告顯示，截至2023年9月，公司收入同比下降6.5%，給出的原因正是工業(yè)行動(dòng)和勒索軟件入侵。

打印機(jī)在皇家郵政分發(fā)中心大量打印的LockBit勒索提示

2、2023年2月：ESXiArgs對(duì)全球VMware ESXi服務(wù)器進(jìn)行攻擊

2月份，勒索軟件團(tuán)伙ESXiArgs通過利用VMware ESXi服務(wù)器中的RCE漏洞（CVE-2021-21974），進(jìn)行了一次大規(guī)模的自動(dòng)化勒索軟件攻擊行動(dòng)，影響了全球超過3000臺(tái)VMware ESXi服務(wù)器。雖然VMware公司在2021年初就發(fā)布了針對(duì)這個(gè)漏洞的補(bǔ)丁，但攻擊仍然導(dǎo)致眾多的服務(wù)器被加密。攻擊者要求每個(gè)受害者支付約2比特幣（當(dāng)時(shí)約值45,000美元）。

在攻擊開始幾天后，黑客釋放了一種新的加密惡意軟件變種，使恢復(fù)被加密的虛擬機(jī)變得更加困難。為了使自己的活動(dòng)更難追蹤，他們還停止提供勒索錢包地址，促使受害者通過P2P通信工具Tox進(jìn)行隱秘聯(lián)系。

ESXiArgs勒索軟件攻擊提出的贖金要求

3、2023年3月：Clop團(tuán)伙利用GoAnywhere MFT中的零日漏洞

2023年3月，Clop勒索團(tuán)伙開始廣泛利用Fortra  GoAnywhere MFT（托管文件傳輸）工具中的一個(gè)零日漏洞發(fā)起廣泛性勒索攻擊。這次攻擊影響了100多家易受攻擊的GoAnywhere MFT服務(wù)器，其中包括寶潔公司、多倫多市政府和美國最大的醫(yī)療保健提供商Community Health Systems。

連接到互聯(lián)網(wǎng)的GoAnywhere MFT服務(wù)器的地圖

4、2023年4月：NCR Aloha POS終端系統(tǒng)因?yàn)槔账鞴舭c瘓

4月份，ALPHV團(tuán)伙（又名BlackCat）對(duì)美國NCR公司發(fā)起勒索攻擊，該公司是一家專門從事ATM、條碼閱讀器、支付終端和其他零售和銀行設(shè)備制造和維修的公司。這次攻擊導(dǎo)致Aloha POS平臺(tái)數(shù)據(jù)中心關(guān)閉了數(shù)天。由于該平臺(tái)實(shí)質(zhì)上是一個(gè)全面的餐飲運(yùn)營管理系統(tǒng)，涵蓋從支付處理、接收在線訂單、廚房菜品準(zhǔn)備和工資核算等各個(gè)方面。由于NCR遭受了勒索軟件攻擊，許多餐飲公司被迫回歸紙筆運(yùn)營方式。

ALPHV/BlackCat團(tuán)伙使NCR Aloha POS平臺(tái)癱瘓

5、2023年5月：達(dá)拉斯市遭受勒索軟件攻擊

2023年5月初，美國德克薩斯州達(dá)拉斯市遭受了來自Royal皇家勒索團(tuán)伙的勒索攻擊，導(dǎo)致其多項(xiàng)市政服務(wù)中斷。據(jù)官方確認(rèn)，達(dá)拉斯市許多應(yīng)用系統(tǒng)服務(wù)器被勒索軟件破壞，影響了多個(gè)功能區(qū)域，包括達(dá)拉斯警察局網(wǎng)站。由于此次攻擊，26212名德州居民和共計(jì)30253名個(gè)人的私人信息被曝光。根據(jù)德州總檢察長網(wǎng)站信息顯示，泄露的信息包括姓名、地址、社會(huì)保障信息、健康信息、健康保險(xiǎn)信息等內(nèi)容。

通過達(dá)拉斯市網(wǎng)絡(luò)打印機(jī)輸出的攻擊勒索信息

6、2023年6月：Clop組織利用MOVEit Transfer漏洞發(fā)動(dòng)大規(guī)模攻擊

毫無疑問，Clop組織利用MOVEit中的零日漏洞所發(fā)起的勒索攻擊是2023年最受關(guān)注的勒索攻擊事件之一。該漏洞自 5 月 27 日左右開始被利用，并在接下來的幾周內(nèi)導(dǎo)致了多波數(shù)據(jù)泄露事件。攻擊所涉及的受害者名單約有600 個(gè)組織，另有數(shù)據(jù)統(tǒng)計(jì)顯示，最終有近4000 萬人受到此次攻擊的影響。研究人士認(rèn)為，此次攻擊具有“高度隨機(jī)性”，既沒有專注于“特定的高價(jià)值信息”，也沒有像之前針對(duì)美國政府機(jī)構(gòu)的網(wǎng)絡(luò)攻擊那樣具有破壞性。

Clop組織網(wǎng)站指示受影響的公司與他們進(jìn)行談判

7、2023年7月：夏威夷大學(xué)向NoEscape組織支付贖金

2023年7月，夏威夷大學(xué)承認(rèn)向NoEscape勒索軟件攻擊組織支付了贖金。據(jù)了解，NoEscape是一個(gè)相對(duì)較新的勒索攻擊組織，它們感染了夏威夷大學(xué)的社區(qū)學(xué)院，并竊取了65GB的隱私數(shù)據(jù)，并威脅將這些數(shù)據(jù)公開。為了保護(hù)28000名學(xué)生的個(gè)人信息不被泄露，夏威夷大學(xué)決定向勒索者支付贖金。

值得注意的是，為了阻止勒索軟件的傳播，夏威夷大學(xué)工作還臨時(shí)關(guān)閉了信息技術(shù)系統(tǒng)，其IT基礎(chǔ)設(shè)施在兩個(gè)月后才完全恢復(fù)正常。

NoEscape宣布對(duì)夏威夷大學(xué)的黑客攻擊

8、2023年8月：Rhysida組織攻擊醫(yī)療行業(yè)

2023年8月，Rhysida勒索軟件組織對(duì)美國多個(gè)州的醫(yī)院和診所發(fā)動(dòng)了一系列勒索攻擊。該組織聲稱已竊取了1TB的機(jī)密文件和1.3TB的SQL數(shù)據(jù)庫，其中包含了約50GB的病人隱私數(shù)據(jù)。Rhysida勒索軟件組織要求醫(yī)療信息系統(tǒng)服務(wù)商Prospect Medical Holdings支付贖金以恢復(fù)數(shù)據(jù)，并威脅將泄露受竊數(shù)據(jù)。

然而，Prospect Medical Holdings公司拒絕支付贖金，并與執(zhí)法機(jī)構(gòu)合作進(jìn)行調(diào)查。為了應(yīng)對(duì)此次攻擊，他們采取了緊急措施，包括隔離受感染的系統(tǒng)和從備份恢復(fù)數(shù)據(jù)。雖然恢復(fù)過程非常耗時(shí)和復(fù)雜，但最終成功地恢復(fù)了受影響系統(tǒng)的功能，并沒有向攻擊者支付贖金。

來自 Rhysida 集團(tuán)的贖金要求

9、2023年9月：BlackCat攻擊了凱撒和MGM賭場

2023年9月，勒索組織BlackCat 對(duì)拉斯維加斯兩個(gè)知名賭場集團(tuán)發(fā)起了勒索軟件攻擊。米高梅度假村報(bào)告稱，由于勒索軟件攻擊，導(dǎo)致服務(wù)中斷 36 小時(shí)，造成巨大的停機(jī)成本和財(cái)務(wù)損失。直到事件發(fā)生十天后，米高梅才宣布酒店和賭場恢復(fù)“正常運(yùn)營”。米高梅度假村襲擊事件爆發(fā)幾天后，凱撒娛樂公司也成為勒索襲擊的受害者。據(jù)凱撒公司的披露顯示，攻擊者非法訪問了“凱撒獎(jiǎng)勵(lì)”忠誠度數(shù)據(jù)庫，攻擊者最初要求支付 3000 萬美元的贖金，但凱撒通過談判最終將金額降至 1500 萬美元。

凱撒和米高梅擁有拉斯維加斯一半以上的賭場

10、2023年10月：BianLian勒索組織攻擊加拿大航空公司

2023年10月，BianLian勒索組織針對(duì)加拿大航空公司展開了勒索攻擊，并聲稱竊取了超過210GB的各種信息，包括員工/供應(yīng)商數(shù)據(jù)和機(jī)密文件。令人關(guān)注的是，攻擊者在本次攻擊中還意外竊取了航空公司的技術(shù)違規(guī)和現(xiàn)有安全問題等信息，這些信息的泄露可能對(duì)加拿大航空造成進(jìn)一步危害。

BianLian組織通過網(wǎng)站向加拿大航空勒索贖金

11、2023年11月：LockBit組織利用Citrix Bleed漏洞發(fā)起攻擊

11月份，LockBit組織利用Citrix Bleed漏洞進(jìn)行了一次大規(guī)模的勒索軟件攻擊。盡管該漏洞的補(bǔ)丁已經(jīng)提前發(fā)布，但仍有超過10,000個(gè)公開可訪問的服務(wù)器上存在漏洞。LockBit勒索軟件利用此漏洞入侵了數(shù)十家大型公司的系統(tǒng)，竊取數(shù)據(jù)并加密文件。而波音公司是其中一家知名受害者，攻擊者在未等待贖金支付的情況下公開了竊取的數(shù)據(jù)。

這一事件還嚴(yán)重影響了總部位于迪拜的重要物流公司DP World。DP World 澳洲分公司的業(yè)務(wù)信息系統(tǒng)遭到破壞，嚴(yán)重干擾了其物流運(yùn)營，導(dǎo)致約30,000個(gè)集裝箱滯留在澳大利亞港口。

LockBit勒索軟件的網(wǎng)站向波音公司勒索贖金

12、2023年12月：多國執(zhí)法部門聯(lián)合打擊ALPHV/BlackCat基礎(chǔ)設(shè)施

2023年，由FBI、美國司法部、歐洲警察組織（Europol）等多國執(zhí)法機(jī)構(gòu)展開聯(lián)合行動(dòng)，成功打擊了ALPHV/BlackCat勒索軟件組織對(duì)其基礎(chǔ)設(shè)施的控制權(quán)。通過這次行動(dòng)，成功幫助了全球500多家組織免受了勒索威脅，預(yù)計(jì)節(jié)省了約6,800萬美元的潛在贖金損失。

此外，有關(guān)該勒索軟件組織活動(dòng)的各種統(tǒng)計(jì)數(shù)據(jù)也被公之于眾。根據(jù)FBI公布的數(shù)據(jù)顯示，在該組織近兩年的活動(dòng)期間，成功侵入了1000多個(gè)企業(yè)組織，并向受害企業(yè)勒索了總計(jì)超過5億美元贖金，并實(shí)際收到了大約3億美元的贖金支付。

圖片

執(zhí)法機(jī)構(gòu)成功打擊了ALPHV/BlackCat勒索組織的基礎(chǔ)設(shè)施系統(tǒng)

參考來源：https://usa.kaspersky.com/blog/ransowmare-attacks-in-2023/29781/