随着2022年接近尾声,我们来回顾一下今年发生的14起重大勒索病毒攻击,它们都勒索了超过百万美元。总结这些勒索病毒攻击的目的是为了更好地洞察网络犯罪分子的策略和意图,从而更深入地了解勒索病毒的危害,更好地防范此类威胁。在勒索软件攻击的威胁下,没有一个组织是绝对安全的。因此,提前制定一个合适的勒索病毒事件响应计划至关重要。
1.哥斯达黎加政府
赎金:2000万美元
这是2022年最受关注的一次攻击,因为这是第一次一个国家宣布“国家紧急状态”来应对勒索病毒攻击。调查显示,从4月中旬到5月初,27个政府机构成为第一波攻击的目标。财政部的几万亿字节数据和800多台服务器受到影响,数字税务服务和海关控制信息技术系统瘫痪,这不仅影响了政府服务,也影响了从事进出口的私营部门。勒索软件组织Conti声称对这起袭击事件负责,并要求哥斯达黎加政府支付1000万美元的赎金,后来这一数字提高到2000万美元。5月31日,另一波袭击使该国的医疗保健系统陷入混乱。这次与蜂巢有关的攻击直接影响了哥斯达黎加的普通民众,因为它导致该国的医疗保健系统异常离线。这一系列针对哥斯达黎加政府的攻击清楚地表明了勒索软件攻击可能对政府组织造成的严重破坏性后果,这可能开启一个勒索软件的新时代。如果我们不在勒索病毒攻击的准备和缓解方面投入足够的资源,并为所有工作人员提供网络安全意识和技能培训来应对这种威胁,那么整个国家都可能因网络攻击而陷入瘫痪。
2.CHSF南方中心医院
赎金:1000万美元
今年8月,法国巴黎的一家医院Center Hospital Sud特许经营者(CHSF)遭遇网络攻击,迫使其将患者转诊至其他机构,并推迟了几项手术计划。据悉,CHSF为当地60万居民提供诊疗服务,因此其运营中断,对情况危急的患者造成严重的健康甚至生命威胁。CHSF在随后的公告中说,网络攻击导致医院的商业软件、存储系统(尤其是医学图像)以及与患者入院相关的信息系统暂时无法访问。勒索团伙要求医院支付1000万美元来换取解密密钥。研究人员在此次事件中发现了洛克比特3.0感染的迹象,国家宪兵部门随后介入调查,并开始追踪拉格纳洛克特和洛克比特。如果LockBit 3.0确实是CHSF攻击的幕后黑手,那么他们违反了RaaS的“行规”,即不得对医疗保健提供商的系统发起加密攻击。
3.黑山政府部门和国民议会
赎金:1000万美元
2022年9月,欧洲国家黑山的多个政府部门遭遇超大规模网络攻击,导致10多个政府机构的150多个工作站无法访问。该攻击将勒索软件与分布式拒绝服务(DDoS)结合在一起,不仅扰乱了政府服务,还迫使该国的电力系统受到手动控制。古巴勒索软件组织声称对此次袭击负有部分责任。他们利用古巴勒索软件感染黑山议会办公网络,在勒索门户网站上发布黑山议会的勒索通告,声称窃取了财务文件、银行通信内容、资产负债表、税务文件、赔偿甚至源代码。这些文档免费发布,任何人都可以下载。
4.沃德哈达威律师事务所
赎金:价值六百万美元的比特币
世界百强律师事务所沃德哈达威(Ward Hadaway)今年3月发现了一次网络攻击。一名匿名黑客警告称,如果一周内不支付300万美元,从其IT系统下载的文件和数据将在网上公布,逾期赎金将翻倍至600万美元。黑客还向沃德哈达威发送了一份在攻击中复制的数据和文件清单,其中一些已经以加密形式上传到互联网上。沃德哈达威的IT系统有很多机密信息,包括个人数据,有些甚至是非常敏感的个人数据。不过幸运的是,该公司的文件管理系统并没有受到勒索攻击的影响,因此这一事件并没有中断沃德哈达威的日常业务运营。
5.奥地利卡林西亚州政府
赎金:价值五百万美元的比特币
2022年5月,网络犯罪组织黑猫(又称ALPHV)声称从奥地利卡林西亚州政府获得了敏感数据和解密软件,并向其索要价值500万美元的比特币,以解锁加密的计算机系统。攻击者加密了数千个政府机构的工作站,导致政府服务严重中断。卡林西亚州政府的网站和电子邮件服务暂时关闭,使政府无法发放新护照或交通罚单。此外,袭击还阻碍了地区行政公署对新冠肺炎的防疫检测和接触者追踪工作。最终,政府拒绝支付赎金,理由是没有证据表明黑Ca从其系统中获取了敏感数据,州政府能够使用可访问备份恢复工作站运行。
6.意大利铁路公司
赎金:价值五百万美元的比特币
2022年3月,Hive勒索软件组织攻击了意大利铁路公司Trenitalia的计算机系统,影响了该公司员工的计算机和系统的正常运行。此外,与Trenitalia相连的票务系统Trenord也受到黑客攻击的影响。然而,通过防止受影响的门票销售,特雷诺系统可以保持相对正常的业务运作。蜂巢组织提出三天500万美元比特币的赎金要求,否则金额翻倍至1000万美元。目前还不清楚意大利铁路公司最终是否支付了赎金。
7.美国麦岭市的公共市政系统
赎金:500万美元
2022年8月,美国科罗拉多州麦林市的市政服务系统遭到勒索病毒攻击,导致电话、电子邮件系统和其他市政服务系统关闭超过一周。犯罪分子要求500万美元来解锁Mailing City的市政数据和计算机系统,并要求用无法追踪的加密货币Monero支付。据悉,这些数据和系统被一个神秘的海外勒索软件控制。但该市官员决定拒绝支付赎金,并与该市的IT专业人员合作,从可行的备份中恢复存储在该市网络中的文件。值得一提的是,这次攻击背后的恶意行为者也是黑猫组织。网络安全专家认为,黑猫勒索病毒极具攻击性和危害性。它是用一种叫做Rust的编程语言开发的,通常系统管理员很难找到。
8.意大利比萨大学
赎金:500万美元
2022年6月,意大利比萨大学成为黑猫的目标。攻击者要求学校管理层支付450万美元来恢复对锁定数据的访问。如果在规定时间内没有支付赎金,赎金数额将增加到500万美元。攻击者还窃取了比萨大学专用浏览器Tor上的一个聊天应用的独占访问权限,以访问黑暗网络,作为对赎金要求的回应。在这次攻击中,BlackCat使用了双重甚至三重勒索策略,威胁“如果你拿不到钱,就泄露关键信息”。对于受害者来说,这无疑是最糟糕的时刻。因为在此之前,巴勒莫的市政选举已经被勒索软件攻击严重扰乱。
9.罗马尼亚石油公司罗姆石油公司
赎金:两百万美元
2022年3月,罗马尼亚年产量超过500万吨的最大炼油厂Rompetrol成为蜂巢勒索组织的目标。由于这次攻击,Rompetrol被迫关闭了其网站和加油站的会员卡服务,但客户可以选择用现金或银行卡支付。据了解,这次攻击影响了该公司的大部分IT服务,Hive组织威胁称,除非Rompetrol支付200万美元的赎金,否则他们将泄露被盗数据。袭击发生前,Rompetrol的母公司KMG刚刚宣布,Rompetrol Rafinare将于3月11日至4月3日关闭,按计划进行技术改造。这一计划也受到了勒索袭击的影响。
10.法国服装公司达玛特
赎金:两百万美元
2022年9月,在全球拥有130多家店铺的法国服装品牌达玛特(Damart)遭到Hive的网络犯罪团伙攻击,索要200万美元赎金。这次攻击被证实访问了Damart的活动目录。尽管Damart主动关闭系统以保护他们,但这次网络攻击仍然影响了92家商店及其处理新订单的能力,无法提供客户支持服务。达马特没有直接与网络犯罪分子谈判,而是向国家警察通报了这一事件,这使得Hive不太可能收到赎金。目前尚不清楚Hive在网络入侵过程中是否成功窃取了达玛特公司的用户隐私等敏感数据。然而,该团伙过去曾成功采用“双重勒索”的策略,即在加密数据之前窃取数据。
11.Tifft地区医疗中心
赎金:115万美元
佐治亚州的Tifft地区医疗中心在2022年7月成为目标,但直到与Hive gang的谈判破裂,该事件才被公开。在7月和8月的黑客攻击中,Hive gang从这家医疗中心窃取了大约1TB的数据,包括医疗记录、员工工资记录和机密的商业信息。8月25日,该组织向医疗中心发送了一封电子邮件,正式要求115万美元的赎金,并提供了一些被盗信息的链接,但Tift只支付了10万美元作为回应。对此,Hive的回复也很有意思:“告诉董事会,他们可以留10万美元给律师。我们将公布这些数据。”
12.澳大利亚电信运营商Optus
赎金:价值一百万美元的加密货币
2022年9月,澳大利亚电信公司Optus遭到不明勒索组织攻击,1120万用户数据被盗。可能泄露的信息包括客户的姓名、出生日期、电话号码、电子邮件地址,以及一些客户的地址和身份证号码,如驾照或护照号码。攻击者要求Optus支付价值100万美元的Monero,以阻止他们出售窃取的数据。但Optus最终拒绝支付赎金,并联系澳大利亚联邦警察调查此事。
13.美国格伦县教育局
赎金:100万美元
2022年5月,美国加州格伦县教育办公室(GCOE)和学区遭到量子勒索软件组织攻击,索要赎金100万美元。随后,GCOE和量子组织了谈判。Quantum向GCOE的谈判人员提供了压缩文件,作为他们访问过该系统的证据。最终,GCOE向量子支付了40万美元的赎金,以获得解密密钥和某些保证。量子组织向该县保证,将删除所有文件,提供删除证据,解释他们如何进入网络以及在那里做了什么,并提供所有被盗文件的完整列表,同时保证他们不会再次攻击该地区,也不会出售任何被盗数据。
14.英伟达
赎金:100万美元
2022年2月底,全球知名半导体芯片公司英伟达遭到勒索病毒攻击。不久后,英伟达官方证实被入侵,攻击者开始在网上泄露员工凭据和私人信息。勒索软件组织lapsus $(lapsus $)声称对此次攻击负责,并表示他们可以访问1TB的公司数据,如果英伟达拒绝支付100万美元的赎金和一定比例的未指明费用,他们将在网上泄露这些数据。据媒体报道,由于内部系统被入侵,英伟达不得不将部分业务离线两天。然而,该公司后来声称,这次袭击没有以任何方式影响其运营。该公司通过加强其安全性并立即雇佣网络事件响应专家来快速应对勒索软件攻击,从而控制了局势。根据一些报道,英伟达通过试图追踪Lapsus$成员并在他们的系统上安装病毒木马来“打击”黑客。但上述信息的真实性尚未得到证实。
参考链接:
