勒索软件攻击虽然谈不上是什么新鲜事物,但在刚刚过去的2020年中,它正在渐渐成为各种规模、级别的企业或机构的头号威胁。
双重勒索与支付赎金
相比以往的勒索软件攻击,2020年的勒索软件攻击者们也对运营策略有所调整调整,一方面,各种规模的企业、机构都会成为勒索软件攻击的对象,不同的勒索软件运营组织在在攻击对象的选择上虽然有一些不同,但是综合来看,其整体覆盖面却更加广泛。另一方面,这些勒索软件的攻击者往往会选择窃取数据与索要赎金的方式来对受害者进行双重打击,这种手段也被称作是双重勒索。
以往在应对勒索软件攻击时,做好备份工作是反复被提及的,这样做至少保证业务连续性上不会受到很大的影响。可是,随着法律的逐步完善,数据泄露的违法违规成本越来越高,仅依靠备份也无法保证企业、机构不会遭受重大伤害。因此,一个不好的趋势开始出现——越来越多的受害企业开始选择支付赎金。
有机构统计称,今年因勒索软件攻击而支付的赎金金额已经是2019年的两倍,且大部分发生在下半年,虽然该数据尚未得到多方权威数据佐证,但越来越多的受害者选择支付赎金却是事实。根据CyberEdge Group在2020年二季度发布的报告表明,有58%的勒索软件受害者选择支付赎金的方式来恢复他们的数据,而此前的2019年,选择支付赎金的受害者比例是45%,2018年则是39%。
Ryuk、RagnarLocker和Dharma这样的勒索软件团伙在2020年主导了针对医疗保健设施、学校教育设施和IT类企业、机构这种能够在疫情大流行期间能起到关键作用的行业。这些攻击不仅对受害者产生了毁灭性的效果,而且为攻击者带来了丰厚的利润,事实证明,对于这类犯罪团伙而言,良心那是根本不存在的。
2020年勒索软件攻击数量与造成的损失均大幅增长
从某种角度看,支付赎金这种妥协方式也助长了勒索软件在2020年成就“全面开花”的局面,且爆发势头愈演愈烈,据Positive Technologies的2020年第三季度网络安全威胁报告显示,与2020年二季度相比,三季度的勒索软件攻击数量出现了创纪录的增长,在所有恶意软件攻击中的占比从39%上升到了51%。
另据SonicWall的研究人员发现,在2020年,Ryuk勒索软件监测发现数量显著增加。在2019年第三季度,SonicWall仅检测到5123起Ryuk攻击,到了2020年第三季度,SonicWall检测到6730万起Ryuk攻击,增长超万倍!
安全公司Check Point研究指出,勒索软件是2020年给企业、机构造成损失最大的攻击手段。预计到2021年,全球由勒索软件攻击带来的损失将增至200亿美元。
当我们进入2021年,随着这种攻击方式的战术、技术和程序化不断完善和提升,极有可能继续成为各行各业所要面对的网络攻击的头号威胁。
“客户”既要有量又要有质 勒索软件攻击对象愈加广泛
事实上,勒索软件攻击的范围非常广泛,从个人的一些照片到上述那些大型企业,都会被这种攻击方式所笼罩,在2020年,出现了撞大运的“海王”式攻击开始向更危险的有具体针对性攻击的趋势,毕竟勒索几百美元和几百万美元之间的差别显而易见,像Ryuk和RagnarLocker这样的所谓知名勒索软件团伙毫无疑问将会继续将目光放在更大的目标上,以期寻求不少于百万美元的赎金,因此那些营收上亿甚至数十亿美元的企业将会被这类团伙重点关注。
与此同时,像勒索软件即服务(RaaS)并未消退,一些级别比较低的攻击者通过购买这种“服务”的方式也能够广泛的展开攻击,同那些知名的如Ryuk等勒索软件组织所更多的针对百万美元级别赎金的高质量“客户”不同,这些攻击者追求的就是通过“量”来弥补“质”的不足,哪怕是通过加密几个GB的照片来索取几百美元的赎金。
这一切都意味着各行各业的企业、机构甚至是个人所面临的被勒索软件攻击风险提升,尤其是教育、医疗、政府、零售和信息技术等行业内的,他们普遍都存在难以承受业务中断和敏感用户数据丢失的风险损失。
根据全球各大网络安全公司和机构在预测2021年的网络风险趋势时,几乎都会提到勒索软件攻击,尤其是物联网设备以及关键基础设施领域都有可能会成为攻击者心目中的猎物。
在此,我们回顾一下2020年的重大勒索软件攻击事件,希望这些前车之鉴能够给我们多一些警示。
1、特斯拉、波音、SpaceX供应商拒付赎金遭机密泄露
2020年3月,因未能如愿得到勒索赎金,DoppelPayme将特斯拉、SpaceX以及波音等公司的机密信息在网络上公开,这些机密信息源自于这些公司的一家零配件供应商——Visser Precision,它的客户还包括大家耳熟能详的一些大品牌——如霍尼韦尔、洛克希德·马丁。
由于Visser Precision被DoppelPaymer入侵,该公司的包括军事装备数据、账单及付款数据、供应商信息及相关保密协议以及一些法律文书等内容被窃取并被加密,随后被索要赎金,但Visser Precision并未选择进行支付,最终导致这其中的内容被公开。这是一起典型的先窃取数据然后再索要赎金的双重勒索攻击。
2、富士康工厂遭勒索攻击 被索要在当时价值超3400万美元的赎金
2020年11月,位于墨西哥的富士康工厂遭到了和前面一样的DoppelPayme勒索软件攻击,同样也是双重勒索攻击,除了导致1200台服务器被加密之外,攻击者在对设备进行加密前还窃取了100GB的未加密文件,同时删除了不少于20TB的备份。
随后,攻击者发布了一个指向DoppelPayme付款站点的链接,要求富士康支付1804.0955 比特币作为赎金(按照当时的价格计算,约为3486.6万美元),否则就要将窃取的数据在暗网出售。
3、德国软件巨头Software AG遭勒索攻击 被索赎金达2000万美元
今年10月,德国企业软件巨头Software AG 遭受了Clop勒索软件攻击,勒索软件运营者声称已经从Software AG掳走了超过1TB的数据,并据此索要超过2000万美元的赎金。
据报道称,Clop勒索软件入侵了Software AG的内部网络,将文件进行了加密,在谈判失败之后,该犯罪团伙在暗网上发布了该公司数据的截图,截图显示了员工护照、员工电子邮件、财务文档和公司内部网络的目录。
4、日本汽车制造商本田全球网络遭勒索攻击,工厂被迫关闭两天生产
2020年6月,本田汽车在推特上发布声明称,公司内部的全球业务网络可能遭到了网络攻击,致使一些工厂产线被迫停产,部分全球业务无法办理,同时还表示受影响的工厂预计最早将于近两天恢复运营。在这之前,本田就已经发布了一份声明,表示其客户服务和金融服务因黑客攻击“不可用”。
5、哔哩哔哩视频网站某UP主搭建NAS系统后第一天就遭勒索软件攻击
2020年4月,哔哩哔哩网站一位拥有超过550万粉丝的UP主,因普通的家用电脑和硬盘是无法满足其视频业务制作需求,所以花费了十几万元在公司内网搭建了NAS系统,虽然启用前也经过了较长的测试和维护后,但是在使用的第一天就被黑客攻击了,随后该UP主发布视频阐述此事,这种发生在身边的勒索事件在当时引发了一定的社会关注,尽管这并非是国内第一起,但考虑到其粉丝数量及其后的广泛讨论,也还是让不少人第一次了解勒索软件攻击为何物。
6、佳能遭Maze勒索软件攻击,2.2GB美国公司数据被“撕票”泄露
2020年8月,著名数码摄像机厂商佳能(Canon)被曝遭受勒索攻击,影响电子邮件、微软团队、美国网站及其他内部应用程序。其中,佳能image.canon云照片和视频存储服务的可疑中断,导致其免费10GB存储功能的用户丢失数据。随后,Maze因未收到赎金,在暗网泄露了佳能大约2.2GB的美国公司数据,从而导致佳能部分内部系统中断。
7、阿根廷移民局遭遇攻击中断服务4小时
此前针对地方政府机构的攻击屡见不鲜,而该事件被广泛认为是首个国家机构被勒索软件攻击。2020年9月,阿根廷官方移民管理机构遭受Netwalker勒索软件攻击,直接造成边境入出境事务陷入瘫痪。据外媒报道,此次攻击导致边境过境点停摆四个小时,或将是首例针对联邦政府一级目标发起的已知攻击活动。攻击方向阿根廷政府开出了400万美元赎金的要价。
8、智利银行遭勒索软件攻击,被迫关闭所有分行
2020年9月,智利三大银行之一的国家银行(BancoEstado)遭到勒索软件攻击,被迫决定关闭所有分支机构。据称,发起该次攻击的是 REvil (Sodinokibi)勒索软件。其是借助一份恶意攻击邮件实现在银行网络安插后门,并以此跳板访问银行内网,实施勒索行动,加密了该行大部分内部服务和雇员工作站。
9、德国杜塞尔多夫大学医院遭受勒索软件攻击,致内部服务器遭感染
该事件也许并未造成极大规模的数据和经济损失,但却造成更大的悲剧——一名患者因此影响而离世。2020年9月,德国杜塞尔多夫大学医院遭受勒索软件攻击,导致30多台内部服务器遭到感染,一女性患者因此不得不被迫转移至距离30多公里以外的另一家医院接受救治,患者在转移的路途中不幸离世,据媒体称,德国警方甚至将案件性质直接升级为谋杀。
10、勒索软件攻击袭击医疗软件公司eResearchTechnology(ERT)
2020年10月,因遭受勒索软件攻击,造成包括辉瑞、施贵宝、阿斯利康以及强生等公司的新冠疫苗临床测试被延误,在全球正在对抗疫情大流行时,攻击者这种行为遭人唾弃。
除了上述事件之外,全球范围内遭遇勒索软件攻击的大事件每个月都在发生:
一季度:
1. 1月,德国自行车品牌厂商Canyon遭勒索软件攻击,企业内部文件被加密,导致包括下订单与支付等交易行为被迫延迟。
2. 1月,美国某大型国防业务承包商遭勒索软件攻击,令其到3月份仍能未实现完全复工,损失惨重。
3. 2月,荷兰马斯特里赫特大学被勒索软件攻击,一周后,校方选择妥协,向黑客支付了24万美元的赎金
4. 2月,美国一不具名的天然气管道商遭勒索软件攻击,被迫关闭相关设施运转达2天之久。
5. 2月,美国警方遭勒索软件攻击,致使多起案件的关键证据丢失,其产生的后果是——导致至少六名毒犯因证据不足重获自由。
6. 2月,财富500强公司EMCOR遭Ryuk勒索,业务被迫暂停。
7. 2月,外汇公司Travelex遭勒索软件攻击,其网站因此被迫关闭,并被要求支付600万美元的赎金。
8. 3月,美国马萨诸塞州电力公司RMLD遭勒索攻击,造成近7万居民电费支付受影响。
二季度:
9. 4月,意大利电子邮件服务商Email.it遭勒索软件攻击,并造成数据泄露,导致60万用户数据出现在暗网。
10. 4月,大型IT管理服务公司Cognizant于4月18日发公告称,其内部系统受到Maze勒索软件攻击,令部分客户的服务被迫中断。
11. 4月,葡萄牙跨国能源公司 EDP(Energias de Portugal)遭勒索攻击,攻击者声称,已获取EDP公司10TB的敏感数据文件,并且索要了1580的比特币赎金(在当时折合约1090万美元)。
12. 4月,美国石油和天然气公司W&T Offshore遭遇勒索软件攻击,被窃取800GB数据,因谈判失败导致其中包含银行对账单、日志条目、债务报告等10GB数据在暗网上泄露。
13. 4月,美国最大ATM 供应商 Diebold Nixdorf遭受勒索攻击
14. 5月,国际铁路机车制造商Stadler遭勒索攻击,不过该企业拒绝赎金,最终通过备份系统恢复运营。
15. 5月,台湾两大炼油厂遭遇勒索软件攻击。
16. 5月,勒索软件Maze表示对哥斯达黎加银行(BCR)遭攻击一事负责,该事件中这家国有商业银行被窃取1100万张信用卡信息,其中还包括14万条美国人的信息。攻击者声称无法联系银行相关部门协商赎金事宜,因此将其数据在暗网上被泄露。
17. 5月,澳大利亚航运及物流公司Toll集团遭Nefilim勒索软件攻击,据报道称其此前在2月就遭遇了同类攻击。
18. 6月,美国核武器承包商Westech International遭Maze双重勒索攻击,大量敏感数据被窃取并被泄露。
19. 6月,加州大学旧金山分校被勒索软件NetWalker攻击,校方后期发表官方声明,承认向攻击者支付了114 万美元赎金。
20. 6月,美国国家航空航天局的IT服务供应商Digital Management Inc.遭勒索软件攻击。
21. 6月,美国阿拉巴马州佛罗伦萨市的计算机系统被勒索软件感染,被索价值30万美元的比特币作为赎金,最终市政府以避免黑客泄露数据的缘由而选择支付赎金。
三季度:
22. 7月,韩国LG集团疑似遭遇勒索软件攻击,高达75GB内部数据和40GB Python代码或因此而泄露。
23. 7月,德国硅晶圆厂商X-FAB遭Maze勒索软件攻击,官方宣称根据安全专家建议,所有IT系统被迫停止,其6个生产基地的生产也处于预防的目的而停工。
24. 7月,美国云服务商Blackbaud发布声明宣称遭勒索软件攻击,据称其被攻击时间实际为5月。11月,该公司声称已因此而面临23起集体诉讼案,此外还有160名客户提出了索赔请求。
25. 7月,阿根廷电信1.8万台计算机感染勒索软件,被索750万美元赎金。
26. 7月,运动可穿戴设备厂商佳明(Garmin)的服务器遭到勒索软件攻击,导致其用户不能正常同步自己的运动健康数据。
27. 7月,闪存领域的头部企业SK Hynix遭Maze勒索软件攻击,导致不少于1.1TB的数据被窃取。
28. 8月,美国酒业巨头百富门遭Sodinokibi勒索软件攻击,超过1TB的数据被窃取。
29. 9月,企业旅行社巨头CWT遭受Ragnar Locker勒索软件攻击,影响亚马逊、波士顿科学、Facebook、强生、SONOCO、雅诗兰黛等知名公司。
30. 9月,数据中心巨头Equinix遭遇勒索攻击,被要求支付450万美元赎金。
四季度:
31. 10月,看门狗遭遇勒索软件攻击,其即将发布的游戏大作——《军团再临》的源代码被窃取。
32. 11月,台湾笔记本电脑制造商仁宝遭遇勒索攻击,被索赎金高达1670万美元。
33. 11月,丹麦最大的新闻机构遭勒索攻击,据报道称,导致其至少30%的服务器被加密。
34. 11月,美国大型医疗网络U.S. Fertility遭勒索软件攻击,病患的个人资料被泄露。
35. 12月,美国银行系统公司(ABS) 被勒索软件攻击,导致53GB的数据被窃取并遭泄露,包括贷款文件、商业合同等机密信息。
36. 12月,在线教育巨头K12 遭Ryuk勒索软件攻击,为防止泄密,他们不得已向攻击者支付了赎金。
37. 12月,因被勒索软件攻击,美国马里兰州巴尔的摩学区被迫关闭。
38. 12月,韩国E-Land Retail集团遇勒索软件攻击,Clop勒索软件运营商声称从该公司窃取了200万张信用卡数据。
39. 12月,直升机制造商Kopter遭勒索软件攻击,因拒绝与攻击者接触,其公司内部的部分文件被公开。
40. 12月,加拿大温哥华市公共交通机构TransLink遭到Egregor勒索软件攻击,导致其业务运营瘫痪长达两天。
41. 12月,由于拒绝支付赎金,巴西航空工业公司——Embraer遭勒索软件团伙RansomExx“撕票” ,内部数据被泄露到暗网之上。
42.12月,此前被英特尔收购的以色列芯片公司Habana Labs遭遇Pay2Key勒索软件攻击,后者宣称窃取了53GB的数据,
43.12月,Pay2Key勒索软件组织声称成功入侵了——以色列航空航天工业公司(IAI),后者是以色列最大的国防承包商,据报道称,Pay2Key在这之前已经连续攻击了80多家以色列公司。
上述事件由安全419汇集多方媒体报道组成,并非完整统计,供参考。