序
回顾2022年,随着俄乌冲突的爆发、新冠疫情的再次来袭,国内和国际局势日益严峻,网络安全事件频发,诸如数据泄漏、勒索软件攻击等层出不穷,有组织、有目的的网络攻击形势愈加明显。
二十大强调:“国家安全是民族复兴的根基,社会稳定是国家强盛的前提。必须坚定不移贯彻总体国家安全观,把维护国家安全贯穿党和国家工作各方面全过程,确保国家安全和社会稳定”。为提升我国在国际网络空间中的竞争优势,强化国内的网络安全防护能力,2022年国内发布了信息安全技术推荐标准27项。各部门、各行业遵循各项技术标准,积极开展网络安全建设工作,基本安全防护措施初见成效。
但是当前,以勒索攻击为代表的网络攻击危害持续加深,采用简单的网络安全防御措施难以应对勒索攻击威胁。中国信息通信研究院为强化勒索攻击防范措施,研究制定了《勒索攻击安全防护要点》,旨在协助各企业、单位聚焦风险化解重点环节,夯实风险防范基础,切实加强勒索攻击应急处置、安全加固等重点工作。
下面我们按时间线,从公开报道中,摘选部分勒索攻击事件和专业分析报告,让大家充分了解全球勒索软件对网络安全的威胁,只有做到居安思危、未雨绸缪,才能保证网络系统健康稳定地运行。
1月份
台达电子遭受Conti勒索病毒攻击
我国台湾地区电子产品制造公司台达电子(Delta Electronics)是电源组件供应商,生产的产品包括嵌入式电源、冷却风扇、电磁干扰滤波器和螺线管。其他产品包括电动汽车充电器、工业自动化解决方案和数据中心基础设施。
2022年1月21日,台达电子发布声明称,其受到一起勒索软件攻击,与Conti勒索软件团伙有关。虽然台达电子方面表示,公司已在第一时间发现了攻击,其安全团队进行了干预,对受感染系统采取措施,并开始恢复运营。但据知情人士透露,这次攻击实际情形非常严峻——台达电子1500多台服务器和12000多台计算机已被攻击者加密。台达电子未能及时恢复大部分系统,导致其官方网站长时间处于瘫痪状态,该公司只能使用一台替代的Web服务器与客户保持联系。
据说Conti团伙要求台达电子支付1500万美元的赎金,为此,台达电子还与Conti勒索软件团伙就可能的付款进行了谈判,以换取密码并承诺数据不会遭到泄露。
参考来源:
https://xxb.gdufe.edu.cn/2022/0408/c6341a157111/page.htm
欧洲石油设施遭勒索攻击
欧洲当地时间1月29日起,因遭到勒索软件的攻击,位于荷兰阿姆斯特丹和鹿特丹、比利时安特卫普的几处港口的石油装卸和转运受阻。截至当地时间2月4日,至少有7艘油轮被迫在安特卫普港外等候,无法靠港。本次网络袭击由何人发起目前还不清楚,2021年美国的几家石油公司也曾遭遇类似事件。
回溯来看,2021年5月7日,美国最大燃油管道运营商科洛尼尔管道运输公司遭遇黑客攻击,被迫关闭整个管道系统。受管道关闭影响,美国多地出现燃油短缺和恐慌性购买,导致燃油价格飙升。当地时间2021年5月9日,美国宣布进入国家紧急状态,原因是当地最大燃油管道运营商遭网络攻击下线。5月10日,美国总统拜登称,攻击输油管道“是一种犯罪行为”。直到当地时间5月13日下午,科洛尼尔管道运输公司才宣布,重启了该公司的整个燃油运输系统并全面恢复运营。
参考来源:
https://baijiahao.baidu.com/s?id=1724008949349544528&wfr=spider&for=pc
2月份
物流巨头Expeditors疑遭勒索软件攻击
Expeditors International总部位于西雅图,是一家国际物流和货运代理公司。Expeditors 的年总收入约为 100 亿美元,业务遍及全球100多个地区的350多个地点,拥有18,000多名员工,为客户提供关键的物流解决方案。其服务包括供应链、仓储和配送、运输、海关和合规事务。
2月20日中午,Expeditors发布了一篇简短的通知,宣布由于遭到有针对性的网络攻击,该公司将关闭操作,关停全球系统。声明如下:
在美国东部标准时间上周日晚间发布的新闻稿中,Expeditors声明,网络攻击迫使其在全球范围内关闭了大部分操作系统,以维护“整个全球系统环境的安全”。此次攻击造成的影响是巨大的,因为Expeditors的运营受到限制,其中包括货运、海关和配送活动,这可能导致其客户的货运停滞。该公司指出,其业务系统将继续处于离线状态,直到从备份中安全地恢复。
尽管Expeditors没有提及事件的性质,但这很可能是一次勒索软件攻击,因为中断全球业务并从备份中恢复数据是勒索软件攻击的常见缓解措施。
参考来源:
https://www.goupsec.com/news/3018.html
华硕子公司Asustor遭受勒索软件
2月底,华硕旗下子公司华芸科技(Asustor)的网络附加存储(NAS)遭遇了勒索攻击,波及全球众多用户。所有文件都被加.deadbolt文件扩展名,ASUSTOR登录页面也被一张数据勒索通知代替,要求用户支0.03个比特币,折合人民币约七千多元,如下图所示:
ASUSTOR未正面解释旗下的NAS设备是如何被加密的,但是一些用户认为,黑客是利用了PLEX媒体服务器或EZ Connect中的某个漏洞加密了他们的NAS设备。截止到2月24日,有报告显示AS6602T、AS-6210T-4K、AS5304T、AS6102T和AS5304T型号不受DeadBolt 勒索软件影响。但是由于无法免费恢复DeadBolt勒索软件加密的文件,很多用户许多受影响的QNAP用户被迫支付赎金来恢复文件。
支付赎金后,攻击者将创建一个比特币的交易,交易与支付赎金的比特币地址相同,其中包含受害者的解密密钥。解密密钥位于OP_RETURN输出下,如下所示:
DeadBolt赎金记录包含一个标题为“ASUSTOR的重要消息”的链接,点击该链接后,将显示来自DeadBolt勒索软件的消息:如果ASUSTOR支付7.5个比特币,DeadBolt攻击者将会出售所谓的零日漏洞的详细信息;如果ASUSTOR支付50个比特币,那么DeadBolt攻击者将会出售所有受害者的主解密秘钥和零日漏洞信息。这意味ASUSTOR将要承担本次勒索攻击的全部损失,约合人民币上千万元。
参考来源:
https://www.freebuf.com/news/323073.html
3月份
东欧大型加油站遭勒索攻击
Rompetrol是罗马尼亚国内最大炼油厂Petromidia Navodari的配套油站运营商,该炼油厂的年油品加工能力超过500万吨。Rompetrol母公司KMG International是一家国际大型石油公司,在欧洲、中亚及北非的15个国家均有业务覆盖。KMG的主要经营内容涉及炼油、营销、贸易、生产,外加钻井、EPCM(设计采购与施工管理)与运输等石油工业服务。
3月6日,东欧国家罗马尼亚Rompetrol加油站遭到勒索软件攻击,官方网站及油站Fill&Go服务被迫下线。攻击发生后,Rompetrol在脸书上发布公告称,“今晚,Rompetrol遭遇了一起复杂网络攻击。”
Rompetrol公司在给员工的邮件中透露,这次攻击是在当地时间周日(3月6日)21:00被检测到的,影响到了公司“大部分IT服务”,外媒BleepingComputer获得的匿名消息显示,攻击者还入侵了Petromdia炼油厂的内部IT网络。但Rompetrol表示,Petromidia炼油厂的运营并未受到影响。
据悉,此次对KMG子公司Rompetrol发动突击的,是Hive勒索软件团伙。
Hive团伙要求Rompetrol支付200万美元赎金,以换取解密器和不泄露被盗数据的承诺。
参考来源:
https://www.secrss.com/articles/40048
丰田顶级供应商电装德国网络勒索攻击
盖世汽车讯据外媒报道,丰田的顶级供应商电装表示3月10日监测到其德国负责销售和工程的分公司遭到了未经授权的恶意软件访问。3月13日,名为“Pandora(潘多拉)”的勒索软件的新兴网络犯罪集团,在其主页上刊登了“盗取并公开电装的机密数据”的声明,声明标书盗取的数据包括业务电子邮件、发票和零件图纸等,数据大小约为1.4TB。
报道称,Pandora利用勒索软件发动了网络攻击,该软件会对公司数据进行加密,企业如果不想泄露数据,需要向黑客支付赎金。电装发言人拒绝就有关网络攻击的进一步细节发表评论。
本次事件是丰田供应商近期遭到的第二次网络攻击。两周前,丰田暂时关闭了其位于日本的所有工厂,原因是其供应商小岛冲压工业的系统遭到了攻击。尽管丰田在一天后就重启了工厂,但是这一事件对该公司来说也是一次打击,当前他们正在努力恢复生产,在此前几个月中,芯片短缺和疫情导致该公司的产量遭受了严重影响。
参考来源:
https://new.qq.com/rain/a/20220314A06FW800
4月份
西班牙业务流程外包(BPO)服务提供商遭勒索软件攻击
西班牙一家领先的业务流程外包(BPO)服务提供商表示,因遭遇勒索软件攻击导致其损失超过数千万美元。作为全球前五的客户关系管理(CRM)和BPO提供商,Telefonica Atento在拉丁美洲拥有强大的基础。然而去年10月,它声称其巴西子公司IT系统遭遇了“网络攻击”。不过公司已经第一时间做出了响应,“快速识别”出威胁、且隔离受影响的系统并暂停与客户的连接。
虽然公司表示在之后的24小时内,服务开始恢复在线,不到一周后,数据中心的运营已经恢复。然而近期发布的2021财年财务报告显示,勒索攻击对公司的影响比最初想象的要大得多。根据报告可以得出,由于“巴西业务中断”,第四季度收入损失了 3480万美元,另外还有730万美元用于与攻击相关的“保护、检测和补救措施”。
Atento的首席财务官兼首席执行官在一份联合声明中说,“与当今时代的许多公司一样,包括一些世界技术领导者,我们受到了网络攻击,这当然也影响了我们第四季度的业绩。该事件的复杂性和对我们的影响,都远大于我们的预期。据当地报道,该公司没有向勒索者付款,而发起勒索攻击的黑客组织据说是近期高调的LockBit组织。
对此,Atento声称已经设立了最佳的应对方案,除了提高其保护、检测和补救能力——包括与CrowdStrike和Mandiant签署的新协议,现在正与“防御团体和机构”更密切地合作,以提高应对威胁的准备。
不过,基于近期勒索事件频发,Atento也会被添加到勒索软件攻击后遭受极高损失的公司名单中,名单中包括法国IT服务公司Sopra Steria(6000 万美元)、铝业巨头Norsk Hydro(4100 万美元)和IT服务公司Cognizant(7000万美元)。
参考来源:
https://www.freebuf.com/news/327248.html
https://www.infosecurity-magazine.com/news/services-42m-fallout-ransomware/
哥斯达黎加遭到Conti勒索软件攻击
北美洲国家哥斯达黎加遭到Conti勒索软件攻击,多个部委大量系统受影响瘫痪,大量敏感数据被盗。哥斯达黎加财政部4月18日首先报告了网络攻击事件,从税费征收到海关出口,财政部下辖的许多系统都受到攻击影响。随后,恶意黑客又针对社保部的人力资源系统和劳工部等其他目标发起攻击,财政部长Elian Villegas在 4月20日),黑客在入侵财政部海关平台后访问了 “敏感”的纳税人历史信息,但没有具体说明被泄露的数据量。
威胁情报厂商Recorded Future的分析师Allan Liska表示,Conti团伙正在实施双重勒索:加密政府文件以破坏各部门的正常运作;如果收不到赎金,就将被盗文件公布在暗网的团队勒索网站。Conti团伙没有公布具体赎金数额。社交媒体上有传闻称,黑客团伙开出了1000万美元的价码,但Conti团伙网站上并没有相应佐证。
哥国企业担心,提交给政府的机密信息被黑客团伙获取,进而被公开或滥用。普通公民则担心,自己的个人财务信息可能被用于入侵其银行账户。哥国总统Alvarado曾认为此次攻击与经济利益无关,但以上信息明显跟这一判断存在冲突。并表示“哥斯达黎加绝不会向网络犯罪分子支付任何赎金。”
Liska透露,Conti团伙经常将其勒索软件基础设施,出租给愿意付钱的任何“附属团伙”,所以此次攻击的真正幕后黑手可能来自世界任何地方。
参考来源:
https://baijiahao.baidu.com/s?id=1745089202044546019&wfr=spider&for=pc
5月份
美国农业机械巨头爱科遭到勒索软件攻击
爱科是美国农业机械制造行业的巨头之一,年收入超过90亿美元,拥有21000名员工,旗下有Fendt、Massey Ferguson、Challenger、Gleaner及Valtra等品牌。
在2021年9月,FBI首次发布类似警告。那次后不久,NEW Cooperative与Crystal Valley两家大型农业合作社就遭遇到重大勒索软件攻击。FBI在2022年4月再次警告称,勒索软件攻击正逐渐将矛头指向美国农业部门,并重点提及了2022年的两起重大案例。目前,所有与美国粮食生产和供应直接相关的实体,均被视为关键基础设施。恶意黑客希望通过胁迫受害者就范获取巨额利润。
而作为美国最重要的农业机械制造商之一, AGCO在5月8日宣布其公司遭受勒索软件攻击并影响了其部分生产设施,该公司被迫关闭部分IT系统以应对勒索攻击。不过AGCO并未提供有关此次攻击的任何细节,该公司仍在调查安全漏洞的严重程度。该事件将影响公司业务运营数天,甚至可能更长时间才能完全恢复所有服务。
随后AGCO就此次攻击事件也及时发表了相关公告:AGCO是一家全球农业设备制造商和分销商,我们于今年5月5日受到勒索软件攻击,所以部分生产设施受到影响。不过我们会查清此事件,包括此次勒索攻击的影响,预计部分业务运营在未来几天将受到不利影响,甚至可能更长时间才能完全恢复所有服务,具体取决于公司修复系统的速度。如有最新进展,我们也会第一时间公布。
勒索软件攻击发生时,美国农业机械制造还面临着持续的供应链中断和罢工,导致难以满足农民的设备需求。地区经销商B&G Equipment Inc总裁Tim Brannon表示,从5月5日起,他一直无法访问爱科网站来订购和查找零件。他表示,“我们正进入一年中最繁忙的时期,这将对我们的业务和客户造成了非常大的伤害。”
参考来源:
https://securityaffairs.co/wordpress/131058/cyber-crime/agco-suffered-ransomware-attack.html
https://www.secrss.com/articles/42134
加拿大空军关键供应商遭勒索攻击
Top Aces公司总部位于蒙特利尔,是“加拿大与德国武装部队的独家空中对抗演习供应商”,5月11日Top Aces发布声明称遭到LockBit勒索软件攻击。同时在LockBit勒索软件团伙的泄密网站上也出现了Top Aces的名字。
Top Aces由一群前战斗机飞行员于2000年创立,号称拥有“全球规模最大的私营作战战斗机群”。
除了与加拿大、德国、以色列等国合作之外,该公司还在2019年同美国空军签署了一份利润丰厚的合同。合同中明确提到,Top Aces负责提供用于防御俄罗斯武器的训练工具。
安全厂商Emsisoft的威胁分析师Brett Callow指出,针对国防相关企业的攻击令人担忧,因为“无从得知被盗数据最终会落入哪里”。Callow表示,“即使当前攻击背后只是一群以营利为目的的恶意黑客,他们仍有可能将数据以出售或其他形式提供给第三方,包括对手国家政府。”
参考来源:
https://www.konghaidashi.com/post/7166.html
6月份
富士康墨西哥工厂遭勒索软件攻击
富士康在墨西哥经营着三个工厂,分别负责生产计算机、液晶电视、移动设备和机顶盒,主要客户是索尼、摩托罗拉和思科系统公司。
6月3日,富士康公司确认其位于墨西哥的一家生产工厂在5月下旬受到勒索软件攻击的影响,勒索软件组织LockBit声称对此负责。根据富士康的通告,勒索软件组织LockBit在5月31日发起了攻击,威胁要泄露从富士康窃取的数据,除非富士康在6月11日之前支付赎金。
LockBit没有透露任何失窃数据的信息,但通常勒索软件组织会窃取高价值信息作为胁迫受害者支付的筹码。由于富士康为许多品牌代工各种消费电子产品,LockBit2.0很可能已经窃取了技术原理图和图纸等机密知识产权信息。
这次被攻击的富士康工厂位于墨西哥蒂华纳,是美国加州消费电子产品的重要供应中心,一直被认为是一个战略设施。而富士康则在一份声明中表示,这次攻击事件对业务运营造成的干扰,将通过产能调整处理。估计网络安全攻击对本集团整体营运影响不大。
参考来源:
https://baijiahao.baidu.com/s?id=1735049819726641535&wfr=spider&for=pc
非洲最大连锁超市遭勒索团伙敲诈:600GB数据失窃
Shoprite 是非洲最大的连锁超市,业务遍布尼日利亚、加纳、马达加斯加、莫桑比克、纳米比亚、刚果民主共和国、安哥拉等国家,收入为 5,8 亿美元,拥有 149.000 名员工。该公司在南非拥有2.943 家门店,为数百万客户提供服务。
6月10日,一场突如其来的勒索软件攻击令Shoprite猝不及防。事发后Shoprite并向斯威士兰、纳米比亚及赞比亚的客户发出警告,表示他们的个人信息可能因此受到损害。该公司在声明中表示,“我们已经修改身份验证流程、欺诈预防与检测策略来保护客户数据,并实施了额外的安全措施,以防止数据进一步丢失。对受影响网络区域的访问已被锁定。此次泄露的数据包括个人姓名和身份证号码,但不涉及财务信息或银行账号。”
6月14日,勒索软件团伙RansomHouse声称对此次攻击负责,并发布了一份据称从Shoprite窃取到的600 GB数据的样本。
而恶意攻击者称,受害者遇袭的主要原因是安全建设太差、保护不够充分。Shoprite也不例外,该团伙在Telegram中嘲讽了这家零售商的安全习惯(比如用明文文本和原始图片保存大量个人数据)。
参考来源:
https://www.secrss.com/articles/43667
7月份
德国建材巨头可耐福集团遭到Black Basta勒索软件袭击
德国建材巨头可耐福集团(Knauf Group)是一家总部位于德国的跨国建筑材料生产商,在全球墙板市场上拥有约81%的份额。可耐福在全球多个国家拥有150处生产基地,也是美国可耐福绝热材料公司及USG公司的所有者。安全内参7月21日消息,可耐福集团对外宣布已成网络攻击目标。其业务运营被攻击扰乱,迫使全球IT团队关闭了所有IT系统以隔离事件影响。此次网络攻击发生在6月29日晚间。截至本文发布时,可耐福仍在开展取证调查、事件响应及补救工作。
可耐福在网站主页上发布的简短公告写道,“我们目前正在努力减轻对我们的客户和合作伙伴的影响。所有工厂正常运转,所有业务离线进行。对于可能发生的交付过程中的任何不便或延迟,我们深表歉意。”
而名为Black Basta的勒索软件团伙已经在其网站上发布公告,于7月16日将可耐福列为受害者。该勒索软件团伙还公布了一批数据,据称是攻击期间从可耐福处窃取到的全部文件中的20%。
参考来源:
https://www.secrss.com/articles/44952
数字安全巨头Entrust 遭遇勒索攻击
Entrust 是一家专注于在线信任和身份管理的安全公司,为企业用户和政府部分提供广泛的服务,包括加密通信、安全数字支付和身份证明等解决方案。Entrust作为全球著名的CA厂商在全球范围内建立起了一个可信的虚拟环境,使任何人在任何地点都能放心地进行数字交易和沟通。
据BleepingComputer报道,Entrust在6月份就遭受了网络攻击,威胁者破坏了他们的网络并从内部系统窃取了数据,根据被盗的数据,这种攻击可能会影响大量使用Entrust进行身份管理和身份验证的关键和敏感组织。这包括美国政府机构,例如能源部、国土安全部、财政部、卫生与公众服务部、退伍军人事务部、农业部等等。
当地时间7月22日,Entrust告诉BleepingComputer,他们正在与一家领先的网络安全公司和执法部门合作调查此次攻击,但并未影响他们的运营。Entrust告诉 BleepingComputer,“虽然我们的调查正在进行中,但迄今为止我们没有发现任何迹象表明该问题已影响我们产品和服务的运行或安全,这些产品和服务在与我们的内部系统分开的气隙环境中运行并且完全可以运行。”
虽然安全通知和Entrust对BleepingComputer的声明没有分享有关这次攻击的更多细节,但是BleepingComputer了解到一个知名的勒索软件团伙是这次攻击的幕后黑手, 根据AdvIntel首席执行官Vitali Kremez的说法,勒索软件组织购买了受损的Entrust凭据并使用它们来破坏其内部网络。
参考来源:
https://www.secrss.com/articles/45009
8月份
半导体制造商赛米控受到LV 勒索软件攻击
德国电力电子制造商赛米控(Semikron)在8月1日发表的一份声明中透露,已成为一个专业黑客组织的网络攻击的受害者,犯罪者声称从Semikron的系统中窃取了数据,此次攻击也导致了Semikron的IT系统和文件的部分加密。
赛米控在德国、巴西、中国、法国、印度、意大利、斯洛伐克和美国的24个办事处和8个生产基地,拥有3,000多名员工,2020年的营业额约为4.61亿美元。它还表示,它是世界领先的电力工程部件制造商之一,每年安装的风力涡轮机中有35% 使用其技术运行。
根据德国联邦信息安全办公室发布的相关警报,以及疑似部署在加密赛米控系统上的勒索纸条表明,这是一次LV勒索软件攻击,并且攻击者偷走了总量为2TB的文件。
参考来源:
https://www.freebuf.com/news/340890.html
希腊最大天然气运营商DESFA遭遇勒索软件攻击
希腊最大的天然气分销商DESFA当地时间8月20日被证实,公司在网络攻击后遭受了有限范围的数据泄露和IT系统中断。
而在向当地新闻媒体发布的公开声明中,DESFA称有黑客试图渗透其网络,但因为IT团队快速反应而被阻断。然而,对方仍在有限范围内实施了入侵,导致部分文件和数据被访问,且可能已经“外泄”。DESFA为此停用了多项在线服务,希望保护客户数据。而且随着专家们努力进行恢复,各项服务已经逐渐恢复运行。但是,随着专家们努力进行仔细的恢复,这些服务将逐渐恢复正常运行。而DESFA向其消费者保证,此事件不会影响天然气供应,并且所有输入和输出点均以正常容量运行。并表示,他们已经报告相关政府当局和组织,将深入与数字治理部、数据保护局、希腊警察电子犯罪检察院、国防总参谋部 (GEETHA) 以及环境与能源部和能源监管局密切合作,以解决问题和尽量减少任何潜在的影响。
据观察,Ragnar Locker勒索软件组织宣称对此事件负责,威胁参与者在其数据泄露/勒索门户网站上发布了一份据称被盗数据的列表,以及一小部分似乎不包含机密信息的被盗文件。此外,Ragnar Locker表示,他们在DESFA的系统上发现了多个安全漏洞,并告知了他们这一事实,这可能是他们勒索企图的一部分。然而,据称威胁行为者没有回应他们。
希腊国家天然气输气系统运营公司(简称DESFA,系DEPA的全资子公司)成立于2007年,是剥离原DEPA的输气系统运营部门基础上而组建的专业输气公司。DESFA全资拥有希腊国家天然气输气系统,负责希腊全国天然气的输气和储存以及国家天然气输气系统的运营、开发、管理和扩展。
这次攻击发生在欧洲天然气供应商的艰难时期,因为欧洲大陆所有国家都决定突然减少对俄罗斯天然气的依赖,这不可避免地会产生问题。即将到来的冬季预计将受到短缺、停电、配给和能源价格飙升的困扰,使消费者更容易受到针对天然气供应商的勒索软件攻击。
参考来源:
https://weibo.com/ttarticle/p/show?id=2309404806101505016446#_loginLayer_1669965851441
https://mp.weixin.qq.com/s/3FWvSBwH1pydMzwAQpys2w
9月份
黑山遭遇勒索软件攻击,黑客索要1000万美元
2022年9月,欧洲国家黑山的多个政府部门遭遇超大规模网络攻击,致使超过10个政府机构的150多个工作站均无法访问。此次攻击采用了勒索软件与分布式拒绝服务(DDoS)相结合的方式,不仅扰乱了政府服务,还迫使该国的电力系统转为手动控制。
黑山国家安全局将这起在上周末发起的攻击直接归因于俄罗斯,但没有给出任何证据。有一个勒索软件团伙宣称对此次攻击至少负部分责任,他们使用Cuba勒索软件感染了黑山议会办公室。网络安全公司Profero的调查显示,该团伙中有成员使用俄语,同时Cuba勒索软件在勒索门户上也发布了黑山议会勒索公告,称窃取了财务文件、银行通信内容、资产负债表、税务文件、赔偿金乃至源代码。这些文件免费发布,任何人均可下载。
参考来源:
https://www.secrss.com/articles/46536
澳洲电信运营商Optus遭受勒索攻击,1120万用户的数据泄漏
《每日邮报》9月25日报道称,有人在论坛上爆料称,黑客正在勒索澳洲第二大电信运营商Optus,要求对方支付价值153万澳元的加密货币,否则就出售被盗的用户信息。
C114资讯北京时间9月27日报道,一个名为“optusdata”的在线论坛账号为黑客账号持有人发布消息称,由于“关注的人太多”,他们已经删除了数据,并撤回了赎金要求,同时对已经泄露了1.02万名澳大利亚人的数据表示抱歉。
Optus发表声明称,用户密码和财务信息没有泄露,但姓名、地址、出生日期、电话号码、驾照以及护照信息可能泄露。
澳大利亚联邦政府将此次网络入侵归咎于Optus,提出了隐私法规的全面改革和更高的罚款,并指出该公司“实际上为黑客窃取数据留下了方便之门”。
参考来源:
https://zhuanlan.zhihu.com/p/568034861
https://www.c114.com.cn/news/116/a1210773.html
10月份
德国报纸《海尔布隆言论报》遭遇勒索软件攻击
德国报纸《海尔布隆言论报》(Heilbronn Stimme)在10月14日遭遇勒索软件攻击,印刷系统陷入瘫痪,该报被迫以电子版形式发布最新一期内容。15日,该报发布了6页“应急”版,所有计划发表的讣闻均转移至官方网站。而且整个周末期间,报社的电话和电子邮件通信始终未能恢复上线。这份地区性出版物的发行量约为75000份,受印刷问题的影响,其官方网站已经暂时取消了付费墙模式。该报的网站月度访问量约为200万次。
报社主编Uwe Ralf Heer表示,此次攻击对整个Stimme Mediengruppe媒体集团都造成了影响,具体包括旗下的Pressedruck、Echo与RegioMail等公司,Heer指出,此次攻击出自某知名网络犯罪团伙之手。
由于该媒体集团同时也是一家分销商,Heilbronn地区的其他一些报纸的发行在另行通知前也将暂时停止。在印刷系统恢复正常运行状态之前,《海尔布隆言论报》将委托第三方印刷紧急版。
参考来源:
https://www.cnblogs.com/vinchinbackup/p/16822249.html
https://www.secrss.com/articles/48050
德国铜生产商Aurubis疑似遭受勒索攻击
Aurubis是欧洲最大、世界第二的铜生产商,在全球拥有6900名员工,年产阴极铜100万吨。在2022年10月28日,Aurubis 的IT系统遭到网络攻击,被迫关闭IT系统以防止影响蔓延,虽然生产可以基本维持,但是进出货物需要人工维护。在事件发生至10月31日期间,联络Aurubis的唯一途径只剩下电话呼叫。
因为网络攻击导致Aurubis部分自控系统的关闭,为保持生产和原材料采购以及金属和产品的交付,Aurubis的部分业务生产的操作方式被迫转为手动模式,极大降低了生产效率。虽然Aurubis并未对本次事件的详细过程进行披露,但是在Aurubis的官网临时公告中提到“这显然是对金属和采矿业的更大攻击的一部分”,种种迹象表明,这似乎是一起勒索软件攻击。
参考来源:
https://www.aurubis.com/en/media/press-releases/press-releases-2022/update-on-cyber-attack-at-aurubis
https://www.secrss.com/articles/48497
11月份
德国跨国汽车巨头大陆集团遭勒索攻击
据BleepingCompuer11月3日消息,知名勒索软件组织LockBit宣布他们对德国跨国汽车集团大陆集团( Continental) 发动了网络攻击。LockBit声称,他们窃取了大陆集团系统中的一些数据,如果不能在11 月 4 日 15:45:36(北京时间23:45:36)之前收到赎金,他们将在数据泄露网站上公开这些数据。
目前LockBit尚未透露赎金的具体金额,以及窃取数据的具体时间及其他任何细节,但由于显示支付赎金的倒计时页面仍在刷新,表明大陆集团还尚未与勒索软件进行谈判,已经决定拒绝支付赎金。
今年8月,大陆集团系统曾遭到过攻击者入侵,事后公司声称立即采取了所有必要的防御措施,并在外部网络安全专家的支持下,对事件进行调查,公司业务没有受到任何影响。BleepingCompuer向大陆集团 询问这起事件是否和此次LockBit的勒索攻击相关,大陆集团美国公司传播与营销副总裁 Kathryn Blackwell 给出了否定的回复,并称无法提供更进一步的任何细节。
LockBit 勒索软件于 2019 年 9 月作为勒索软件即服务(RaaS) 首次出现以来,已经制造多起重大勒索攻击事件。就在今年,LockBit 曾分别向意大利国税局和安全巨头Entrust发动过勒索攻击。
参考来源:
https://www.secrss.com/articles/48688
加拿大一市遭勒索软件攻击,市政务平台瘫痪
根据韦斯特蒙市报道,该市的电子邮件服务因不明原因的计算机故障而无法使用,并且该故障也影响了其他市政服务。后经证实该次故障源于一次有针对性的网络攻击。
韦斯特蒙市长Christina Smith在一份声明中说:“网络攻击在我们的社会中变得越来越普遍和复杂,尽管我们采取了所有的措施,公共管理部门也不能完全避免这种恶意的攻击”。“我向所有韦斯特蒙市民保证,市政府正在全力以赴的应对此次网络袭击事件,并正在拟定补救措施。接下来我们每一步工作和计划都会向广大市民公布,让广大市民监督”。
该市IT部门负责人Claude Vallières说:”我们知道我们有加密的服务器,但我们不知道是谁攻击了我们。我们仍在调查被感染的服务器,但我们目前没有收到任何赎金通知”。
LockBit 3.0网络犯罪团伙声称对加拿大韦斯特蒙市政服务平台瘫痪和关闭员工电子邮件账户的勒索软件攻击事件负责,并称他们已经成功下载了14兆字节的敏感数据,并要求该市在12月4日前支付赎金。
LockBit运营商发布了显示不同部门文件和其他数据的截图,作为此次攻击事件的证据,但信息安全媒体无法立即联系市政府确认这些文件的真实性。这次攻击是在加拿大网络安全中心发布新的《2023-2024年国家网络威胁评估》后发生的。该报告称,勒索软件是 “加拿大人面临的最具破坏性的网络犯罪形式”,只要勒索软件仍然有利可图,我们肯定会继续看到网络犯罪分子部署它。
参考来源:
https://hackernews.cc/archives/42589
12月份
俄罗斯政府机构遭到CryWiper勒索软件的攻击
俄罗斯信息安全专家告诉《消息报》,俄罗斯市长的办公室和法院遭到了一种新的加密病毒的攻击。该程序在计算机上对数据进行编码,然后屏幕上出现一条消息,要求支付赎金——超过50万卢布。但是,即使您将这笔金额转移给黑客,病毒也会将文件完全删除。为了防止此类攻击,专家建议使用备份并保护对组织基础设施的访问——例如,限制远程桌面的使用。据卡巴斯基实验室网络安全专家 Fedor Sinitsyn称,感染设备后,CryWiper损坏文件并显示勒索信息。攻击者留下了一个电子邮件地址和一个比特币钱包地址,表明解密金额超过50万卢布(0.5BTC)。
卡巴斯基实验室专家解释说,CryWiper会销毁所有格式的文件的内容,但负责系统本身操作的文件除外。它的主要目的是数据库,档案,个人用户文档。该程序不会自动销毁文件:它会向命令服务器发送请求,只有在获得许可后才开始工作。专家说,内容损坏的文档会收到额外的CRY扩展名,这意味着它们是加密的,无法以标准方式打开。为了防止这种网络攻击,专家建议禁止来自公共网络的远程桌面连接。此外,更新VPN解决方案和软件也很重要。开发人员会定期发现其程序中的漏洞,并在新版本中修复它们。此外,专家建议使用数据备份。
参考来源:
https://iz.ru/1433190/ivan-chernousov/stiratelnyi-pocherk-gosstruktury-atakoval-novyi-virus-shifrovalshchik
https://mp.weixin.qq.com/s/TKZhbxuBeUOt07v-No3-qQ
Royal 勒索软件攻击瞄准美国医疗系统
美国卫生与公众服务部(HHS)当地时间12月9日向该国的医疗保健组织发出了新警告,称该国的医疗保健组织正在遭受来自一个相对较新的组织Royal勒索软件团伙的持续攻击。
卫生部门网络安全协调中心(HC3)——HHS的安全团队——在12月7日发布的一份新分析报告中透露,勒索软件组织一直是针对美国医疗机构的多次攻击的幕后黑手。“自出现以来,HC3就意识到了针对医疗保健和公共医疗保健 (HPH)部门的攻击,”该公告称。“由于勒索软件伤害医疗保健社区的历史性质,Royal应该被视为对HPH行业的威胁。”这个勒索软件组织专注于根据过去成功的攻击来瞄准美国医疗保健组织。到目前为止,Royal还声称在每次医疗保健妥协后,他们泄露了据称从受害者网络中窃取的所有在线数据。
Royal勒索团伙是一个没有附属机构的私人组织,由为其他团体工作的经验丰富的威胁参与者组成。据Fortinet FortiGuard实验室称,Royal勒索软件至少从2022年开始活跃。该恶意软件是一个用C++编写的64位Windows可执行文件,通过命令行启动,这也表明它需要人工操作来触发在进入目标环境后感染。除了删除系统中的卷影副本外,Royal还利用OpenSSL加密库对文件进行AES标准的加密,并在文件后缀上”.royal”。
上个月微软披露,它正在跟踪的一个名为DEV-0569的团体被观察到通过各种方法部署勒索软件。这包括通过恶意广告、假的论坛页面、博客评论,或通过钓鱼邮件将恶意链接传递给受害者,导致合法的应用程序(如Microsoft Teams或Zoom)被安装流氓程序文件。据了解,这些文件藏有一个被称为BATLOADER的恶意软件下载器,然后被用来提供各种各样的有效载荷,如Gozi、Vidar、BumbleBee,此外还滥用远程管理工具(如Syncro)来安装Cobalt Strike,以便后续部署勒索软件。
最初他们使用BlackCat等其他团伙的加密器,但他们很快转而使用自己的加密器,第一个是Zeon,它生成了类似Conti的勒索票据。从9月中旬开始,勒索软件团伙再次更名为“Royal”,并使用新的加密器生成同名的勒索票据。该勒索团伙的一个不常见策略是使用被黑的Twitter帐户向记者发布有关受感染目标的信息,以便新闻媒体报道此次攻击,并给受害者施加额外压力。
参考来源:
https://hackernews.cc/archives/42889
2022年勒索软件分析报告
2022年1月至2月,Sophos委托研究机构Vanson Bourne对31个国家的5600名中等规模组织(100-5000名员工)的IT专业人员进行了独立的、与厂商无关的调研。
2021年66%的组织遭到勒索软件袭击,而2020年为37%。这一数字在一年中增加了78%,表明勒索软件组织或个人在执行大规模的重要攻击时的能力大大增强。勒索软件组织或个人在攻击中加密数据变得更加成功。2021年,攻击者在65%的攻击中成功加密了数据,比2020年报告的54%的加密率有所提高。
在过去一年中,57%的人感受到了总体网络攻击量的增加,59%的人看到了攻击复杂性的增加,53%的人说攻击的影响增加了。72%的人至少在其中一个领域看到了网络攻击的增长。
勒索赎金增加
通过采访统计,965名受访者的组织支付了赎金,他们分享了具体的金额,赎金的平均支付额比2020年大幅增加。2020年,支付100万美元或以上赎金的受害者比例几乎增加了三倍:从2020年的4%增至2021的11%。与此同时,支付低于10000美元的比例从2020年的三分之一(34%)下降到2021的五分之一(21%)。
总的来说,平均赎金支付额为812360美元,比2020年平均17万美元(基于282名受访者)增加了4.8倍。虽然这一总金额受到15笔8位数赎金的影响,但从数据中可以明显看出,赎金总额正在全面上升。勒索者会考虑行业的差异性,从他们认为最有能力支付的人那里获取最高受益:
制造业和生产业的平均赎金最高,为204万美元(数量=38),能源、石油/天然气和公用事业的平均赎金为203万美元(数量=91)。
最低平均赎金支付额19.7万美元,为医疗保健行业(数量=83),地方政府的平均赎金为21.4万美元(数量=20)。
勒索软件对商业和运营有重大影响
勒索软件的影响范围远不止对数据库和设备的加密。去年,90%的勒索软件受害者表示,最严重的攻击影响了他们的组织的运营。此外,在私营组织中,86%的人表示这导致他们失去业务/收入。
在2021年遭受攻击的组织需要一个月的时间才能从最严重的攻击中恢复过来,这对大多数公司来说是一段很长的时间。高等教育机构和中央/联邦政府恢复速度最慢,约五分之二的比例其恢复周期高于1个月。相比之下,最快的行业是制造业和生产业(10%在一个月内完成)和金融服务业(12%在一个月内完成),这可能是由于它们具备高水平的恢复规划和准备。
组织无法有效利用其预算和资源来阻止勒索软件
调查显示,简单地投人和钱并不是解决勒索软件问题的好办法,需要投资于正确的技术,并拥有有效使用它的技能方式。
在去年遭受勒索软件袭击的人中,64%的人表示他们的网络安全预算超出了他们的需要,而另有24%的人表示他们的预算数额合适。同样,65%的勒索软件受害者表示,他们的网络安全人员数量超过了需要的数量,23%的人认为他们配备了相应水平的人员。相反,在前一年未受到勒索软件攻击且预计未来不会发生攻击的组织中,他们拥有这种信心背后的首要原因是他们已经培训了IT安全人员或内部部署了能够阻止攻击的安全运营中心(SOC)。
而为了降低与网络攻击相关的财务风险,在受采访的组织中有超过五分之四购买了针对勒索软件的网络保险,能源、石油/天然气和公用事业保险覆盖最广(89%),其次是零售(88%)。从报告统计结果看,网络保险公司几乎会赔偿所有的勒索软件索赔。
应对勒索软件攻击的防御措施
勒索病毒与常规病毒不同,一旦中招,不可挽回,所以防范勒索病毒,首先要从勒索病毒本身出发,深度剖析勒索病毒的普遍性特点,有针对性的进行干预和防范。
通过对流行勒索病毒的分析,我们发现勒索病毒行为具有高度趋同性,由此我们梳理了勒索病毒的杀伤链模型,整个勒索杀伤链涉及感染&准备、遍历&加密、破坏勒索三个环节,感染准备阶段主要行为是漏洞利用、自身模块释放、进程中止和服务清除;遍历加密阶段主要行为是文件遍历、数据加密;破坏勒索阶段主要行为是删除系统备份、弹出勒索通知。
剖析了勒索病毒杀伤链的典型行为特征,接下来我们就能有效应对勒索病毒。威努特主机防勒索系统通过接管操作系统底层驱动,监测高危指令的调用情况,并匹配恶意行为规则树,达到精准的勒索行为监测;通过静态与动态的勒索病毒诱捕技术,给勒索病毒设下重重陷阱,一旦发现系统应用对诱饵文件进行加密操作,将隔离该应用防止其再次运行;基于文件的信息熵的数据智能备份,经过巧妙的设计按需触发,既可以实现勒索病毒的精准防范,又能确保最小的系统资源消耗。
威努特主机防勒索系统从勒索病毒杀伤链入手,设计了检测、防护、恢复三重的技术手段,并且采用六大核心功能来应对勒索病毒,可实现全球范围内勒索病毒的防范,以多种技术手段组合应用、层层递进、相互交叉的方式来保证对勒索病毒进行最有效的防范。
从Vanson Bourne对31个国家的5600名中等规模组织的勒索事件分析报告来看,购买针对勒索软件的网络保险,是减少企业因为网络攻击带来财务损失的有效措施。因为安全技术和产品虽然能提供威胁的防护手段,却无法百分之百规避安全事件发生,残余风险依然会威胁用户的财产安全。2022年11月7日,工信部公开征求对《关于促进网络安全保险规范健康发展的意见(征求意见稿)》中明确提出:“加强网络安全产业政策对网络安全保险的支持,推动网络安全技术服务赋能网络安全保险发展,引导关键信息基础设施保护、新兴融合领域网络安全保障等充分运用网络安全保险”,的目的是通过网络安全保险推动网络安全防护工作的建设。而威努特主机防勒索系统可兼顾风险管理的前三环,最后的残余风险,则可以由防勒索保险方案实现管控兜底,补上风险管理的最后一环。
结语
威努特主机防勒索系统具备强大的勒索病毒防范能力,可保护企业业务数据免遭勒索病毒恶意加密,避免因数据被加密所导致的业务中断和经济损失;具有多层次纵深防范能力,可保护关键业务进程不被非法中断,避免因业务中断所导致的不确定因素,保障系统业务连续性;并且结合网络安全保险,使技术手段无法彻底规避的风险由网络安全保险兜底,转移勒索攻击可能导致的潜在经济损失。
威努特主机防勒索系统可用于医疗、教育、金融、科技、能源、零售等行业,帮助用户构建多层次的勒索病毒防范屏障;以有效的技术手段、完善的网络安全保险,彻底帮助广大用户解决勒索病毒这一顽疾。
