勒索軟件病毒正在隨著時(shí)間的推移變得更具危害性。更糟糕的是，今年已經(jīng)出現(xiàn)了許多新的勒索軟件即服務(wù)（RaaS）團(tuán)伙，例如Mindware、Onyx和Black Basta，以及惡名昭著的勒索軟件運(yùn)營(yíng)商REvil的回歸。所有這些都指向一個(gè)事實(shí)：勒索軟件攻擊無(wú)處不在，企業(yè)組織隨時(shí)可能淪為下一個(gè)受害者。

　　在2022年即將結(jié)束之際，一起來(lái)回顧一下今年以來(lái)發(fā)生的14起重大勒索軟件攻擊事件，這些事件的勒索貨幣金額均超過(guò)了100萬(wàn)美金。總結(jié)這些勒索軟件攻擊的目的是為了更好地洞察網(wǎng)絡(luò)犯罪分子的策略和意圖，以便能夠深入了解勒索軟件的危害，并更好地防范此類(lèi)威脅。在勒索軟件攻擊威脅下，沒(méi)有組織是絕對(duì)安全的。因此，提前制定適當(dāng)?shù)睦账鬈浖录憫?yīng)計(jì)劃至關(guān)重要。

　　1 哥斯達(dá)黎加政府

　　勒索贖金：2000萬(wàn)美元

　　這是2022年最受關(guān)注的攻擊事件，因?yàn)檫@是一個(gè)國(guó)家首次宣布進(jìn)入“國(guó)家緊急狀態(tài)”以應(yīng)對(duì)勒索軟件攻擊。調(diào)查顯示，從4月中旬到5月初，27個(gè)政府機(jī)構(gòu)成為第一波攻擊活動(dòng)的目標(biāo)。國(guó)家財(cái)政部數(shù)TB數(shù)據(jù)和800多臺(tái)服務(wù)器受到影響，數(shù)字稅務(wù)服務(wù)和海關(guān)控制IT系統(tǒng)癱瘓，不僅影響了政府服務(wù)，還影響了從事進(jìn)出口的私營(yíng)部門(mén)。

　　勒索軟件組織Conti聲稱對(duì)此輪攻擊負(fù)責(zé)，并要求哥斯達(dá)黎加政府支付1000萬(wàn)美元的贖金，后來(lái)這一金額又增加到2000萬(wàn)美元。5月31日開(kāi)始，另一波攻擊使該國(guó)的醫(yī)療保健系統(tǒng)陷入混亂。這次與HIVE相關(guān)的攻擊直接影響了哥斯達(dá)黎加的普通民眾，因?yàn)樗乖搰?guó)的醫(yī)療保健系統(tǒng)被非正常下線。

　　這一系列針對(duì)哥斯達(dá)黎加政府的攻擊，清楚地展示了勒索軟件攻擊可能對(duì)政府組織造成的嚴(yán)重破壞性后果，這或?qū)㈤_(kāi)啟一個(gè)新的勒索軟件時(shí)代。如果沒(méi)有投入足夠的資源進(jìn)行勒索軟件攻擊準(zhǔn)備和緩解，以及為全體工作人員等提供網(wǎng)絡(luò)安全意識(shí)和技能培訓(xùn)以應(yīng)對(duì)此類(lèi)威脅，那么整個(gè)國(guó)家都可能因?yàn)榫W(wǎng)絡(luò)攻擊而陷入癱瘓。

　　2 Center Hospitalier Sud Francilien（CHSF）醫(yī)院

　　勒索贖金：1000萬(wàn)美元

　　今年8月，法國(guó)巴黎的一家醫(yī)院Center Hospitalier Sud Francilien（CHSF）遭遇網(wǎng)絡(luò)攻擊，迫使其將患者轉(zhuǎn)診至其他機(jī)構(gòu)，并推遲了多臺(tái)手術(shù)計(jì)劃。據(jù)悉，CHSF為當(dāng)?shù)?0萬(wàn)居民提供診療服務(wù)，因此其運(yùn)營(yíng)中斷，給身處危急關(guān)頭的病患造成嚴(yán)重的健康甚至生命威脅。

　　CHSF在隨后發(fā)布的公告中表示，此次網(wǎng)絡(luò)攻擊致使醫(yī)院的業(yè)務(wù)軟件、存儲(chǔ)系統(tǒng)（特別是醫(yī)學(xué)影像）及與患者入院相關(guān)的信息系統(tǒng)暫時(shí)無(wú)法訪問(wèn)。勒索軟件團(tuán)伙要求醫(yī)院支付1000萬(wàn)美元以換取解密密鑰。

　　研究人員在此次事件中發(fā)現(xiàn)了LockBit 3.0感染的跡象，國(guó)家憲兵部門(mén)隨后介入調(diào)查，并開(kāi)始追蹤Ragnar Locker和LockBit。如果LockBit 3.0確實(shí)就是CHSF攻擊事件的幕后黑手，那他們就違反了RaaS的“行規(guī)”，即不得向醫(yī)療保健服務(wù)商的系統(tǒng)發(fā)動(dòng)加密攻擊。

　　3 黑山政府部門(mén)和國(guó)家議會(huì)

　　勒索贖金：1000萬(wàn)美元

　　2022年9月，歐洲國(guó)家黑山的多個(gè)政府部門(mén)遭遇超大規(guī)模網(wǎng)絡(luò)攻擊，致使超過(guò)10個(gè)政府機(jī)構(gòu)的150多個(gè)工作站均無(wú)法訪問(wèn)。此次攻擊采用了勒索軟件與分布式拒絕服務(wù)（DDoS）相結(jié)合的方式，不僅擾亂了政府服務(wù)，還迫使該國(guó)的電力系統(tǒng)轉(zhuǎn)為手動(dòng)控制。Cuba勒索軟件組織宣稱對(duì)此次攻擊負(fù)部分責(zé)任，他們使用Cuba勒索軟件感染了黑山議會(huì)辦公室網(wǎng)絡(luò)，并在勒索門(mén)戶上發(fā)布了黑山議會(huì)勒索公告，稱竊取了財(cái)務(wù)文件、銀行通信內(nèi)容、資產(chǎn)負(fù)債表、稅務(wù)文件、賠償金乃至源代碼。這些文件免費(fèi)發(fā)布，任何人均可下載。

　　4 律師事務(wù)所Ward Hadaway

　　勒索贖金：價(jià)值600萬(wàn)美元的比特幣

　　全球排名Top 100的律師事務(wù)所Ward Hadaway在今年3月發(fā)現(xiàn)了一次網(wǎng)絡(luò)攻擊，一名匿名黑客警告稱，如果一周內(nèi)不支付300萬(wàn)美元，從其IT系統(tǒng)下載的文件和數(shù)據(jù)將被公布在網(wǎng)上，逾期贖金將翻倍至600萬(wàn)美元。

　　黑客還向Ward Hadaway發(fā)送了一份在攻擊中被復(fù)制的數(shù)據(jù)和文件的列表，其中一些已經(jīng)以加密的形式上傳到網(wǎng)上。Ward Hadaway的IT系統(tǒng)擁有大量的機(jī)密信息，包括個(gè)人數(shù)據(jù)，其中一些甚至是非常敏感的個(gè)人數(shù)據(jù)。不過(guò)幸運(yùn)的是，公司的文件管理系統(tǒng)并未受到勒索攻擊影響，所以這起事件并沒(méi)有造成Ward Hadaway公司日常業(yè)務(wù)運(yùn)營(yíng)的中斷。

　　5 奧地利卡林西亞州政府

　　勒索贖金：價(jià)值500萬(wàn)美元的比特幣

　　2022年5月，網(wǎng)絡(luò)犯罪組織Black Cat（也被稱為ALPHV）聲稱獲取了奧地利卡林西亞州政府的敏感數(shù)據(jù)和解密軟件訪問(wèn)權(quán)限，并向其索要價(jià)值500萬(wàn)美元的比特幣來(lái)解鎖加密的計(jì)算機(jī)系統(tǒng)。攻擊者加密了數(shù)千個(gè)政府機(jī)構(gòu)的工作站，導(dǎo)致政府服務(wù)嚴(yán)重中斷?？治鱽喼菡W(wǎng)站和電子郵件服務(wù)也一度暫時(shí)關(guān)閉，導(dǎo)致政府無(wú)法發(fā)放新護(hù)照或交通罰單。此外，此次攻擊還妨礙了該地區(qū)行政辦公室關(guān)于新冠病毒檢測(cè)和接觸者追蹤的防疫工作。最終，政府拒絕了支付贖金，理由是沒(méi)有證據(jù)表明Black Ca已經(jīng)從其系統(tǒng)中獲取敏感性數(shù)據(jù)，而且州政府能夠使用可訪問(wèn)的備份來(lái)恢復(fù)工作站運(yùn)行。

　　6 意大利鐵路公司Trenitalia

　　勒索贖金：價(jià)值500萬(wàn)美元的比特幣

　　2022年3月，Hive勒索軟件組織攻擊了意大利鐵路公司Trenitalia的計(jì)算機(jī)系統(tǒng)，影響了公司員工電腦和系統(tǒng)的正常運(yùn)行。此外，與Trenitalia連接的票務(wù)系統(tǒng)Trenord也受到了黑客攻擊的影響。不過(guò)，Trenord系統(tǒng)可以通過(guò)防止受影響的車(chē)票銷(xiāo)售，保持相對(duì)正常的業(yè)務(wù)運(yùn)行。

　　Hive組織提出了500萬(wàn)美元的比特幣贖金要求，期限為三天，否則金額將翻倍至1000萬(wàn)美元。目前還不清楚Trenitalia最終是否支付了贖金。

　　7 美國(guó)麥嶺市（City of Wheat Ridge）公共市政系統(tǒng)

　　勒索贖金：500萬(wàn)美元

　　2022年8月，美國(guó)科羅拉多州麥嶺市的市政服務(wù)系統(tǒng)遭遇勒索軟件攻擊，致使電話、電子郵件系統(tǒng)和其他市政服務(wù)系統(tǒng)關(guān)閉了一個(gè)多星期。

　　犯罪分子索要500萬(wàn)美元來(lái)解鎖麥嶺市的市政數(shù)據(jù)和計(jì)算機(jī)系統(tǒng)，并要求用一種難以追蹤的加密貨幣Monero來(lái)支付。據(jù)悉，這些數(shù)據(jù)和系統(tǒng)被一個(gè)神秘的海外勒索軟件控制。但該市官員決定拒絕支付贖金，并與該市的IT專(zhuān)業(yè)人士一起努力從可行的備份恢復(fù)存儲(chǔ)在該市網(wǎng)絡(luò)中的文件。值得一提的是，此次攻擊背后的惡意行為者同樣是Black Cat組織。網(wǎng)絡(luò)安全專(zhuān)家認(rèn)為，Black Cat勒索軟件極具攻擊性，并且危害巨大。它是用一種叫做Rust的編程語(yǔ)言開(kāi)發(fā)，系統(tǒng)管理員通常很難發(fā)現(xiàn)這種語(yǔ)言。

　　8 意大利比薩大學(xué)（University of Pisa）

　　勒索贖金：500萬(wàn)美元

　　2022年6月，意大利的比薩大學(xué)淪為Black Cat的目標(biāo)。攻擊者要求學(xué)校管理層支付450萬(wàn)美元來(lái)恢復(fù)對(duì)已鎖定數(shù)據(jù)的訪問(wèn)權(quán)限，如果規(guī)定時(shí)間內(nèi)未受到贖金，贖金金額將增加到500萬(wàn)美元。攻擊者還竊取了比薩大學(xué)專(zhuān)用瀏覽器Tor上一個(gè)聊天應(yīng)用的獨(dú)家訪問(wèn)權(quán)來(lái)訪問(wèn)暗網(wǎng)，以此來(lái)回應(yīng)贖金要求。在此次攻擊中，BlackCat使用了雙重甚至三重勒索策略，威脅稱“如果得不到報(bào)酬就泄露關(guān)鍵信息”。對(duì)于受害者來(lái)說(shuō)，這無(wú)疑是最糟糕的時(shí)刻。因?yàn)樵诖酥?，帕勒莫的市政選舉已經(jīng)受到勒索軟件攻擊的嚴(yán)重干擾。

　　9 羅馬尼亞石油公司Rompetrol

　　勒索贖金：200萬(wàn)美元

　　2022年3月，羅馬尼亞最大的煉油廠，年產(chǎn)量超過(guò)500萬(wàn)噸石油公司Rompetrol成為Hive勒索組織的攻擊目標(biāo)。由于此次攻擊，Rompetrol被迫關(guān)閉了其網(wǎng)站和加油站的會(huì)員卡服務(wù)，不過(guò)顧客可以選擇用現(xiàn)金或銀行卡付款。據(jù)了解，這次攻擊影響了該公司的大部分IT服務(wù)，Hive組織威脅稱，除非Rompetrol支付200萬(wàn)美元的贖金，否則他們將泄露竊取的數(shù)據(jù)。

　　在攻擊發(fā)生之前，Rompetrol母公司KMG剛剛宣布，Rompetrol Rafinare將在3月11日至4月3日期間關(guān)閉，以按計(jì)劃進(jìn)行技術(shù)改造，這一計(jì)劃同樣受到了勒索攻擊的影響。

　　10 法國(guó)服裝公司Damart

　　勒索贖金：200萬(wàn)美元

　　2022年9月，在全球擁有130多家門(mén)店的法國(guó)服裝品牌Damart遭到Hive網(wǎng)絡(luò)犯罪團(tuán)伙的攻擊，并索要200萬(wàn)美元的贖金。這次攻擊被證實(shí)訪問(wèn)了Damart的活動(dòng)目錄，盡管Damart主動(dòng)關(guān)閉了系統(tǒng)以保護(hù)它們，但這次網(wǎng)絡(luò)攻擊還是影響了92家商店，并影響到這些門(mén)店處理新訂單的能力，客戶支持服務(wù)也無(wú)法提供。Damart并沒(méi)有直接與網(wǎng)絡(luò)犯罪分子進(jìn)行談判，而是將事件通知了國(guó)家警察，這使得Hive不太可能收到贖金。目前尚不清楚Hive在網(wǎng)絡(luò)入侵過(guò)程中是否成功竊取了Damart公司的用戶隱私等敏感數(shù)據(jù)。然而，該團(tuán)伙過(guò)去曾成功地采用過(guò)“雙重勒索”策略，即在加密數(shù)據(jù)之前先竊取數(shù)據(jù)。

　　11 蒂夫特地區(qū)醫(yī)療中心

　　勒索贖金：115萬(wàn)美元

　　美國(guó)喬治亞州的蒂夫特地區(qū)醫(yī)療中心在2022年7月成為攻擊目標(biāo)，但直到與Hive團(tuán)伙的談判破裂后，事件才被公之于眾。

　　在7月和8月發(fā)生的黑客攻擊中，Hive團(tuán)伙竊取了該醫(yī)療中心約1TB的數(shù)據(jù)，其中包括診療記錄、員工工資記錄和機(jī)密商業(yè)信息。該組織于8月25日給醫(yī)療中心發(fā)郵件正式提出了115萬(wàn)美金的勒索要求，并提供了一些被盜信息的鏈接，但Tift僅支付了10萬(wàn)美元作為回應(yīng)。對(duì)此，Hive的回復(fù)也非常有趣：“告訴董事會(huì)他們可以留下10萬(wàn)美元請(qǐng)律師。我們將公布這些數(shù)據(jù)?！?/p>

　　12 澳洲電信運(yùn)營(yíng)商O(píng)ptus

　　勒索贖金：價(jià)值100萬(wàn)美元的加密貨幣

　　2022年9月，澳大利亞電信公司Optus遭遇不明身份的勒索組織攻擊，1120萬(wàn)用戶的數(shù)據(jù)被竊，可能泄露的信息包括客戶的姓名、出生日期、電話號(hào)碼、電子郵件地址，還有部分客戶的地址、身份證號(hào)碼，如駕照或護(hù)照號(hào)碼。

　　攻擊者要求Optus支付價(jià)值100萬(wàn)美元的門(mén)羅幣（Monero），以阻止他們出售竊取的數(shù)據(jù)。但Optus方面最終拒絕支付贖金，并聯(lián)系了澳大利亞聯(lián)邦警察調(diào)查此事。

　　13 美國(guó)格倫縣教育辦公室

　　勒索贖金：100萬(wàn)美元

　　2022年5月，美國(guó)加利福尼亞州格倫縣教育辦公室（GCOE）和學(xué)區(qū)遭到Quantum勒索軟件組織的攻擊，并被索要100萬(wàn)美元贖金。隨后，GCOE和Quantum組織進(jìn)行了談判。Quantum組織向GCOE的談判代表提供了壓縮文件存檔，作為他們?cè)L問(wèn)過(guò)系統(tǒng)的證據(jù)。最終，GCOE向Quantum組織支付了40萬(wàn)美元的贖金，以獲得解密密鑰和某些保證。Quantum組織則向該縣保證，它將刪除所有文件，并提供刪除的證據(jù)，解釋他們是如何進(jìn)入網(wǎng)絡(luò)的，以及他們?cè)谀抢镒隽耸裁?，提供一份被竊取的所有文件的完整清單，同時(shí)保證他們不會(huì)再次攻擊該地區(qū)，也不會(huì)出售任何被竊取的數(shù)據(jù)。

　　14 英偉達(dá)（Nvidia）

　　勒索贖金：100萬(wàn)美元

　　2022年2月底，全球知名的半導(dǎo)體芯片公司英偉達(dá)被爆遭到勒索軟件攻擊，不久后，英偉達(dá)公司官方證實(shí)遭到入侵，攻擊者已開(kāi)始在線泄露了員工憑據(jù)和私密信息。勒索軟件組織Lapsus$聲稱對(duì)此次攻擊負(fù)責(zé)，并表示他們可以訪問(wèn)1TB的企業(yè)數(shù)據(jù)，如果英偉達(dá)拒絕支付100萬(wàn)美元的贖金和一定比例的未指明費(fèi)用，他們將在線泄露這些數(shù)據(jù)。

　　媒體報(bào)道稱，由于英偉達(dá)的內(nèi)部系統(tǒng)遭到入侵，它不得不將部分業(yè)務(wù)下線兩天。然而，該公司后來(lái)聲稱此次攻擊并未以任何方式影響其運(yùn)營(yíng)，公司通過(guò)加強(qiáng)其安全性并立即聘請(qǐng)網(wǎng)絡(luò)事件響應(yīng)專(zhuān)家來(lái)控制局勢(shì)，迅速對(duì)勒索軟件攻擊作出響應(yīng)。一些報(bào)道表示，英偉達(dá)方面“反黑”了黑客，通過(guò)設(shè)法跟蹤Lapsus$成員并在他們的系統(tǒng)上安裝病毒木馬進(jìn)行反制。但以上信息的真實(shí)性如何并未得到證實(shí)。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<