哥斯达黎加政府因勒索攻击宣布进入“国家紧急状态”,这是2022年最受关注的攻击事件,国家财政部因此陷入瘫痪,不仅影响了政府服务,还影响了从事进出口的私营部门。勒索软件组织Conti要求哥斯达黎加政府支付1000万美元的赎金,而后坐地起价增长到2000万美金。
(图片来源:网络)
该事件体现出勒索攻击对政府组织造成的破坏性后果,如果没有足够的网络安全意识和相应的策略应对威胁,那么整个国家都会因为勒索攻击陷入瘫痪。
勒索攻击频繁发生,受攻击领域更加宽泛2021年有近73%的企业遭受到勒索攻击,而在2020年的报告中该数字为55%,同比增长33%,勒索病毒攻击不仅变得越来越频繁,攻击成本也逐年攀升。
据美国财政部发布的一份报告显示,勒索攻击交易额导致受攻击对象的支付成本,由2020年的4.16亿美金增长到2021年的5.9亿美金,攻击事件促使国家增加了额外的财政投入,使各国不得不考虑加强网络安全方面的投资,以降低此类事件发生的概率。
勒索病毒攻击愈演愈烈,受到攻击的领域和行业也逐渐覆盖了关键基础设施建设等,涉及医疗、金融、教育、食品等行业。2022年2月,丰田汽车遭遇网络攻击,涉及日本14家工厂的28条生产线,影响约1.3万辆汽车的生产,占其在日本国内月产量的近5%。
黑客组织ACCN专门瞄准TapTap上的热门小厂家的游戏下手,国产独立手游《弈剑行》在开服第一天便被该组织攻击,被迫将一款主打联机对战的游戏改为单机版,三年的心血由此付之一炬。
(图片来源:网络)
从以上两个案例不难看出,无论是大型企业还是中小微企业,在勒索病毒面前都“无一幸免”,诸如此类的事件每天都在发生,我们需要直面勒索病毒随时可能带来的威胁。
交钱就能保“平安”吗?二次勒索等问题接踵而至那么,如果真的遭遇勒索病毒应该怎么做呢?协商缴纳赎金找回被勒索的数据确实是一种解决办法,但是就此了结这场纠纷的前提是,勒索者是个讲信誉的人,不会坐地起价、不会二次勒索、不会收到赎金后仍然泄漏数据... ...
就目前趋势表明,勒索病毒有着产业化、多元化、场景化的特点,且基本都是有组织的行为,再加上加密货币无法追踪痕迹的特点,不法分子想依靠勒索赎金“发家致富”的不在少数,在靠非法途径获取钱财的人面前,没有信誉可言。
遭遇勒索的受害者会因为各种各样的原因,不得不缴纳赎金以求重新恢复业务秩序,其中支付后不予恢复数据或是发生二次勒索的情况也不在少数。
Cybereason发布的一项调查显示,选择支付勒索赎金的企业中,80%会再次遭遇勒索攻击,其中46%的攻击来自相同的攻击者,而支付赎金以重新访问其系统的企业中,46%表示他们的数据已部分或全部损坏。
也就意味着,缴纳赎金并不是上上策,其中的不确定因素太多,且无形中助长了勒索者的嚣张气焰,不仅业务上遭受的损失无法挽回,还会额外增加不必要的支出。
大企业尚有资金支撑,中小微企业如何度过难关?根据报告数据显示,超过8成的勒索攻击针对的是中小微企业,超9成的中小微企业遭受网络攻击后问题无法完全解决,大企业尚有人力、资金支撑,但缺少资源的中小企业却很难招架勒索病毒。
(图片来源:网络)
中小微企业面临的勒索攻击传播方式有:
网络钓鱼U盘感染勒索攻击弱密码恶意软件云、SaaS应用、系统和软件的漏洞威胁勒索攻击先后给中小微企业带来业务中断、降低企业商业竞争力及发展机会、企业安全运营成本增加、数据泄露等负面影响。
除了外部频发的勒索攻击,中小微企业自身的网络安全方面投入也存在一定的缺失,主要表现为对安全现状认知不足、缺乏安全建设资金、员工安全意识不足等。
当然不仅是中小微企业,连大厂都难逃网络安全意识薄弱的问题。以前段时间的网络钓鱼邮件诈骗为例,大量员工按照邮件要求扫码,并填写了银行账号等信息,被骗走4万余元。
作为规模较大的互联网公司,在本次事件中也暴露出网络安全建设不足、员工网络安全意识薄弱等问题,同样,在中小微企业身上也存在相同的问题,甚至由于资源有限,再加上大环境不景气,各方面开支缩减,问题暴露得更加严重。
黑客无处不在,网络战争目前暗潮涌动,不论何种规模企业,搭建和完善网络安全基础设施都至关重要,企业需要思考目前是否具备防范、响应勒索攻击的能力,特别是在技术手段日新月异的今天,仅靠单一的安全体系并不能完全抵御勒索攻击带来的威胁,企业应当针对不同安全隐患制定相应的解决方案。
2022上半年十大网络攻击事件
01 勒索凶猛!美国数千家公司工资难以发放
1月,专门提供劳动力与人力资本管理解决方案的美国克罗诺斯(Kronos)公司私有云平台遭勒索软件攻击至今已一月有余,但混乱仍在数百万人中蔓延。美国纽约城区超过两万名公共交通从业人员、克里夫兰市公共服务部门工作人员、联邦快递和全食超市员工以及全美各地大量医疗人员等均未能逃脱。
克罗诺斯母公司UKG集团(Ultimate Kronos Group)宣称,受攻击系统有望于1月底恢复正常运营,但客户却对此信心不足。有客户表示,即使系统按时恢复,公司面临的繁重工作也不会随之结束——在服务中断的一个月甚至更长时间里,账务和人事部门均积累了大量记录和报告,必须以手工形式录入克罗诺斯系统。此举甚至有可能导致W-2及其他税务信息的延迟发布。
克利夫兰市首席人力资源官保罗帕顿(Paul Patton)无奈地表示,“我只能说勒索软件攻击的时间点选择非常敏感。年终岁尾,税务部门和普通民众都非常关心他们的账单,但(克罗诺斯)却瘫痪了。”为纠正本市8000余名公务人员的薪酬差错,克利夫兰专门设立了一间由行政工作人员组成的“作战室”。但帕顿认为效果并不明显,因为要做的工作太多了。
02 葡萄牙全国大面积断网:因沃达丰遭破坏性攻击
2月8日,国际电信巨头沃达丰的葡萄牙公司表示,由于遭受了一大波“以损害与破坏为目的的蓄意网络攻击”,其大部分客户数据服务被迫下线。
该公司的4G与5G移动网络、固话语音、电视、短信及语音/数字应答服务目前仍处于离线状态。
这是沃达丰葡萄牙公司迄今为止处理过的最大规模网络安全事件。沃达丰在葡萄牙拥有超过400万手机用户、340万家庭和企业互联网用户,此次网络攻击造成了大规模的网络中断问题。
03 乌克兰政府和银行网站又遭大规模网络攻击被迫关闭
2月23日,乌克兰境内多个政府机构(包括外交部、国防部、内政部、安全局及内阁等)以及两家大型银行的网站再次沦为DDoS攻击的受害者。
专注监测国际互联网状态的民间组织NetBlocks还证实,乌克兰最大银行Privatbank、国家储蓄银行(Oschadbank)的网站也在攻击中遭受重创,目前与政府网站一同陷入瘫痪状态。
乌克兰国家特殊通信与信息保护局(SSCIP)表示,“部分政府与银行机构网站再度遭受大规模DDoS攻击,部分受到攻击的信息系统已经宕机,或处于间歇性不可用状态。”
目前,该部门与他国家网络安全机构“正在努力应对攻击,收集并分析相关信息。”
04 南非公民征信数据全泄露
3月,美国征信巨头TransUnion的南非公司遭巴西黑客团伙袭击,5400万消费者征信数据泄露,绝大多数为南非公民,据了解南非总人口约6060万人;
黑客团伙透露,通过暴力破解入侵了一台存有大量消费者数据的SFTP服务器,该服务器的密码为“Password”。
05 勒索软件攻击已造成国家危机
自4月17日Conti勒索软件攻击爆发以来,已至少影响了哥斯达黎加27个政府机构,其中9个受到严重影响,如征税工作受阻碍、公务员工资发放金额错乱等;
哥国新任总统日前表示,有证据显示,国内有内鬼配合勒索软件团队敲诈政府,这场危机是政府多年未投资网络安全的苦果;
安全专家称,这些犯罪团伙财力雄厚,完全有可能以收买的方式渗透进任何目标组织。
06 意大利多个重要政府网站遭新型DDoS攻击瘫痪
意大利安莎通讯社报道称,当地时间5月11日,意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击,网站无法访问至少1个小时,受影响的还有国际空间站、国家卫生研究所、意大利 汽车 俱乐部等机构的网站。
亲俄黑客团伙Killnet声称对本次攻击负责。此前,他们还曾先后对罗马尼亚门户网站、美国布拉德利国际机场发动过类似攻击。
作为对意大利DDoS攻击新闻报道的回应,Killnet团伙在Telegram频道上发布消息称,未来可能将出现进一步攻击。
07 亲俄黑客组织Killnet宣布对美欧十国政府发动网络战
亲俄罗斯黑客组织Killnet于5月16日宣布,该组织并未对欧洲歌唱大赛发起网络攻击,意大利警方宣称成功阻止网络攻击的说法是错误的。该组织同时宣布将对美国、英国、德国、意大利、拉脱维亚、罗马尼亚、立陶宛、爱沙尼亚、波兰和乌克兰政府发起网络战,声称选择上述国家的原因是其支持“纳粹”和“俄罗斯恐惧症”。
Killnet专门从事分布式拒绝服务(DDoS)攻击,通过大量请求来瘫痪服务器。该黑客组织近期多次对意大利、罗马尼亚、波兰、德国、捷克、拉脱维亚等国政府和其他网站发起网络攻击。
08 俄最大银行遭到最严重DDoS攻击
5月19日,俄罗斯最大银行Sberbank(联邦储蓄银行)官网披露,在5月6日成功击退了有史以来规模最大的DDoS攻击,峰值流量高达450 GB/秒。
次日,普京召开俄罗斯联邦安全会议,称正经历“信息空间战争”。他提出了三项关键任务,以确保俄关键信息基础设施安全。
此次攻击Sberbank主要网站的恶意流量是由一个僵尸网络所生成,该网络包含来自美国、英国、日本和中国台湾的27000台被感染设备。
Sberbank副总裁兼网络安全主管Sergei Lebed称,网络犯罪分子利用各种策略实施网络攻击,包括将代码注入广告脚本、恶意Chrome扩展程序,以及被DDoS工具武器化的Docker容器等。
Lebed表示,他们在过去几个月内检测到超过10万名网络犯罪分子对其展开攻击。仅在3月,他们就记录到46次针对Sberbank不同服务同步发动的攻击活动,其中相当一部分攻击利用到在线流媒体与观影网站的流量。
09 最强间谍软件:难以防范的国家安全威胁
接连曝光的事件引发对监控软件使用的广泛争议。在全球开展的飞马项目调查显示,目前已在世界各地发现超过 450 起疑似飞马入侵事件,受害者分布普及世界各地,包括不少国家的领导人。
目前飞马软件已被美国商务部列入黑名单,正在接受欧洲议会委员会的调查。频发曝光的飞马入侵事件突显出间谍软件构成的国家安全威胁。
10 网络攻击致使 汽车 租赁巨头全球系统中断,业务陷入混乱
5月5日Sixt公司表示,他们4月29日(周五)在IT系统上检测到可疑活动,并很快确认自己遭受到网络攻击。部分业务系统被迫中断,运营出现大量技术问题;公司的客户服务中心和部分分支机构受影响较大,大多数 汽车 预定都是通过笔和纸进行的,服务热线短时离线后恢复,业务陷入混乱。
总部宣称“根据公司的标准防范措施,我们立即限制了对IT系统的访问,同时启动了预先规划好的恢复流程。”但IT系统被限制访问,导致了Sixt公司的客户、代理和业务点发生业务中断。
公司称,此次攻击对公司运营与服务的影响已经被降至最低。据猜测,此次攻击可能属于勒索软件攻击,目前暂时没有相关组织表示负责。
2022年5月勒索病毒态势分析
勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监测与防御,为大量需要帮助的用户提供360反勒索服务。2022年5月,全球新增的活跃勒索病毒家族有:7Locker、EAF、QuickBubck、PSRansom、Cheers、RansomHouse、Mindware等家族,其中Cheers、RansomHouse、Mindware均为具有双重勒索功能的家族。
基于对360反勒索数据的分析研判,360政企安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
根据本月勒索病毒受害者排查反馈统计,Magniber家族占比46.17%居首位,其次是占比15.52%的TargetCompany(Mallox),phobos家族以10.15%位居第三。
本月因大量用户浏览网站时有意或无意下载伪装成Win10/win11的补丁/升级包的Magniber勒索病毒而中招,首次出现单个家族感染量占比近50%的“霸榜”现象。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2008以及Windows 7。
2022年5月被感染的系统中桌面系统和服务器系统占比显示,因Magniber勒索病毒攻击这针对Windows 10和Windows 11,导致桌面PC占比上涨。
今年4月底,Magniber勒索病毒伪装成Wndows10升级补丁包进行大肆传播,360安全大脑对其进行了预警。
而5月初,360安全大脑再次监测到该家族新增对Windows 11系统的攻击,其主要传播的包名也有所更新,比如:
win10-11_system_upgrade_software.msi
covid.warning.readme.xxxxxxxx.msi
其传播方式仍然是各类论坛、破解软件网站、虚假色情站等。用户在访问这些站点时,会被诱导至第三方网盘下载伪装成补丁或更新的勒索病毒。此外也有部分网站存在自动下载情况。
以下是该病毒近期传播针对Windows 11的攻击态势图:
遭到该勒索病毒加密后,文件后缀会被修改为随机后缀,且每个受害者会有一个独立的支付页面——若不能在规定时间内支付赎金,该链接将失效。若受害者能在5天内支付赎金,则只需支付0.09个比特币(截止该报告撰写时,约合人民币17908元),而超过5天赎金将会翻倍。
本月360安全大脑监测发现多起Mallox勒索病毒攻击事件。该病毒主要针对企业的Web应用发起攻击,包括Spring Boot、Weblogic、通达OA等。在其拿下目标设备权限后还会尝试在内网中横向移动,获取更多设备的权限,危害性极大。360提醒用户加强防护,并建议使用360终端安全产品提供的安全补丁,防御查杀该病毒。
360安全大脑监测 历史 显示,Mallox(又被称作Target Company)于2021年10月进入中国,早期主要通过SQLGlobeImposter渠道进行传播(通过获取到数据库口令后,远程下发勒索病毒。该渠道曾长期被GlobeImposter勒索病毒使用)。而今年GlobeImposter勒索病毒的传播量逐渐下降,Mallox就逐渐占据了这一渠道。
除了传播渠道之外,360通过分析近期攻击案例发现攻击者会向Web应用中植入大量的WebShell,而这些文件的文件名中会包含“kk”的特征字符。一旦成功入侵目标设备,攻击者会尝试释放PowerCat、lCX、AnyDesk等黑客工具控制目标机器、创建账户,并尝试远程登录目标机器。此外,攻击者还会使用fscan工具扫描设备所在内网,并尝试攻击内网中的其它机器。在获取到最多设备权限后开始部署勒索病毒。
近日360安全大脑监控到一款新型勒索病毒7Locker,该病毒使用java语言编写,并通过OA系统漏洞进行传播。其本质上是利用7z压缩工具将文件添加密码后进行压缩,被加密压缩后的文件被新增扩展名.7z。每个受害者通过唯一的Client Key查看具体赎金要求以及指定的赎金支付地址。
另外,根据目前已掌握的信息推测:该家族的传播事件有很大概率是中国台湾黑客针对中国内陆发起的勒索攻击。
5月8日星期日,新当选的哥斯达黎加总统查韦斯宣布国家进入紧急状态,理由是多个政府机构正遭到Conti勒索病毒攻击。
Conti勒索病毒最初声称上个月对哥斯达黎加政府进行了攻击。该国的公共卫生机构哥斯达黎加 社会 保障基金(CCSS)早些时候曾表示,“正在对Conti勒索病毒进行外围安全审查,以验证和防止其可能再次发动攻击。”
目前,Conti已发布了大约672 GB的数据,其中似乎包含属于哥斯达黎加政府机构的数据。
以下是本月收集到的黑客邮箱信息:
当前,通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有220个组织/企业遭遇勒索攻击,其中包含中国10个组织/企业(含中国台湾省5个组织/企业)在本月遭遇了双重勒索/多重勒索。
表格2. 受害组织/企业
在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2003。
对2022年5月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2022年5月弱口令攻击态势,发现RDP弱口令攻击和MYSQL弱口令攻击整体无较大波动。MSSQL弱口令攻击虽有波动,但依然处于常规范围内且整体呈上升态势。
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
从解密大师本月解密数据看,解密量最大的是GandCrab,其次是Coffee。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备,其次是被CryptoJoker家族加密的设备。