史上最嚴重的10起勒索軟件攻擊
與今天的勒索軟件攻擊相比,世界上首起勒索軟件攻擊簡直就是小菜一碟。
1989年,出席世界衛生組織(WHO)艾滋病會議的數千名與會者回到家中,結果在自家的郵箱軟盤里發現了一份關于感染艾滋病毒可能性的調查問卷,但是他們沒有發現任何問題。磁盤其實含有一個程序,用于加密計算機文件的名稱。如果這些人想要恢復文件,被告知要向巴拿馬的一個郵箱寄去189美元。
幾年后,隨著互聯網興起、社會向聯網數字世界轉變以及加密貨幣問世,勒索軟件隨之演變。
惡意分子組織起來,勒索軟件即服務(RaaS)浮出水面,雙重或三重勒索攻擊成為常態。
因此,受害者的數量、被索要的金額以及攻擊得逞的影響都在飆升。
NCC集團的全球威脅情報團隊報告顯示,2023年7月的勒索軟件攻擊多達502起,創下紀錄,比2023年6月的434起攻擊增加了16%,是2022年7月觀察到的勒索軟件攻擊數量的兩倍多。Malwarebytes的《2023年勒索軟件狀況》報告發現,勒索軟件的總數也創下了紀錄,一年內僅在美國、法國、德國和英國就發生了1900起攻擊,其中美國幾乎占了一半。
企業因勒索軟件而遭受的損失也在增加。Cybersecurity Ventures預測,到2031年,勒索軟件攻擊將給受害者造成2650億美元的損失——與2017年勒索軟件受害者支付的50億美元相比,增幅驚人。
而金錢損失只是勒索軟件影響的一部分。除了成本外,組織還面臨業務停機、聲譽受損以及客戶信任度下降等風險。此外,勒索軟件具有下游效應,影響到最初攻擊甚至沒有針對的人員和系統。此外,即使攻擊被公開披露,企業為搶救或恢復系統而花費的實際金額(包括支付的贖金以及其他費用)也并不總是公開披露。
因此,量化最嚴重的攻擊可能很棘手。以下是TechTarget編輯部列出的迄今為止10起最具影響力的勒索軟件攻擊,按字母順序排列。
1. Colonial Pipeline
勒索軟件類型:DarkSide RaaS
攻擊者:DarkSide
日期:2021年5月7日
損失:440萬美元(追回約230萬美元)
針對Colonial Pipeline的攻擊,之所以成為最臭名昭著的勒索軟件攻擊之一,很大程度上是由于它對美國民眾的生活造成了影響,居住在美國東南部各州的人突然面臨燃氣供應短缺問題。
Colonial Pipeline擁有一個從得克薩斯州向東南部輸送燃料的管道系統,該公司管理這條管道的計算機系統遭到了勒索軟件攻擊。DarkSide攻擊者通過老式VPN受感染憑據訪問了系統。這家公司配合美國聯邦調查局(FBI),在攻擊發生后數小時內支付了440萬美元的贖金。然而由于該公司難以全面恢復運營,影響持續了數天。
包括美國總統拜登在內的聯邦和州政府官員在攻擊發生后幾天發布了緊急聲明,以確保燃油能夠輸送到受影響地區,并限制損失。這起攻擊還導致拜登在2021年5月12日發布了一道行政令,以加強美國的網絡安全。近一個月后,美國司法部宣布,已繳獲用于支付贖金的440萬美元比特幣中的230萬美元。
2. 哥斯達黎加
勒索軟件類型:Conti
攻擊者:Conti團伙
日期:2022年4月17日
損失:每天3000萬美元
Conti勒索軟件團伙對哥斯達黎加政府機構發動了一起長達數月的攻擊。最初針對財政部的攻擊,是利用泄露的憑據在其系統中安裝惡意軟件。哥斯達黎加科學、創新、技術和電信部以及勞動和社會保障部后來也遭到了攻擊。哥斯達黎加政府被迫關閉多個系統,導致政府付款延遲,貿易放緩和停止,服務受到限制。
在攻擊發生的第一周內,前總統Carlos Alvarado拒絕支付聲稱的1000萬美元罰款。Conti勒索軟件團伙隨后泄露了攻擊中竊取的幾乎所有672GB數據。系統在幾個月后才恢復,但在該國新當選的總統Rodrigo Chaves Robles宣布進入緊急狀態之前并未恢復。
圖1. 勒索軟件攻擊會襲擊形形色色、大大小小的組織,沒有一家組織能夠幸免。
3. Impresa
勒索軟件類型:Lapsus$
攻擊者:Lapsus$
日期:2022年1月1日
損失:未報告
勒索軟件團伙Lapsus$發起了全球最引人注目的勒索軟件攻擊之一,攻擊了葡萄牙最大的媒體集團Impresa。這次攻擊導致其所有網站、周報和電視頻道統統癱瘓。攻擊者還控制了該公司的Twitter帳戶,并聲稱可以訪問該公司的AWS帳戶。據新聞報道,Impresa證實了這起攻擊,但表示勒索軟件團伙沒有提出贖金要求。
此前曾在2021年底攻擊巴西衛生部的Lapsus$發布了一條勒索信息,威脅要公布公司數據。葡萄牙當局稱,針對Impresa的攻擊是該國有史以來最嚴重的網絡攻擊。
4. JBS USA
勒索軟件類型:REvil RaaS
攻擊者:REvil
日期:2021年5月30日
損失:支付1100萬美元贖金
牛肉制造商JBS USA Holdings Inc.在攻擊迫使其關閉運營后,用比特幣向惡意分子支付了1100萬美元的贖金。IT人員最初注意到該公司的一些服務器存在問題,此后不久,該公司就收到了一條索要贖金的信息。JBS旗下的Pilgrim's Pride Corp.也受到了這次攻擊的影響,在JBS支付巨額贖金之后,業務運營在幾天內就恢復了。
5. Kronos
勒索軟件類型:不明
攻擊者:不明
日期:2021年12月11日
損失:除了支付贖金外,Kronos在2023年還支付了600萬美元以了結Kronos的客戶提起的一樁集體訴訟,客戶聲稱該公司在保護系統方面做得不夠到位。
Ultimate Kronos Group是一家業務遍布100多個國家的人力管理軟件開發商,它在2021年底遭到了針對其私有云的勒索軟件攻擊。這起事件影響了全球各地的客戶,引發了長達數年的連鎖反應,并暴露了一起之前起到推波助瀾的安全泄密事件。
Kronos在2021年12月11日發現了該勒索軟件,但后來確定攻擊者早前就侵入了公司的云環境,并竊取了公司數據。那次攻擊暴露了該公司許多企業客戶的員工數據。因此,這些客戶在向員工發放工資時面臨中斷、延誤和錯誤。
Kronos攻擊引發了關于供應商責任的問題,并突顯了第三方風險管理的重要性,因為許多組織認識到針對業務合作伙伴的攻擊也可能會影響到自己。
6. 馬士基
勒索軟件類型:NotPetya
攻擊者:俄羅斯政府撐腰的黑客疑似參與了攻擊
日期:2017年6月27日
損失:約3億美元
作為全球NotPetya攻擊的一部分,丹麥航運巨頭馬士基遭受了大約3億美元的損失。惡意軟件利用了EternalBlue Windows漏洞,并通過合法財務軟件MeDoc的后門進行傳播,將該公司鎖在了其用于運營全球航運碼頭的系統之外。作為一種擦除軟件,NotPetya旨在加密受感染計算機上的所有文件,并且完全擦除或重寫這些文件,使它們無法恢復——即使通過解密也恢復不了,從而造成最大程度的危害,馬士基用了兩周時間才恢復了計算機運營。
7. 瑞士空港公司(Swissport)
勒索軟件類型:BlackCat RaaS
攻擊者:BlackCat
日期:2022年2月3日
損失:航空服務中斷,財務方面的數據未報道
提供機場地面和貨物處理服務的瑞士空港公司(Swissport)在2022年2月宣布,其系統遭到了勒索軟件攻擊。這起事件的影響比較小,在瑞士空港公司恢復系統之前,僅延誤了少量航班。該公司表示,它在24小時內遏制住了一起事件。然而,勒索軟件團伙BlackCat很快表示,它不僅加密了這家公司的文件,還竊取了該公司1.6 TB的數據打算出售,這是一起典型的雙重勒索攻擊。
8. 通濟隆(Travelex)
勒索軟件類型:REvil RaaS
攻擊者:REvil
日期:2019年12月31日
損失:支付了230萬美元贖金,該公司在2020年被迫進入破產管理程序,部分原因就是這起攻擊。
在遭到REvil勒索軟件團伙的攻擊時,通濟隆是全球最大的外匯管理局。攻擊者利用了Pulse Secure VPN服務器的一個已知漏洞,滲入到該公司的系統中,并加密了5GB的數據。他們索要600萬美元的贖金,后來通過談判降到了230萬美元。
這次攻擊使該公司的內部系統癱瘓了近兩周,財務受到極為嚴重的影響,最終迫使該公司在2020年進入破產管理程序。
9. 英國國民保健署(NHS)
勒索軟件類型:WannaCry
攻擊者:與朝鮮有關
日期:2017年5月
損失:9200萬英鎊(約合1億美元)
全球各地的公司都受到了2017年春季開始的WannaCry勒索軟件攻擊的影響。WannaCry是第一個利用Windows系統中EternalBlue漏洞的勒索軟件。
英國國民保健署(NHS)是最主要的WannaCry受害者之一,英格蘭和蘇格蘭的多家醫院、全科醫生和藥店都受到了影響,NHS機構被迫推遲和轉移醫療服務。據報道,沒有與這次攻擊直接相關的死亡事件。
10. 烏克蘭
勒索軟件類型:NotPetya
攻擊者:美國中央情報局聲稱俄羅斯的GRU軍事間諜機構是攻擊者
日期:2017年6月27日
損失:全球估計達100億美元
據網絡安全軟件公司ESET的研究人員聲稱,雖然60多個國家受到了影響,但2017年6月最初的全球性NotPetya攻擊主要針對法國、德國和烏克蘭三國的受害者,而烏克蘭更是遭到了約80%的攻擊。除了私營公司和電力公司運營的網絡受到影響外,烏克蘭的計算機系統也受到了影響。前面提到的馬士基勒索軟件攻擊也是這一系列攻擊的一部分。
