2023年以来,全球勒索软件威胁形势持续恶化,各种类型的勒索攻击规模和破坏性均有明显增长,这严重威胁了企业组织数字化业务的稳定开展。
研究人员还发现,2023年勒索软件攻击在实施策略上相比以往也有了显著变化,攻击者不再以加密数据的方式来索要赎金,而是更倾向于盗窃数据,然后以数据公开或售卖等形式对企业进行勒索。这一变化表明勒索攻击者的犯罪手法在不断翻新,企业需要更加关注对新型勒索方式的防御,以应对不断演变的勒索软件威胁。本文梳理了2023年所发生的12起代表性勒索软件攻击事件,并对其影响进行了分析。
1、2023年1月:英国皇家邮政遭受LockBit勒索攻击
2023年1月,LockBit勒索攻击团伙对英国皇家邮政发起了攻击,并索要8000 万美元赎金。由于皇家邮政最终未满足攻击者的赎金要求,该攻击导致其国际邮件投递服务瘫痪,数百万封信件和包裹滞留在该公司的系统中。
1月12日,皇家邮政声称,网络攻击事件迫使他们停止了国际邮政服务。尽管公司聘请了专业机构帮助恢复业务,但遗憾的是,勒索攻击的影响一直在持续。国际分销服务业务(包括皇家邮政和GLS)的半年财务报告显示,截至2023年9月,公司收入同比下降6.5%,给出的原因正是工业行动和勒索软件入侵。
打印机在皇家邮政分发中心大量打印的LockBit勒索提示
2、2023年2月:ESXiArgs对全球VMware ESXi服务器进行攻击
2月份,勒索软件团伙ESXiArgs通过利用VMware ESXi服务器中的RCE漏洞(CVE-2021-21974),进行了一次大规模的自动化勒索软件攻击行动,影响了全球超过3000台VMware ESXi服务器。虽然VMware公司在2021年初就发布了针对这个漏洞的补丁,但攻击仍然导致众多的服务器被加密。攻击者要求每个受害者支付约2比特币(当时约值45,000美元)。
在攻击开始几天后,黑客释放了一种新的加密恶意软件变种,使恢复被加密的虚拟机变得更加困难。为了使自己的活动更难追踪,他们还停止提供勒索钱包地址,促使受害者通过P2P通信工具Tox进行隐秘联系。
ESXiArgs勒索软件攻击提出的赎金要求
3、2023年3月:Clop团伙利用GoAnywhere MFT中的零日漏洞
2023年3月,Clop勒索团伙开始广泛利用Fortra GoAnywhere MFT(托管文件传输)工具中的一个零日漏洞发起广泛性勒索攻击。这次攻击影响了100多家易受攻击的GoAnywhere MFT服务器,其中包括宝洁公司、多伦多市政府和美国最大的医疗保健提供商Community Health Systems。
连接到互联网的GoAnywhere MFT服务器的地图
4、2023年4月:NCR Aloha POS终端系统因为勒索攻击瘫痪
4月份,ALPHV团伙(又名BlackCat)对美国NCR公司发起勒索攻击,该公司是一家专门从事ATM、条码阅读器、支付终端和其他零售和银行设备制造和维修的公司。这次攻击导致Aloha POS平台数据中心关闭了数天。由于该平台实质上是一个全面的餐饮运营管理系统,涵盖从支付处理、接收在线订单、厨房菜品准备和工资核算等各个方面。由于NCR遭受了勒索软件攻击,许多餐饮公司被迫回归纸笔运营方式。
ALPHV/BlackCat团伙使NCR Aloha POS平台瘫痪
5、2023年5月:达拉斯市遭受勒索软件攻击
2023年5月初,美国德克萨斯州达拉斯市遭受了来自Royal皇家勒索团伙的勒索攻击,导致其多项市政服务中断。据官方确认,达拉斯市许多应用系统服务器被勒索软件破坏,影响了多个功能区域,包括达拉斯警察局网站。由于此次攻击,26212名德州居民和共计30253名个人的私人信息被曝光。根据德州总检察长网站信息显示,泄露的信息包括姓名、地址、社会保障信息、健康信息、健康保险信息等内容。
通过达拉斯市网络打印机输出的攻击勒索信息
6、2023年6月:Clop组织利用MOVEit Transfer漏洞发动大规模攻击
毫无疑问,Clop组织利用MOVEit中的零日漏洞所发起的勒索攻击是2023年最受关注的勒索攻击事件之一。该漏洞自 5 月 27 日左右开始被利用,并在接下来的几周内导致了多波数据泄露事件。攻击所涉及的受害者名单约有600 个组织,另有数据统计显示,最终有近4000 万人受到此次攻击的影响。研究人士认为,此次攻击具有“高度随机性”,既没有专注于“特定的高价值信息”,也没有像之前针对美国政府机构的网络攻击那样具有破坏性。
Clop组织网站指示受影响的公司与他们进行谈判
7、2023年7月:夏威夷大学向NoEscape组织支付赎金
2023年7月,夏威夷大学承认向NoEscape勒索软件攻击组织支付了赎金。据了解,NoEscape是一个相对较新的勒索攻击组织,它们感染了夏威夷大学的社区学院,并窃取了65GB的隐私数据,并威胁将这些数据公开。为了保护28000名学生的个人信息不被泄露,夏威夷大学决定向勒索者支付赎金。
值得注意的是,为了阻止勒索软件的传播,夏威夷大学工作还临时关闭了信息技术系统,其IT基础设施在两个月后才完全恢复正常。
NoEscape宣布对夏威夷大学的黑客攻击
8、2023年8月:Rhysida组织攻击医疗行业
2023年8月,Rhysida勒索软件组织对美国多个州的医院和诊所发动了一系列勒索攻击。该组织声称已窃取了1TB的机密文件和1.3TB的SQL数据库,其中包含了约50GB的病人隐私数据。Rhysida勒索软件组织要求医疗信息系统服务商Prospect Medical Holdings支付赎金以恢复数据,并威胁将泄露受窃数据。
然而,Prospect Medical Holdings公司拒绝支付赎金,并与执法机构合作进行调查。为了应对此次攻击,他们采取了紧急措施,包括隔离受感染的系统和从备份恢复数据。虽然恢复过程非常耗时和复杂,但最终成功地恢复了受影响系统的功能,并没有向攻击者支付赎金。
来自 Rhysida 集团的赎金要求
9、2023年9月:BlackCat攻击了凯撒和MGM赌场
2023年9月,勒索组织BlackCat 对拉斯维加斯两个知名赌场集团发起了勒索软件攻击。米高梅度假村报告称,由于勒索软件攻击,导致服务中断 36 小时,造成巨大的停机成本和财务损失。直到事件发生十天后,米高梅才宣布酒店和赌场恢复“正常运营”。米高梅度假村袭击事件爆发几天后,凯撒娱乐公司也成为勒索袭击的受害者。据凯撒公司的披露显示,攻击者非法访问了“凯撒奖励”忠诚度数据库,攻击者最初要求支付 3000 万美元的赎金,但凯撒通过谈判最终将金额降至 1500 万美元。
凯撒和米高梅拥有拉斯维加斯一半以上的赌场
10、2023年10月:BianLian勒索组织攻击加拿大航空公司
2023年10月,BianLian勒索组织针对加拿大航空公司展开了勒索攻击,并声称窃取了超过210GB的各种信息,包括员工/供应商数据和机密文件。令人关注的是,攻击者在本次攻击中还意外窃取了航空公司的技术违规和现有安全问题等信息,这些信息的泄露可能对加拿大航空造成进一步危害。
BianLian组织通过网站向加拿大航空勒索赎金
11、2023年11月:LockBit组织利用Citrix Bleed漏洞发起攻击
11月份,LockBit组织利用Citrix Bleed漏洞进行了一次大规模的勒索软件攻击。尽管该漏洞的补丁已经提前发布,但仍有超过10,000个公开可访问的服务器上存在漏洞。LockBit勒索软件利用此漏洞入侵了数十家大型公司的系统,窃取数据并加密文件。而波音公司是其中一家知名受害者,攻击者在未等待赎金支付的情况下公开了窃取的数据。
这一事件还严重影响了总部位于迪拜的重要物流公司DP World。DP World 澳洲分公司的业务信息系统遭到破坏,严重干扰了其物流运营,导致约30,000个集装箱滞留在澳大利亚港口。
LockBit勒索软件的网站向波音公司勒索赎金
12、2023年12月:多国执法部门联合打击ALPHV/BlackCat基础设施
2023年,由FBI、美国司法部、欧洲警察组织(Europol)等多国执法机构展开联合行动,成功打击了ALPHV/BlackCat勒索软件组织对其基础设施的控制权。通过这次行动,成功帮助了全球500多家组织免受了勒索威胁,预计节省了约6,800万美元的潜在赎金损失。
此外,有关该勒索软件组织活动的各种统计数据也被公之于众。根据FBI公布的数据显示,在该组织近两年的活动期间,成功侵入了1000多个企业组织,并向受害企业勒索了总计超过5亿美元赎金,并实际收到了大约3亿美元的赎金支付。
图片
执法机构成功打击了ALPHV/BlackCat勒索组织的基础设施系统
参考来源:https://usa.kaspersky.com/blog/ransowmare-attacks-in-2023/29781/