与今天的勒索软件攻击相比，世界上首起勒索软件攻击简直就是小菜一碟。

1989年，出席世界卫生组织（WHO）艾滋病会议的数千名与会者回到家中，结果在自家的邮箱软盘里发现了一份关于感染艾滋病毒可能性的调查问卷，但是他们没有发现任何问题。磁盘其实含有一个程序，用于加密计算机文件的名称。如果这些人想要恢复文件，被告知要向巴拿马的一个邮箱寄去189美元。

几年后，随着互联网兴起、社会向联网数字世界转变以及加密货币问世，勒索软件随之演变。

恶意分子组织起来，勒索软件即服务（RaaS）浮出水面，双重或三重勒索攻击成为常态。

因此，受害者的数量、被索要的金额以及攻击得逞的影响都在飙升。

NCC集团的全球威胁情报团队报告显示，2023年7月的勒索软件攻击多达502起，创下纪录，比2023年6月的434起攻击增加了16%，是2022年7月观察到的勒索软件攻击数量的两倍多。Malwarebytes的《2023年勒索软件状况》报告发现，勒索软件的总数也创下了纪录，一年内仅在美国、法国、德国和英国就发生了1900起攻击，其中美国几乎占了一半。

企业因勒索软件而遭受的损失也在增加。Cybersecurity Ventures预测，到2031年，勒索软件攻击将给受害者造成2650亿美元的损失——与2017年勒索软件受害者支付的50亿美元相比，增幅惊人。

而金钱损失只是勒索软件影响的一部分。除了成本外，组织还面临业务停机、声誉受损以及客户信任度下降等风险。此外，勒索软件具有下游效应，影响到最初攻击甚至没有针对的人员和系统。此外，即使攻击被公开披露，企业为抢救或恢复系统而花费的实际金额（包括支付的赎金以及其他费用）也并不总是公开披露。

因此，量化最严重的攻击可能很棘手。以下是TechTarget编辑部列出的迄今为止10起最具影响力的勒索软件攻击，按字母顺序排列。

1. Colonial Pipeline

勒索软件类型：DarkSide RaaS

攻击者：DarkSide

日期：2021年5月7日

损失：440万美元（追回约230万美元）

针对Colonial Pipeline的攻击，之所以成为最臭名昭著的勒索软件攻击之一，很大程度上是由于它对美国民众的生活造成了影响，居住在美国东南部各州的人突然面临燃气供应短缺问题。

Colonial Pipeline拥有一个从得克萨斯州向东南部输送燃料的管道系统，该公司管理这条管道的计算机系统遭到了勒索软件攻击。DarkSide攻击者通过老式VPN受感染凭据访问了系统。这家公司配合美国联邦调查局（FBI），在攻击发生后数小时内支付了440万美元的赎金。然而由于该公司难以全面恢复运营，影响持续了数天。

包括美国总统拜登在内的联邦和州政府官员在攻击发生后几天发布了紧急声明，以确保燃油能够输送到受影响地区，并限制损失。这起攻击还导致拜登在2021年5月12日发布了一道行政令，以加强美国的网络安全。近一个月后，美国司法部宣布，已缴获用于支付赎金的440万美元比特币中的230万美元。

2. 哥斯达黎加

勒索软件类型：Conti

攻击者：Conti团伙

日期：2022年4月17日

损失：每天3000万美元

Conti勒索软件团伙对哥斯达黎加政府机构发动了一起长达数月的攻击。最初针对财政部的攻击，是利用泄露的凭据在其系统中安装恶意软件。哥斯达黎加科学、创新、技术和电信部以及劳动和社会保障部后来也遭到了攻击。哥斯达黎加政府被迫关闭多个系统，导致政府付款延迟，贸易放缓和停止，服务受到限制。

在攻击发生的第一周内，前总统Carlos Alvarado拒绝支付声称的1000万美元罚款。Conti勒索软件团伙随后泄露了攻击中窃取的几乎所有672GB数据。系统在几个月后才恢复，但在该国新当选的总统Rodrigo Chaves Robles宣布进入紧急状态之前并未恢复。

图1. 勒索软件攻击会袭击形形色色、大大小小的组织，没有一家组织能够幸免。

3. Impresa

勒索软件类型：Lapsus$

攻击者：Lapsus$

日期：2022年1月1日

损失：未报告

勒索软件团伙Lapsus$发起了全球最引人注目的勒索软件攻击之一，攻击了葡萄牙最大的媒体集团Impresa。这次攻击导致其所有网站、周报和电视频道统统瘫痪。攻击者还控制了该公司的Twitter帐户，并声称可以访问该公司的AWS帐户。据新闻报道，Impresa证实了这起攻击，但表示勒索软件团伙没有提出赎金要求。

此前曾在2021年底攻击巴西卫生部的Lapsus$发布了一条勒索信息，威胁要公布公司数据。葡萄牙当局称，针对Impresa的攻击是该国有史以来最严重的网络攻击。

4. JBS USA

勒索软件类型：REvil RaaS

攻击者：REvil

日期：2021年5月30日

损失：支付1100万美元赎金

牛肉制造商JBS USA Holdings Inc.在攻击迫使其关闭运营后，用比特币向恶意分子支付了1100万美元的赎金。IT人员最初注意到该公司的一些服务器存在问题，此后不久，该公司就收到了一条索要赎金的信息。JBS旗下的Pilgrim's Pride Corp.也受到了这次攻击的影响，在JBS支付巨额赎金之后，业务运营在几天内就恢复了。

5. Kronos

勒索软件类型：不明

攻击者：不明

日期：2021年12月11日

损失：除了支付赎金外，Kronos在2023年还支付了600万美元以了结Kronos的客户提起的一桩集体诉讼，客户声称该公司在保护系统方面做得不够到位。

Ultimate Kronos Group是一家业务遍布100多个国家的人力管理软件开发商，它在2021年底遭到了针对其私有云的勒索软件攻击。这起事件影响了全球各地的客户，引发了长达数年的连锁反应，并暴露了一起之前起到推波助澜的安全泄密事件。

Kronos在2021年12月11日发现了该勒索软件，但后来确定攻击者早前就侵入了公司的云环境，并窃取了公司数据。那次攻击暴露了该公司许多企业客户的员工数据。因此，这些客户在向员工发放工资时面临中断、延误和错误。

Kronos攻击引发了关于供应商责任的问题，并突显了第三方风险管理的重要性，因为许多组织认识到针对业务合作伙伴的攻击也可能会影响到自己。

6. 马士基

勒索软件类型：NotPetya

攻击者：俄罗斯政府撑腰的黑客疑似参与了攻击

日期：2017年6月27日

损失：约3亿美元

作为全球NotPetya攻击的一部分，丹麦航运巨头马士基遭受了大约3亿美元的损失。恶意软件利用了EternalBlue Windows漏洞，并通过合法财务软件MeDoc的后门进行传播，将该公司锁在了其用于运营全球航运码头的系统之外。作为一种擦除软件，NotPetya旨在加密受感染计算机上的所有文件，并且完全擦除或重写这些文件，使它们无法恢复——即使通过解密也恢复不了，从而造成最大程度的危害，马士基用了两周时间才恢复了计算机运营。

7. 瑞士空港公司（Swissport）

勒索软件类型：BlackCat RaaS

攻击者：BlackCat

日期：2022年2月3日

损失：航空服务中断，财务方面的数据未报道

提供机场地面和货物处理服务的瑞士空港公司（Swissport）在2022年2月宣布，其系统遭到了勒索软件攻击。这起事件的影响比较小，在瑞士空港公司恢复系统之前，仅延误了少量航班。该公司表示，它在24小时内遏制住了一起事件。然而，勒索软件团伙BlackCat很快表示，它不仅加密了这家公司的文件，还窃取了该公司1.6 TB的数据打算出售，这是一起典型的双重勒索攻击。

8. 通济隆（Travelex）

勒索软件类型：REvil RaaS

攻击者：REvil

日期：2019年12月31日

损失：支付了230万美元赎金，该公司在2020年被迫进入破产管理程序，部分原因就是这起攻击。

在遭到REvil勒索软件团伙的攻击时，通济隆是全球最大的外汇管理局。攻击者利用了Pulse Secure VPN服务器的一个已知漏洞，渗入到该公司的系统中，并加密了5GB的数据。他们索要600万美元的赎金，后来通过谈判降到了230万美元。

这次攻击使该公司的内部系统瘫痪了近两周，财务受到极为严重的影响，最终迫使该公司在2020年进入破产管理程序。

9. 英国国民保健署（NHS）

勒索软件类型：WannaCry

攻击者：与朝鲜有关

日期：2017年5月

损失：9200万英镑（约合1亿美元）

全球各地的公司都受到了2017年春季开始的WannaCry勒索软件攻击的影响。WannaCry是第一个利用Windows系统中EternalBlue漏洞的勒索软件。

英国国民保健署（NHS）是最主要的WannaCry受害者之一，英格兰和苏格兰的多家医院、全科医生和药店都受到了影响，NHS机构被迫推迟和转移医疗服务。据报道，没有与这次攻击直接相关的死亡事件。

10. 乌克兰

勒索软件类型：NotPetya

攻击者：美国中央情报局声称俄罗斯的GRU军事间谍机构是攻击者

日期：2017年6月27日

损失：全球估计达100亿美元

据网络安全软件公司ESET的研究人员声称，虽然60多个国家受到了影响，但2017年6月最初的全球性NotPetya攻击主要针对法国、德国和乌克兰三国的受害者，而乌克兰更是遭到了约80%的攻击。除了私营公司和电力公司运营的网络受到影响外，乌克兰的计算机系统也受到了影响。前面提到的马士基勒索软件攻击也是这一系列攻击的一部分。