自2017年WannaCry席卷全球以来,勒索软件攻击不断演变,并逐渐形成产业化,其攻击规模、影响及破坏效果进一步扩大,已经对全球制造、金融、能源、医疗、政府组织等关键领域造成严重影响,在某些事件中,攻击者挟持关键基础设施进而索要高额赎金,甚至可能影响国家的正常运作能力。
根据《2022年年中网络威胁报告》显示,仅2022年1-6月全球就记录了2.361亿次勒索软件攻击,还有报告称,80%的网络安全领导者认为勒索软件是对公共安全的重大威胁,并预测勒索软件损害将从2015年的3.25亿美元增长至2031年的2650亿美元。
种种迹象都指向一个事实:勒索软件攻击愈演愈烈,无论是个人、企业还是组织都随时可能沦为下一个受害者。同时,随着企业数字化转型的推进,供应链安全风险日益严峻,勒索攻击手法持续进化,多重勒索成为常态,勒索攻击对产业安全威胁有增无减。
为更好了解勒索软件攻击的技术演进与发展态势,深入洞察网络犯罪分子的动机和策略,本文将盘点近六年来全球范围内十大勒索软件攻击事件,以期为企业建立事前防护、事中持续监测、事后快速响应及安全加固的全流程勒索软件防护体系提供价值参考。
01 WannaCry席卷全球——勒索病毒首次引发全球关注
2017年5月,WannaCry勒索软件攻击席卷全球,至少150个国家和地区、30万名用户、超过10万台电脑遭到了勒索病毒攻击、感染,造成损失超过80亿美元,影响金融、能源、医疗等众多行业。
中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,大量实验室数据和毕业设计被锁定加密;部分大型企业的应用系统和数据库文件被加密后无法正常工作,影响巨大。至此,勒索软件攻击正式走入大众视野并引发全球关注。
02 NotPetya剑指基础设施 ——史上破坏力最强的勒索攻击之一
2017年6月,NotPetya被用于发动了一次针对乌克兰基础设施的大爆破,仅基辅就有4家医院、6家电力公司、2个机场、超过22家乌克兰银行受到打击,零售商和交通运输业的ATM和卡支付系统,以及几乎每一家联邦机构均受波及。
源自对本地会计软件包MeDoc的更新,这场恶意攻击的辐射范围是全世界。攻击者利用EternalBlue和Mimikatz漏洞搭配出了一个致命组合,迅速席卷欧美,俄罗斯、波兰、法国、意大利、英国、德国和美国等60多个国家和地区的的港口、工厂和办公室等设施。据美国白宫统计,NotPetya给全球经济造成了超过100亿美元的损失,成为历史上最广泛、最具破坏性的国际网络攻击事件之一。
03 Bad Rabbit伪装突袭 ——首次敲响数据安全防护警钟
2017年10月,新型勒索病毒Bad Rabbit突袭东欧,俄罗斯、乌克兰、保加利亚、土耳其、日本和其它多国的组织机构受到影响,为企业数据安全防护敲响了警钟。Bad Rabbit通过伪装成Adobe Flash Player安装程序诱骗用户下载运行,感染后会使用弱口令攻击局域网中的其它机器。据统计,全球共有超过200家机构和企业受到了攻击,包括基辅地铁、敖德萨机场、国际文传电讯社在内的一些乌克兰、俄罗斯公司及基础设施受灾严重。
04 GandGrab围猎大型企业 ——最为活跃的勒索病毒之一
2018年1月,GandGrab勒索家族首次出现,通过暗网的RaaS模式向病毒传播者分发勒索病毒,主要通过邮件进行传播,采用RSA+ASE加密的方式进行加密,文件无法还原。GandCrab是首个使用达世币(DASH)作为赎金的勒索病毒,也是2018年也是最为活跃的病毒之一。其传播方式之多,包括弱口令爆破、钓鱼邮件攻击、网页挂马攻击、水坑攻击等;更新速度之快,在1年时间内更新了5个大版本,数个小版本;波及范围之广,影响了罗纳尼亚、巴西、印度等数十国家地区,全球累计超过150万用户受到感染;积累黑产利润之高,面世以来竟积累了高达20亿美金。
05 SamSam昂贵一击 ——创下最高恢复成本
2018年3月,一款名为SamSam的勒索软件导致亚特兰大市多个城市在线服务中断,众多内部应用软件和面向客户的应用软件因服务器宕机而无法正常使用,包括客户用于支付账单或访问法院相关信息的一些应用软件,造成损失达数百万美元。此外,有报道称,亚特兰大勒索软件的恢复成本高达1700万美元,是2018年美国所有地方政府遭受的最为昂贵的攻击之一。
06 Demant受重创 ——创下最高网络保险赔偿的攻击事件之一
2019年9月,全球最大的助听器制造商之一Demant遭受勒索软件攻击。尽管该公司已经通过关闭多个站点和业务部门中的IT系统来限制事件的进一步发酵,但整个价值链的关键业务流程仍然受到事件的影响,包括研发,生产和分销。这些中断的累积影响将对该公司2019全年造成将近上亿美元的损失,该金额本来会更高,但该公司预计会收到1460万美元的网络保险赔偿。这是NotPetya勒索软件爆发之后造成最重大损失的网络安全事件之一。
07 DoppelPaymer双重勒索攻击 ——影响最广泛的多重勒索手段
2020年3月,特斯拉、波音、洛克希德·马丁公司和SpaceX等行业巨头的零件供应商Visser Precision遭受勒索软件DoppelPaymer攻击。该公司的军事装备数据、账单及付款数据、供应商信息及相关保密协议以及一些法律文书等内容被窃取并被加密,随后被索要赎金,但Visser Precision并未选择进行支付,最终导致这其中的内容被公开。显然,MegaCortex运营者先窃取数据再索要赎金的双重勒索策略,给了DoppelPaymer运营者极大的启发。
08 Darkside痛击全球产业链 ——美国关基遭受的最重网络攻击之一
2021年5月,美国最大油气管道运营商Colonial Pipeline公司遭到了Darkside勒索软件攻击,对全球产业链产生巨大连锁影响。攻击者窃取了重要数据文件,并劫持了其燃油管道运输管理系统,直接导致美国东部沿海各州的关键供油管道被迫关闭,给美国东海岸17个州造成了极大的燃油供应压力。这是美国关键基础设施迄今遭遇的最严重网络攻击。
09 Conti无差别攻击 ——首次让一国政府宣布进入紧急状态
2022年,哥斯达黎加国家财政部数TB数据和800多台服务器受到影响,数字税务服务和海关控制IT系统瘫痪,不仅影响了政府服务,还影响了从事进出口的私营部门。此外,另一波与HIVE相关的攻击直接影响了该国普通民众,使该国医疗保健系统被非正常下线。这一系列针对哥斯达黎加政府的攻击,清楚地展示了勒索软件攻击可能对政府组织造成的严重破坏性后果,这或将开启一个新的勒索软件时代。
10 HardBit离间计 ——迄今最诡异的勒索方式
2023年2月,HardBit家族勒索软件2.0版运营者将其勒索思路从直接勒索受害者转换为从受害者的保险公司获得勒索赎金,要求受害者提供保单详情以指定最佳勒索金额,让自身的经济利益最大化,以便让保险公司来承担所有赎金费用。
勒索软件攻击无处不在,它们是加密绑匪、是数据盗贼、是狡诈骗徒,时刻算计你的钱和数据。近六年来,从个人到企业乃至政府的目标外延变化,从赎金换密钥到双重勒索再到向保险公司勒索的策略演变,勒索软件攻击一路“狂飙”。同时,有报告表明,勒索病毒威胁还在继续上升,“勒索病毒”+“供应链漏洞”的结合等新型攻击方式已然出现。
在不断的进化中,勒索软件攻击已成为无法单防的数据疾病,需要众多勒索软件防护技术合纵联合应用,共同提升企业勒索防护能力。这也启示着各行各业的安全从业者,要不断修炼技术与能力,找到合适的应对方案,以实现高效率、高质量、高水平的安全防控,即安全厂商需要推动更有效的勒索病毒防治相关产品的研发;企业则需要从源头把安全纵深防御的基线筑牢、构筑内生免疫能力,并通过勒索病毒防治方案“加强针”实现对勒索攻击的免疫。
面对严峻复杂的勒索攻击态势,腾讯安全凭借多年在零信任安全领域积累的实践经验和技术优势,沉淀出了一套解决方案。
零信任技术能够将业务资源从互联网暴露面上进行隐藏,从而降低恶意软件的渗透风险。腾讯零信任iOA独家结合传统终端安全在勒索病毒防护上的经验积累,融入到零信任安全体系中,从事前、事中、事后三个环节实现降低入侵几率、防御攻击入口、阻断加密行为、备份重要文档的可控、可防、可监测、可还原的勒索病毒防护目标。
WAAP可针对漏洞攻击进行有效防护,变“被动”为“主动”地降低勒索软件攻击风险。腾讯安全WAF可提供BOT防护能力,具备针对各种自动化工具的主动防御能力,可有效防护各种漏洞扫描和零日漏洞探测,防止攻击者利用应用漏洞发起勒索攻击。此外,对于勒索攻击最常采用的邮件钓鱼,腾讯安全NDR可通过流量侧感知到勒索攻击各个阶段的流量信息,将攻击流程拆分、分析,全面掌握内网勒索病毒的影响范围。目前腾讯安全NDR已支持超过1000种勒索病毒和500多类勒索病毒赎金文件的检测,覆盖所有流行勒索病毒家族,并提供一键阻断风险资产连接攻击者C&C服务器。
勒索软件攻击本质上是复杂的网络安全问题,与勒索软件攻击的对抗是一项长期且持续的工作,腾讯安全将继续依托二十余年安全实践积淀,帮助企业建设涵盖企业发展全生命周期、企业运行全流程以及产业链各环节的安全“穹顶”,构建纵深的全流程防护体系,合理高效地防范勒索软件攻击。
