回顾2022年,随着俄乌冲突的爆发、新冠疫情的再次来袭,国内和国际局势日益严峻,网络安全事件频发,诸如数据泄漏、勒索软件攻击等层出不穷,有组织、有目的的网络攻击形势愈加明显。
二十大强调:“国家安全是民族复兴的根基,社会稳定是国家强盛的前提。必须坚定不移贯彻总体国家安全观,把维护国家安全贯穿党和国家工作各方面全过程,确保国家安全和社会稳定”。为提升我国在国际网络空间中的竞争优势,强化国内的网络安全防护能力,2022年国内发布了信息安全技术推荐标准27项。各部门、各行业遵循各项技术标准,积极开展网络安全建设工作,基本安全防护措施初见成效。
但是当前,以勒索攻击为代表的网络攻击危害持续加深,采用简单的网络安全防御措施难以应对勒索攻击威胁。中国信息通信研究院为强化勒索攻击防范措施,研究制定了《勒索攻击安全防护要点》,旨在协助各企业、单位聚焦风险化解重点环节,夯实风险防范基础,切实加强勒索攻击应急处置、安全加固等重点工作。
1月份
我国台湾地区电子产品制造公司台达电子(DeltaElectronics)是电源组件供应商,生产的产品包括嵌入式电源、冷却风扇、电磁干扰滤波器和螺线管。其他产品包括电动汽车充电器、工业自动化解决方案和数据中心基础设施。
据说Conti团伙要求台达电子支付1500万美元的赎金,为此,台达电子还与Conti勒索软件团伙就可能的付款进行了谈判,以换取密码并承诺数据不会遭到泄露。
2月份
ExpeditorsInternational总部位于西雅图,是一家国际物流和货运代理公司。Expeditors的年总收入约为100亿美元,业务遍及全球100多个地区的350多个地点,拥有18,000多名员工,为客户提供关键的物流解决方案。其服务包括供应链、仓储和配送、运输、海关和合规事务。
尽管Expeditors没有提及事件的性质,但这很可能是一次勒索软件攻击,因为中断全球业务并从备份中恢复数据是勒索软件攻击的常见缓解措施。
ASUSTOR未正面解释旗下的NAS设备是如何被加密的,但是一些用户认为,黑客是利用了PLEX媒体服务器或EZConnect中的某个漏洞加密了他们的NAS设备。截止到2月24日,有报告显示AS6602T、AS-6210T-4K、AS5304T、AS6102T和AS5304T型号不受DeadBolt勒索软件影响。但是由于无法免费恢复DeadBolt勒索软件加密的文件,很多用户许多受影响的QNAP用户被迫支付赎金来恢复文件。
支付赎金后,攻击者将创建一个比特币的交易,交易与支付赎金的比特币地址相同,其中包含受害者的解密密钥。解密密钥位于OP_RETURN输出下,如下所示:
DeadBolt赎金记录包含一个标题为“ASUSTOR的重要消息”的链接,点击该链接后,将显示来自DeadBolt勒索软件的消息:如果ASUSTOR支付7.5个比特币,DeadBolt攻击者将会出售所谓的零日漏洞的详细信息;如果ASUSTOR支付50个比特币,那么DeadBolt攻击者将会出售所有受害者的主解密秘钥和零日漏洞信息。这意味ASUSTOR将要承担本次勒索攻击的全部损失,约合人民币上千万元。
3月份
Rompetrol是罗马尼亚国内最大炼油厂PetromidiaNavodari的配套油站运营商,该炼油厂的年油品加工能力超过500万吨。Rompetrol母公司KMGInternational是一家国际大型石油公司,在欧洲、中亚及北非的15个国家均有业务覆盖。KMG的主要经营内容涉及炼油、营销、贸易、生产,外加钻井、EPCM(设计采购与施工管理)与运输等石油工业服务。
3月6日,东欧国家罗马尼亚Rompetrol加油站遭到勒索软件攻击,官方网站及油站Fill&Go服务被迫下线。攻击发生后,Rompetrol在脸书上发布公告称,“今晚,Rompetrol遭遇了一起复杂网络攻击。”
据悉,此次对KMG子公司Rompetrol发动突击的,是Hive勒索软件团伙。
Hive团伙要求Rompetrol支付200万美元赎金,以换取解密器和不泄露被盗数据的承诺。
本次事件是丰田供应商近期遭到的第二次网络攻击。两周前,丰田暂时关闭了其位于日本的所有工厂,原因是其供应商小岛冲压工业的系统遭到了攻击。尽管丰田在一天后就重启了工厂,但是这一事件对该公司来说也是一次打击,当前他们正在努力恢复生产,在此前几个月中,芯片短缺和疫情导致该公司的产量遭受了严重影响。
4月份
对此,Atento声称已经设立了最佳的应对方案,除了提高其保护、检测和补救能力——包括与CrowdStrike和Mandiant签署的新协议,现在正与“防御团体和机构”更密切地合作,以提高应对威胁的准备。
不过,基于近期勒索事件频发,Atento也会被添加到勒索软件攻击后遭受极高损失的公司名单中,名单中包括法国IT服务公司SopraSteria(6000万美元)、铝业巨头NorskHydro(4100万美元)和IT服务公司Cognizant(7000万美元)。
北美洲国家哥斯达黎加遭到Conti勒索软件攻击,多个部委大量系统受影响瘫痪,大量敏感数据被盗。哥斯达黎加财政部4月18日首先报告了网络攻击事件,从税费征收到海关出口,财政部下辖的许多系统都受到攻击影响。随后,恶意黑客又针对社保部的人力资源系统和劳工部等其他目标发起攻击,财政部长ElianVillegas在4月20日),黑客在入侵财政部海关平台后访问了“敏感”的纳税人历史信息,但没有具体说明被泄露的数据量。
威胁情报厂商RecordedFuture的分析师AllanLiska表示,Conti团伙正在实施双重勒索:加密政府文件以破坏各部门的正常运作;如果收不到赎金,就将被盗文件公布在暗网的团队勒索网站。Conti团伙没有公布具体赎金数额。社交媒体上有传闻称,黑客团伙开出了1000万美元的价码,但Conti团伙网站上并没有相应佐证。
哥国企业担心,提交给政府的机密信息被黑客团伙获取,进而被公开或滥用。普通公民则担心,自己的个人财务信息可能被用于入侵其银行账户。哥国总统Alvarado曾认为此次攻击与经济利益无关,但以上信息明显跟这一判断存在冲突。并表示“哥斯达黎加绝不会向网络犯罪分子支付任何赎金。”
Liska透露,Conti团伙经常将其勒索软件基础设施,出租给愿意付钱的任何“附属团伙”,所以此次攻击的真正幕后黑手可能来自世界任何地方。
5月份
爱科是美国农业机械制造行业的巨头之一,年收入超过90亿美元,拥有21000名员工,旗下有Fendt、MasseyFerguson、Challenger、Gleaner及Valtra等品牌。
勒索软件攻击发生时,美国农业机械制造还面临着持续的供应链中断和罢工,导致难以满足农民的设备需求。地区经销商B&GEquipmentInc总裁TimBrannon表示,从5月5日起,他一直无法访问爱科网站来订购和查找零件。他表示,“我们正进入一年中最繁忙的时期,这将对我们的业务和客户造成了非常大的伤害。”
TopAces由一群前战斗机飞行员于2000年创立,号称拥有“全球规模最大的私营作战战斗机群”。
除了与加拿大、德国、以色列等国合作之外,该公司还在2019年同美国空军签署了一份利润丰厚的合同。合同中明确提到,TopAces负责提供用于防御俄罗斯武器的训练工具。
6月份
富士康在墨西哥经营着三个工厂,分别负责生产计算机、液晶电视、移动设备和机顶盒,主要客户是索尼、摩托罗拉和思科系统公司。
6月3日,富士康公司确认其位于墨西哥的一家生产工厂在5月下旬受到勒索软件攻击的影响,勒索软件组织LockBit声称对此负责。根据富士康的通告,勒索软件组织LockBit在5月31日发起了攻击,威胁要泄露从富士康窃取的数据,除非富士康在6月11日之前支付赎金。
LockBit没有透露任何失窃数据的信息,但通常勒索软件组织会窃取高价值信息作为胁迫受害者支付的筹码。由于富士康为许多品牌代工各种消费电子产品,LockBit2.0很可能已经窃取了技术原理图和图纸等机密知识产权信息。
Shoprite是非洲最大的连锁超市,业务遍布尼日利亚、加纳、马达加斯加、莫桑比克、纳米比亚、刚果民主共和国、安哥拉等国家,收入为5,8亿美元,拥有149.000名员工。该公司在南非拥有2.943家门店,为数百万客户提供服务。
6月14日,勒索软件团伙RansomHouse声称对此次攻击负责,并发布了一份据称从Shoprite窃取到的600GB数据的样本。
而恶意攻击者称,受害者遇袭的主要原因是安全建设太差、保护不够充分。Shoprite也不例外,该团伙在Telegram中嘲讽了这家零售商的安全习惯(比如用明文文本和原始图片保存大量个人数据)。
7月份
德国建材巨头可耐福集团(KnaufGroup)是一家总部位于德国的跨国建筑材料生产商,在全球墙板市场上拥有约81%的份额。可耐福在全球多个国家拥有150处生产基地,也是美国可耐福绝热材料公司及USG公司的所有者。安全内参7月21日消息,可耐福集团对外宣布已成网络攻击目标。其业务运营被攻击扰乱,迫使全球IT团队关闭了所有IT系统以隔离事件影响。此次网络攻击发生在6月29日晚间。截至本文发布时,可耐福仍在开展取证调查、事件响应及补救工作。
可耐福在网站主页上发布的简短公告写道,“我们目前正在努力减轻对我们的客户和合作伙伴的影响。所有工厂正常运转,所有业务离线进行。对于可能发生的交付过程中的任何不便或延迟,我们深表歉意。”
而名为BlackBasta的勒索软件团伙已经在其网站上发布公告,于7月16日将可耐福列为受害者。该勒索软件团伙还公布了一批数据,据称是攻击期间从可耐福处窃取到的全部文件中的20%。
Entrust是一家专注于在线信任和身份管理的安全公司,为企业用户和政府部分提供广泛的服务,包括加密通信、安全数字支付和身份证明等解决方案。Entrust作为全球著名的CA厂商在全球范围内建立起了一个可信的虚拟环境,使任何人在任何地点都能放心地进行数字交易和沟通。
据BleepingComputer报道,Entrust在6月份就遭受了网络攻击,威胁者破坏了他们的网络并从内部系统窃取了数据,根据被盗的数据,这种攻击可能会影响大量使用Entrust进行身份管理和身份验证的关键和敏感组织。这包括美国政府机构,例如能源部、国土安全部、财政部、卫生与公众服务部、退伍军人事务部、农业部等等。
8月份
赛米控在德国、巴西、中国、法国、印度、意大利、斯洛伐克和美国的24个办事处和8个生产基地,拥有3,000多名员工,2020年的营业额约为4.61亿美元。它还表示,它是世界领先的电力工程部件制造商之一,每年安装的风力涡轮机中有35%使用其技术运行。
据观察,RagnarLocker勒索软件组织宣称对此事件负责,威胁参与者在其数据泄露/勒索门户网站上发布了一份据称被盗数据的列表,以及一小部分似乎不包含机密信息的被盗文件。此外,RagnarLocker表示,他们在DESFA的系统上发现了多个安全漏洞,并告知了他们这一事实,这可能是他们勒索企图的一部分。然而,据称威胁行为者没有回应他们。
希腊国家天然气输气系统运营公司(简称DESFA,系DEPA的全资子公司)成立于2007年,是剥离原DEPA的输气系统运营部门基础上而组建的专业输气公司。DESFA全资拥有希腊国家天然气输气系统,负责希腊全国天然气的输气和储存以及国家天然气输气系统的运营、开发、管理和扩展。
这次攻击发生在欧洲天然气供应商的艰难时期,因为欧洲大陆所有国家都决定突然减少对俄罗斯天然气的依赖,这不可避免地会产生问题。即将到来的冬季预计将受到短缺、停电、配给和能源价格飙升的困扰,使消费者更容易受到针对天然气供应商的勒索软件攻击。
9月份
2022年9月,欧洲国家黑山的多个政府部门遭遇超大规模网络攻击,致使超过10个政府机构的150多个工作站均无法访问。此次攻击采用了勒索软件与分布式拒绝服务(DDoS)相结合的方式,不仅扰乱了政府服务,还迫使该国的电力系统转为手动控制。
黑山国家安全局将这起在上周末发起的攻击直接归因于俄罗斯,但没有给出任何证据。有一个勒索软件团伙宣称对此次攻击至少负部分责任,他们使用Cuba勒索软件感染了黑山议会办公室。网络安全公司Profero的调查显示,该团伙中有成员使用俄语,同时Cuba勒索软件在勒索门户上也发布了黑山议会勒索公告,称窃取了财务文件、银行通信内容、资产负债表、税务文件、赔偿金乃至源代码。这些文件免费发布,任何人均可下载。
《每日邮报》9月25日报道称,有人在论坛上爆料称,黑客正在勒索澳洲第二大电信运营商Optus,要求对方支付价值153万澳元的加密货币,否则就出售被盗的用户信息。
澳大利亚联邦政府将此次网络入侵归咎于Optus,提出了隐私法规的全面改革和更高的罚款,并指出该公司“实际上为黑客窃取数据留下了方便之门”。
10月份
报社主编UweRalfHeer表示,此次攻击对整个StimmeMediengruppe媒体集团都造成了影响,具体包括旗下的Pressedruck、Echo与RegioMail等公司,Heer指出,此次攻击出自某知名网络犯罪团伙之手。
由于该媒体集团同时也是一家分销商,Heilbronn地区的其他一些报纸的发行在另行通知前也将暂时停止。在印刷系统恢复正常运行状态之前,《海尔布隆言论报》将委托第三方印刷紧急版。
因为网络攻击导致Aurubis部分自控系统的关闭,为保持生产和原材料采购以及金属和产品的交付,Aurubis的部分业务生产的操作方式被迫转为手动模式,极大降低了生产效率。虽然Aurubis并未对本次事件的详细过程进行披露,但是在Aurubis的官网临时公告中提到“这显然是对金属和采矿业的更大攻击的一部分”,种种迹象表明,这似乎是一起勒索软件攻击。
11月份
LockBit勒索软件于2019年9月作为勒索软件即服务(RaaS)首次出现以来,已经制造多起重大勒索攻击事件。就在今年,LockBit曾分别向意大利国税局和安全巨头Entrust发动过勒索攻击。
根据韦斯特蒙市报道,该市的电子邮件服务因不明原因的计算机故障而无法使用,并且该故障也影响了其他市政服务。后经证实该次故障源于一次有针对性的网络攻击。
该市IT部门负责人ClaudeVallières说:”我们知道我们有加密的服务器,但我们不知道是谁攻击了我们。我们仍在调查被感染的服务器,但我们目前没有收到任何赎金通知”。
LockBit3.0网络犯罪团伙声称对加拿大韦斯特蒙市政服务平台瘫痪和关闭员工电子邮件账户的勒索软件攻击事件负责,并称他们已经成功下载了14兆字节的敏感数据,并要求该市在12月4日前支付赎金。
LockBit运营商发布了显示不同部门文件和其他数据的截图,作为此次攻击事件的证据,但信息安全媒体无法立即联系市政府确认这些文件的真实性。这次攻击是在加拿大网络安全中心发布新的《2023-2024年国家网络威胁评估》后发生的。该报告称,勒索软件是“加拿大人面临的最具破坏性的网络犯罪形式”,只要勒索软件仍然有利可图,我们肯定会继续看到网络犯罪分子部署它。
12月份
俄罗斯信息安全专家告诉《消息报》,俄罗斯市长的办公室和法院遭到了一种新的加密病毒的攻击。该程序在计算机上对数据进行编码,然后屏幕上出现一条消息,要求支付赎金——超过50万卢布。但是,即使您将这笔金额转移给黑客,病毒也会将文件完全删除。为了防止此类攻击,专家建议使用备份并保护对组织基础设施的访问——例如,限制远程桌面的使用。据卡巴斯基实验室网络安全专家FedorSinitsyn称,感染设备后,CryWiper损坏文件并显示勒索信息。攻击者留下了一个电子邮件地址和一个比特币钱包地址,表明解密金额超过50万卢布(0.5BTC)。
卡巴斯基实验室专家解释说,CryWiper会销毁所有格式的文件的内容,但负责系统本身操作的文件除外。它的主要目的是数据库,档案,个人用户文档。该程序不会自动销毁文件:它会向命令服务器发送请求,只有在获得许可后才开始工作。专家说,内容损坏的文档会收到额外的CRY扩展名,这意味着它们是加密的,无法以标准方式打开。为了防止这种网络攻击,专家建议禁止来自公共网络的远程桌面连接。此外,更新VPN解决方案和软件也很重要。开发人员会定期发现其程序中的漏洞,并在新版本中修复它们。此外,专家建议使用数据备份。
卫生部门网络安全协调中心(HC3)——HHS的安全团队——在12月7日发布的一份新分析报告中透露,勒索软件组织一直是针对美国医疗机构的多次攻击的幕后黑手。“自出现以来,HC3就意识到了针对医疗保健和公共医疗保健(HPH)部门的攻击,”该公告称。“由于勒索软件伤害医疗保健社区的历史性质,Royal应该被视为对HPH行业的威胁。”这个勒索软件组织专注于根据过去成功的攻击来瞄准美国医疗保健组织。到目前为止,Royal还声称在每次医疗保健妥协后,他们泄露了据称从受害者网络中窃取的所有在线数据。
Royal勒索团伙是一个没有附属机构的私人组织,由为其他团体工作的经验丰富的威胁参与者组成。据FortinetFortiGuard实验室称,Royal勒索软件至少从2022年开始活跃。该恶意软件是一个用C++编写的64位Windows可执行文件,通过命令行启动,这也表明它需要人工操作来触发在进入目标环境后感染。除了删除系统中的卷影副本外,Royal还利用OpenSSL加密库对文件进行AES标准的加密,并在文件后缀上”.royal”。
最初他们使用BlackCat等其他团伙的加密器,但他们很快转而使用自己的加密器,第一个是Zeon,它生成了类似Conti的勒索票据。从9月中旬开始,勒索软件团伙再次更名为“Royal”,并使用新的加密器生成同名的勒索票据。该勒索团伙的一个不常见策略是使用被黑的Twitter帐户向记者发布有关受感染目标的信息,以便新闻媒体报道此次攻击,并给受害者施加额外压力。
2022年勒索软件分析报告
2022年1月至2月,Sophos委托研究机构VansonBourne对31个国家的5600名中等规模组织(100-5000名员工)的IT专业人员进行了独立的、与厂商无关的调研。
2021年66%的组织遭到勒索软件袭击,而2020年为37%。这一数字在一年中增加了78%,表明勒索软件组织或个人在执行大规模的重要攻击时的能力大大增强。勒索软件组织或个人在攻击中加密数据变得更加成功。2021年,攻击者在65%的攻击中成功加密了数据,比2020年报告的54%的加密率有所提高。
在过去一年中,57%的人感受到了总体网络攻击量的增加,59%的人看到了攻击复杂性的增加,53%的人说攻击的影响增加了。72%的人至少在其中一个领域看到了网络攻击的增长。
总的来说,平均赎金支付额为812360美元,比2020年平均17万美元(基于282名受访者)增加了4.8倍。虽然这一总金额受到15笔8位数赎金的影响,但从数据中可以明显看出,赎金总额正在全面上升。勒索者会考虑行业的差异性,从他们认为最有能力支付的人那里获取最高受益:
勒索软件的影响范围远不止对数据库和设备的加密。去年,90%的勒索软件受害者表示,最严重的攻击影响了他们的组织的运营。此外,在私营组织中,86%的人表示这导致他们失去业务/收入。
调查显示,简单地投人和钱并不是解决勒索软件问题的好办法,需要投资于正确的技术,并拥有有效使用它的技能方式。
在去年遭受勒索软件袭击的人中,64%的人表示他们的网络安全预算超出了他们的需要,而另有24%的人表示他们的预算数额合适。同样,65%的勒索软件受害者表示,他们的网络安全人员数量超过了需要的数量,23%的人认为他们配备了相应水平的人员。相反,在前一年未受到勒索软件攻击且预计未来不会发生攻击的组织中,他们拥有这种信心背后的首要原因是他们已经培训了IT安全人员或内部部署了能够阻止攻击的安全运营中心(SOC)。
应对勒索软件攻击的防御措施
勒索病毒与常规病毒不同,一旦中招,不可挽回,所以防范勒索病毒,首先要从勒索病毒本身出发,深度剖析勒索病毒的普遍性特点,有针对性的进行干预和防范。
通过对流行勒索病毒的分析,我们发现勒索病毒行为具有高度趋同性,由此我们梳理了勒索病毒的杀伤链模型,整个勒索杀伤链涉及感染&准备、遍历&加密、破坏勒索三个环节,感染准备阶段主要行为是漏洞利用、自身模块释放、进程中止和服务清除;遍历加密阶段主要行为是文件遍历、数据加密;破坏勒索阶段主要行为是删除系统备份、弹出勒索通知。
剖析了勒索病毒杀伤链的典型行为特征,接下来我们就能有效应对勒索病毒。主机防勒索系统通过接管操作系统底层驱动,监测高危指令的调用情况,并匹配恶意行为规则树,达到精准的勒索行为监测;通过静态与动态的勒索病毒诱捕技术,给勒索病毒设下重重陷阱,一旦发现系统应用对诱饵文件进行加密操作,将隔离该应用防止其再次运行;基于文件的信息熵的数据智能备份,经过巧妙的设计按需触发,既可以实现勒索病毒的精准防范,又能确保最小的系统资源消耗。
主机防勒索系统从勒索病毒杀伤链入手,设计了检测、防护、恢复三重的技术手段,并且采用六大核心功能来应对勒索病毒,可实现全球范围内勒索病毒的防范,以多种技术手段组合应用、层层递进、相互交叉的方式来保证对勒索病毒进行最有效的防范。
从VansonBourne对31个国家的5600名中等规模组织的勒索事件分析报告来看,购买针对勒索软件的网络保险,是减少企业因为网络攻击带来财务损失的有效措施。因为安全技术和产品虽然能提供威胁的防护手段,却无法百分之百规避安全事件发生,残余风险依然会威胁用户的财产安全。2022年11月7日,工信部公开征求对《关于促进网络安全保险规范健康发展的意见(征求意见稿)》中明确提出:“加强网络安全产业政策对网络安全保险的支持,推动网络安全技术服务赋能网络安全保险发展,引导关键信息基础设施保护、新兴融合领域网络安全保障等充分运用网络安全保险”,的目的是通过网络安全保险推动网络安全防护工作的建设。而主机防勒索系统可兼顾风险管理的前三环,最后的残余风险,则可以由防勒索保险方案实现管控兜底,补上风险管理的最后一环。