哥斯达黎加政府因勒索攻击宣布进入“国家紧急状态”,这是2022年最受关注的攻击事件,国家财政部因此陷入瘫痪,不仅影响了政府服务,还影响了从事进出口的私营部门。勒索软件组织Conti要求哥斯达黎加政府支付1000万美元的赎金,而后坐地起价增长到2000万美金。
(图片来源:网络)
该事件体现出勒索攻击对政府组织造成的破坏性后果,如果没有足够的网络安全意识和相应的策略应对威胁,那么整个国家都会因为勒索攻击陷入瘫痪。
勒索攻击频繁发生,受攻击领域更加宽泛2021年有近73%的企业遭受到勒索攻击,而在2020年的报告中该数字为55%,同比增长33%,勒索病毒攻击不仅变得越来越频繁,攻击成本也逐年攀升。
据美国财政部发布的一份报告显示,勒索攻击交易额导致受攻击对象的支付成本,由2020年的4.16亿美金增长到2021年的5.9亿美金,攻击事件促使国家增加了额外的财政投入,使各国不得不考虑加强网络安全方面的投资,以降低此类事件发生的概率。
勒索病毒攻击愈演愈烈,受到攻击的领域和行业也逐渐覆盖了关键基础设施建设等,涉及医疗、金融、教育、食品等行业。2022年2月,丰田汽车遭遇网络攻击,涉及日本14家工厂的28条生产线,影响约1.3万辆汽车的生产,占其在日本国内月产量的近5%。
黑客组织ACCN专门瞄准TapTap上的热门小厂家的游戏下手,国产独立手游《弈剑行》在开服第一天便被该组织攻击,被迫将一款主打联机对战的游戏改为单机版,三年的心血由此付之一炬。
(图片来源:网络)
从以上两个案例不难看出,无论是大型企业还是中小微企业,在勒索病毒面前都“无一幸免”,诸如此类的事件每天都在发生,我们需要直面勒索病毒随时可能带来的威胁。
交钱就能保“平安”吗?二次勒索等问题接踵而至那么,如果真的遭遇勒索病毒应该怎么做呢?协商缴纳赎金找回被勒索的数据确实是一种解决办法,但是就此了结这场纠纷的前提是,勒索者是个讲信誉的人,不会坐地起价、不会二次勒索、不会收到赎金后仍然泄漏数据... ...
就目前趋势表明,勒索病毒有着产业化、多元化、场景化的特点,且基本都是有组织的行为,再加上加密货币无法追踪痕迹的特点,不法分子想依靠勒索赎金“发家致富”的不在少数,在靠非法途径获取钱财的人面前,没有信誉可言。
遭遇勒索的受害者会因为各种各样的原因,不得不缴纳赎金以求重新恢复业务秩序,其中支付后不予恢复数据或是发生二次勒索的情况也不在少数。
Cybereason发布的一项调查显示,选择支付勒索赎金的企业中,80%会再次遭遇勒索攻击,其中46%的攻击来自相同的攻击者,而支付赎金以重新访问其系统的企业中,46%表示他们的数据已部分或全部损坏。
也就意味着,缴纳赎金并不是上上策,其中的不确定因素太多,且无形中助长了勒索者的嚣张气焰,不仅业务上遭受的损失无法挽回,还会额外增加不必要的支出。
大企业尚有资金支撑,中小微企业如何度过难关?根据报告数据显示,超过8成的勒索攻击针对的是中小微企业,超9成的中小微企业遭受网络攻击后问题无法完全解决,大企业尚有人力、资金支撑,但缺少资源的中小企业却很难招架勒索病毒。
(图片来源:网络)
中小微企业面临的勒索攻击传播方式有:
网络钓鱼U盘感染勒索攻击弱密码恶意软件云、SaaS应用、系统和软件的漏洞威胁勒索攻击先后给中小微企业带来业务中断、降低企业商业竞争力及发展机会、企业安全运营成本增加、数据泄露等负面影响。
除了外部频发的勒索攻击,中小微企业自身的网络安全方面投入也存在一定的缺失,主要表现为对安全现状认知不足、缺乏安全建设资金、员工安全意识不足等。
当然不仅是中小微企业,连大厂都难逃网络安全意识薄弱的问题。以前段时间的网络钓鱼邮件诈骗为例,大量员工按照邮件要求扫码,并填写了银行账号等信息,被骗走4万余元。
作为规模较大的互联网公司,在本次事件中也暴露出网络安全建设不足、员工网络安全意识薄弱等问题,同样,在中小微企业身上也存在相同的问题,甚至由于资源有限,再加上大环境不景气,各方面开支缩减,问题暴露得更加严重。
黑客无处不在,网络战争目前暗潮涌动,不论何种规模企业,搭建和完善网络安全基础设施都至关重要,企业需要思考目前是否具备防范、响应勒索攻击的能力,特别是在技术手段日新月异的今天,仅靠单一的安全体系并不能完全抵御勒索攻击带来的威胁,企业应当针对不同安全隐患制定相应的解决方案。
2022上半年十大网络攻击事件
01 勒索凶猛!美国数千家公司工资难以发放
1月,专门提供劳动力与人力资本管理解决方案的美国克罗诺斯(Kronos)公司私有云平台遭勒索软件攻击至今已一月有余,但混乱仍在数百万人中蔓延。美国纽约城区超过两万名公共交通从业人员、克里夫兰市公共服务部门工作人员、联邦快递和全食超市员工以及全美各地大量医疗人员等均未能逃脱。
克罗诺斯母公司UKG集团(Ultimate Kronos Group)宣称,受攻击系统有望于1月底恢复正常运营,但客户却对此信心不足。有客户表示,即使系统按时恢复,公司面临的繁重工作也不会随之结束——在服务中断的一个月甚至更长时间里,账务和人事部门均积累了大量记录和报告,必须以手工形式录入克罗诺斯系统。此举甚至有可能导致W-2及其他税务信息的延迟发布。
克利夫兰市首席人力资源官保罗帕顿(Paul Patton)无奈地表示,“我只能说勒索软件攻击的时间点选择非常敏感。年终岁尾,税务部门和普通民众都非常关心他们的账单,但(克罗诺斯)却瘫痪了。”为纠正本市8000余名公务人员的薪酬差错,克利夫兰专门设立了一间由行政工作人员组成的“作战室”。但帕顿认为效果并不明显,因为要做的工作太多了。
02 葡萄牙全国大面积断网:因沃达丰遭破坏性攻击
2月8日,国际电信巨头沃达丰的葡萄牙公司表示,由于遭受了一大波“以损害与破坏为目的的蓄意网络攻击”,其大部分客户数据服务被迫下线。
该公司的4G与5G移动网络、固话语音、电视、短信及语音/数字应答服务目前仍处于离线状态。
这是沃达丰葡萄牙公司迄今为止处理过的最大规模网络安全事件。沃达丰在葡萄牙拥有超过400万手机用户、340万家庭和企业互联网用户,此次网络攻击造成了大规模的网络中断问题。
03 乌克兰政府和银行网站又遭大规模网络攻击被迫关闭
2月23日,乌克兰境内多个政府机构(包括外交部、国防部、内政部、安全局及内阁等)以及两家大型银行的网站再次沦为DDoS攻击的受害者。
专注监测国际互联网状态的民间组织NetBlocks还证实,乌克兰最大银行Privatbank、国家储蓄银行(Oschadbank)的网站也在攻击中遭受重创,目前与政府网站一同陷入瘫痪状态。
乌克兰国家特殊通信与信息保护局(SSCIP)表示,“部分政府与银行机构网站再度遭受大规模DDoS攻击,部分受到攻击的信息系统已经宕机,或处于间歇性不可用状态。”
目前,该部门与他国家网络安全机构“正在努力应对攻击,收集并分析相关信息。”
04 南非公民征信数据全泄露
3月,美国征信巨头TransUnion的南非公司遭巴西黑客团伙袭击,5400万消费者征信数据泄露,绝大多数为南非公民,据了解南非总人口约6060万人;
黑客团伙透露,通过暴力破解入侵了一台存有大量消费者数据的SFTP服务器,该服务器的密码为“Password”。
05 勒索软件攻击已造成国家危机
自4月17日Conti勒索软件攻击爆发以来,已至少影响了哥斯达黎加27个政府机构,其中9个受到严重影响,如征税工作受阻碍、公务员工资发放金额错乱等;
哥国新任总统日前表示,有证据显示,国内有内鬼配合勒索软件团队敲诈政府,这场危机是政府多年未投资网络安全的苦果;
安全专家称,这些犯罪团伙财力雄厚,完全有可能以收买的方式渗透进任何目标组织。
06 意大利多个重要政府网站遭新型DDoS攻击瘫痪
意大利安莎通讯社报道称,当地时间5月11日,意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击,网站无法访问至少1个小时,受影响的还有国际空间站、国家卫生研究所、意大利 汽车 俱乐部等机构的网站。
亲俄黑客团伙Killnet声称对本次攻击负责。此前,他们还曾先后对罗马尼亚门户网站、美国布拉德利国际机场发动过类似攻击。
作为对意大利DDoS攻击新闻报道的回应,Killnet团伙在Telegram频道上发布消息称,未来可能将出现进一步攻击。
07 亲俄黑客组织Killnet宣布对美欧十国政府发动网络战
亲俄罗斯黑客组织Killnet于5月16日宣布,该组织并未对欧洲歌唱大赛发起网络攻击,意大利警方宣称成功阻止网络攻击的说法是错误的。该组织同时宣布将对美国、英国、德国、意大利、拉脱维亚、罗马尼亚、立陶宛、爱沙尼亚、波兰和乌克兰政府发起网络战,声称选择上述国家的原因是其支持“纳粹”和“俄罗斯恐惧症”。
Killnet专门从事分布式拒绝服务(DDoS)攻击,通过大量请求来瘫痪服务器。该黑客组织近期多次对意大利、罗马尼亚、波兰、德国、捷克、拉脱维亚等国政府和其他网站发起网络攻击。
08 俄最大银行遭到最严重DDoS攻击
5月19日,俄罗斯最大银行Sberbank(联邦储蓄银行)官网披露,在5月6日成功击退了有史以来规模最大的DDoS攻击,峰值流量高达450 GB/秒。
次日,普京召开俄罗斯联邦安全会议,称正经历“信息空间战争”。他提出了三项关键任务,以确保俄关键信息基础设施安全。
此次攻击Sberbank主要网站的恶意流量是由一个僵尸网络所生成,该网络包含来自美国、英国、日本和中国台湾的27000台被感染设备。
Sberbank副总裁兼网络安全主管Sergei Lebed称,网络犯罪分子利用各种策略实施网络攻击,包括将代码注入广告脚本、恶意Chrome扩展程序,以及被DDoS工具武器化的Docker容器等。
Lebed表示,他们在过去几个月内检测到超过10万名网络犯罪分子对其展开攻击。仅在3月,他们就记录到46次针对Sberbank不同服务同步发动的攻击活动,其中相当一部分攻击利用到在线流媒体与观影网站的流量。
09 最强间谍软件:难以防范的国家安全威胁
接连曝光的事件引发对监控软件使用的广泛争议。在全球开展的飞马项目调查显示,目前已在世界各地发现超过 450 起疑似飞马入侵事件,受害者分布普及世界各地,包括不少国家的领导人。
目前飞马软件已被美国商务部列入黑名单,正在接受欧洲议会委员会的调查。频发曝光的飞马入侵事件突显出间谍软件构成的国家安全威胁。
10 网络攻击致使 汽车 租赁巨头全球系统中断,业务陷入混乱
5月5日Sixt公司表示,他们4月29日(周五)在IT系统上检测到可疑活动,并很快确认自己遭受到网络攻击。部分业务系统被迫中断,运营出现大量技术问题;公司的客户服务中心和部分分支机构受影响较大,大多数 汽车 预定都是通过笔和纸进行的,服务热线短时离线后恢复,业务陷入混乱。
总部宣称“根据公司的标准防范措施,我们立即限制了对IT系统的访问,同时启动了预先规划好的恢复流程。”但IT系统被限制访问,导致了Sixt公司的客户、代理和业务点发生业务中断。
公司称,此次攻击对公司运营与服务的影响已经被降至最低。据猜测,此次攻击可能属于勒索软件攻击,目前暂时没有相关组织表示负责。
2022年5月勒索病毒态势分析
勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监测与防御,为大量需要帮助的用户提供360反勒索服务。