freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

2024年上半年勒索攻击组织盘点
2024-08-02 15:10:06

1          概述

勒索软件(Ransomware)是一种极具破坏性的计算机恶意程序。近年来,它已成为全球组织机构主要的网络安全威胁之一,被攻击者作为牟取非法经济利益的犯罪工具。攻击者为增加受害方支付勒索赎金的概率和提升赎金金额,从仅恶意加密数据演变为采用“窃取文件+加密数据”双重勒索策略,更有甚者,在双重勒索的基础上增加DDoS攻击和骚扰与受害方有关的第三方等手段,演变为“多重勒索”。一旦遭受勒索软件攻击,组织机构的正常运营将受到严重影响,可能导致业务中断、数据被窃取和恶意加密。攻击者以数据恢复和曝光威胁受害方并勒索赎金。数据涵盖文档、邮件、数据库和源代码等多种格式文件;赎金可采用数字货币进行支付,如比特币、门罗币和以太币等。攻击者通常设定赎金支付期限,并随时间推移提高金额。有时即使支付赎金,被恶意加密的文件也无法得到完全恢复。

勒索攻击组织利用多种手段公开受害方的敏感信息,并以此为威胁,迫使受害方支付赎金或满足其他非法要求,以避免其数据被进一步泄露或出售。据不完全统计,截至2024年上半年,至少有62个不同名称的组织曾发布过受害方信息,其中20个是2024年新出现的勒索攻击组织,这些攻击组织已经发布超过2700个来自不同国家和地区的受害方信息,涵盖医疗保健、公共管理、社会保障、金融、能源、制造和教育等多个关键行业。实际受害方数量可能更多,因为攻击者出于某些原因可能选择不公开或删除信息,例如在与受害方进行协商谈判并达成一致后,或者受害方支付了赎金以换取信息的删除。勒索攻击组织相关信息可见计算机病毒百科[1]

尽管多数受害方已经建立了相应的网络安全防护体系,但仍然未能幸免于勒索攻击。其主要原因在于,目前的防范措施往往还停留在对抗传统勒索软件的阶段,而没有充分认识到勒索攻击已经发展成为一个侵害链,并形成了一个规模庞大的犯罪产业。

2          勒索攻击组织盘点

回顾2024年上半年发生的勒索攻击事件,对活跃的勒索攻击组织进行盘点,包括组织基本信息和相关攻击事件,按组织名称首字母排序,排名不分先后。继2023年活跃勒索攻击组织盘点[2]以来,多数组织仍“榜上有名”,此前恶贯满盈的BlackCat[3]勒索攻击组织在3月隐退后“落榜”。

表 2‑1 2024年上半年活跃勒索攻击组织及相关事件

组织名称

被发现时间

运营方式

攻击事件

8Base

2022年3月

窃密+加密,勒索即服务、基于勒索赎金和贩卖数据

导致德国农业机械制造商LEMKEN多地IT系统关闭、停止生产、部分数据被窃

导致大西洋州海洋渔业委员会部分系统关闭、部分数据被窃

Akira

2023年3月

窃密+加密,勒索即服务、基于两部分勒索赎金(解密文件和删除被窃数据)和贩卖数据

导致芬兰云服务提供商Tietoevry位于瑞典的数据中心受到影响,部分客户业务中断

导致新加坡律师事务所Shook Lin&Bok部分系统受到影响,支付约140万美元赎金用以恢复系统和防止数据泄露

BianLian

2022年6月

只窃密不加密,勒索即服务、基于勒索赎金和贩卖数据

导致美国金融机构On Q Financial约1TB数据被窃,影响超21万人

导致美国医疗机构Affiliated Dermatologists大量数据被窃,影响超37万人

Black Basta

2022年4月

窃密+加密,勒索即服务、基于勒索赎金和贩卖数据

导致使用美国医疗保健系统运营商Ascension的约140家医院和多家养老机构受到影响

导致美国印制电路板制造商Keytronic部分运营中断、暂停跨国业务,约530GB数据被窃

Hunters International

2023年10月

窃密+加密,勒索即服务、基于勒索赎金和贩卖数据

导致日本光学仪器制造商Hoya部分业务系统中断,窃取约2TB数据,索要1千万美元赎金

导致台湾省群光电子股份有限公司约2TB(约470万个文件)数据被窃,涉及第三方公司的产品文件

INC

2023年7月

窃密+加密,勒索即服务、基于勒索赎金和贩卖数据

导致英国国民医保系统Dumfries and Galloway约3TB数据被窃,部分业务系统受到影响

导致美国里奇兰市政府多数业务系统关闭,大量数据被窃

LockBit

2019年9月

窃密+加密,勒索即服务、基于勒索赎金和贩卖数据

导致台湾省京鼎精密科技网站被篡改,5TB数据被窃,因本次事件导致股价下跌约3%

导致美国金融服务公司Evolve约33TB数据被窃,影响超760万人

Medusa

2021年6月

窃密+加密,勒索即服务、基于勒索赎金和贩卖数据

导致美国堪萨斯城地区交通局所有通信系统关闭,部分数据被窃,要求支付200万美元赎金

导致英国国防服务提供商Chemring Group约187GB数据被窃,要求支付350万美元赎金

Play

2022年6月

窃密+加密,自称不采用勒索即服务、基于勒索赎金和贩卖数据

导致美国堪萨斯州交通管理系统KC Scout大量数据被窃,监控、交通和天气等服务系统受到影响

导致美国食品公司Welch's部分生产工厂停运,窃取约428GB数据

RansomHub

2024年2月

窃密+加密,勒索即服务、基于勒索赎金和贩卖数据

导致英国佳士得拍卖行部分业务系统关停,部分数据被窃影响约50万人

导致美国连锁药店Rite Aid部分业务系统和部分门店关闭,被窃数据影响约220万人

据不完全统计,2024年上半年约62个不同名称的勒索攻击组织曾发布过受害方信息,共计发布超过2700个来自不同国家和地区的受害方信息。

表 2‑2 2024年上半年曾发布受害方信息的勒索攻击组织

2024年上半年曾发布受害方信息的勒索攻击组织(按首字母排序)

0mega

8Base

Abyss

Akira

APT73/Erleig

Arcus Media

BianLian

Black Basta

BlackByte

BlackCat/ALPHV

Blackout

BlackSuit

Brain Cipher

Cactus

Cicada3301

Ciphbit

Cloak

Clop

Daixin

dAn0n

Dark Angel/Dunghill

Dark Vault

donex

donut

Dragon Force

Eldorado

Embargo

Everest

Fog

FSociety FLocker

Hunters International

INC

KillSecurity

LockBit

Lorenz

Mallox

Medusa

Meow

Money Message

Monti

Mydata/Alpha

Play

QiLin

Qiulong

RA World

RansomEXX

RansomHouse

RansomHub

Red

Rhysida

SenSayQ

SEXi(APT INC)

Slug

SpaceBears

Stormous

ThreeAM

Trigona

Trinity

Underground

UnSafe

Vanir Group

WereWolves

据不完全统计,2024年上半年新出现20个不同名称的攻击组织,包括与LockBit[4]存在关联的APT73、Brain Cipher、SenSayQ和SEXi(APT INC),与BlackCat存在关联的Embargo和RansomHub,疑似Phobos勒索攻击组织转型双重勒索的SpaceBears等。

表 2‑3 2024年上半年新出现的勒索攻击组织

2024年上半年新出现的勒索攻击组织(按首字母排序)

APT73/Erleig

Arcus Media

Blackout

Brain Cipher

Cicada3301

dAn0n

Donex

Eldorado

Embargo

FSociety FLocker

Fog

QiuLong

RansomHub

Red

SenSayQ

SEXi(APT INC)

Slug

SpaceBears

Trinity

Vanir Group

3          勒索攻击事件

勒索攻击通过加密和窃取数据,对个人、企业和关键基础设施造成严重危害,包括经济损失、社会系统瘫痪、关键基础设施风险、数据泄露风险、产业安全威胁、公共服务中断、企业信誉受损、法律责任以及人员安全风险。随着攻击手法的不断进化,勒索攻击已成为全球网络安全的主要威胁之一,需要各方加强防护和应对措施,以保障数据安全和系统稳定运行。

表 3‑1 2024年上半年影响较大的勒索攻击事件

时间

受害方

勒索攻击组织

影响

1月17日

台湾省京鼎精密科技

LockBit

网站被篡改,窃取5TB数据,股价下跌约3%

1月17日

法国施耐德电气

Cactus

窃取1.5TB数据,部分业务中断

1月25日

拉丁美洲电信运营商Claro

Trigona

部分国家/地区电信业务中断

2月10日

罗马尼亚IT服务商RSC

Phobos

百余家医院受到影响

2月12日

德国电池制造商Varta

尚未得知

五家生产工厂受到影响,股价下跌约3%

2月21日

美国医疗保健IT服务提供商Change Healthcare

BlackCat

数百家药店和医院线上系统受到影响;大量数据被窃;支付2200万美元赎金后未被恢复;第一季度花费约8.72亿美元应对此次事件

2月25日

加拿大汉密尔顿市

Cloak

数十个政府机构受到影响,大量城市服务系统中断,已花费约570万美元应对此次事件

3月15日

英国国民医保系统Dumfries and Galloway

INC

窃取3TB数据,部分业务系统受影响

4月3日

印度德里交通警察局

KillSecurity

窃取交通违规数据,约25万起交通违规事件

4月25日

美国堪萨斯州交通管理系统KC Scout

Play

窃取大量数据,监控、交通和天气等服务系统受到影响

5月8日

美国医疗保健系统运营商Ascension

Black Basta

约140家医院和多家养老机构受到影响

5月21日

美国堪萨斯州堪萨斯城警察局

BlackSuit

警察和消防的部分服务系统受到影响

6月3日

英国病理学服务提供商Synnovis

QiLin

部分数据被窃;多家医院的手术、检查和配血等工作受到影响

6月8日

美国克利夫兰市政厅

尚未得知

全市部分公共服务关闭超过一周

6月23日

美国金融服务公司Evolve

LockBit

窃取约33TB数据,影响超760万人

在安天对波音公司遭受勒索软件攻击的事件进行深入分析和复盘[5]之后,结合上半年的类似事件,我们不难发现,勒索攻击对受害者以及无辜的第三方都造成了巨大的冲击。这些攻击不仅对企业的日常运营构成了严重阻碍,使关键基础设施的安全面临前所未有的威胁,而且数据泄露的风险也随之激增。它们还破坏了社会的正常秩序,加剧了经济的损失。随着攻击手段的不断演变和攻击频率的日益频繁,勒索攻击已经成为一个对国家和社会正常运转构成重大威胁的毒瘤。它们不仅扰乱了社会秩序,更是对民众日常生活的安宁造成了深远的影响。这种攻击的蔓延,如同一场无形的瘟疫,无声地侵蚀着社会的每一个角落,其危害之广,影响之深,不容忽视。

多数受害方在已经建立基础网络安全防护体系的情况下,还是未能幸免,其原因是目前对勒索攻击的防范,往往还停留在原有的勒索软件的阶段,还有许多人没有意识到勒索攻击已经是由持续定向入侵、窃取数据、加密数据瘫痪系统、勒索金钱、挖掘数据关联价值二次利用、贩卖数据、向监管机构举报、公开窃取数据所构成的一条侵害链,而且已经形成了一个规模极为庞大的犯罪产业。在这样的背景下,遭遇勒索攻击的风险已经不是简单的以数据损失和业务暂停为后果的形态,而是要付出失窃的所有数据均会被贩卖、公开等一系列的连锁风险。

不断出现的各类重大安全威胁事件,容易产生类似最应重点防范勒索攻击还是APT攻击一类的疑惑。从水平上看,少数勒索攻击的前导攻击部分的水平,已经接近超高能力网空威胁行为体的APT攻击水准,而且勒索攻击将比APT攻击带来更直接和快速的经济损失与显性的机构信誉影响。定向勒索攻击确实是APT能力+勒索行为的结合体。但从另一角度看,由于勒索攻击组织必然要在一个相对短周期获益,其并无APT攻击者那样必须突破中心目标的关键意志力,其在长期潜伏、持久化和隐蔽作业方面,不会表现出APT攻击者的战略耐心。所以对每一个政企机构来说,其资产人员暴露面,一方面必然同时面对者多种攻击组织,但其可能遭遇的最高烈度或水平的攻击的判断,需要基于将其综合业务资产价值放到复杂的社会安全和地缘安全的背景下进行想定判断。

但必须指出的是,对大量机构来说,目前存在的并非在防御重点是APT攻击还是勒索攻击的选择问题,而是尚未完成防御基本面建设的问题。针对各种复杂的组合攻击,都需要防御层次的展开,都不存在“一招鲜,吃遍天”,所有资源、人力、策略投入的弹性调整,其前提都是已经完成了防御基础能力建设的基本动作,基本形成了动态综合、有效闭环的防御体系。这才能做到针对威胁变化实施针对性布防。可以说防御体系如能有效防御APT攻击,那么也能有效防御定向勒索攻击。

# 网络安全 # 勒索软件 # 安天科技
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者