从私人组织和制造商到医疗保健组织和整个国家,阅读有史以来最著名的 10 种勒索软件攻击。
与今天的勒索软件攻击相比,世界上第一次勒索软件攻击简直是小菜一碟。
这一年是1989年,数以千计的世界卫生组织艾滋病会议与会者回到家中,在他们的邮箱里发现了软盘,据称这些软盘上装着一份关于感染艾滋病毒可能性的问卷,但他们没有发现任何问题。磁盘包含一个旨在加密其计算机文件名称的程序。如果他们想要恢复他们的文件,他们被告知将 189 美元寄到巴拿马邮政信箱。
快进几年,看看勒索软件的发展,这是由互联网的兴起、社会向互联数字世界的转变以及加密货币的引入所推动的,有组织的恶意行为者。勒索软件即服务 (RaaS) 应运而生,双重和三重勒索攻击成为常态。
因此,受害者人数、所需资金数额和成功攻击的影响都飙升。
NCC Group 的全球威胁情报团队报告称,2023 年 7 月发生了创纪录的 502 次勒索软件攻击,比 2023 年 6 月的 434 次增加了 16%,是 2022 年 7 月观察到的勒索软件攻击数量的两倍多。Malwarebytes 的“2023 年勒索软件状况”报告还发现了创纪录的勒索软件总数,仅在一年内仅在美国、法国、德国和英国四个国家就发生了 1,900 次攻击,其中美国几乎占了这些攻击的一半。
公司因勒索软件攻击而遭受的损失也在上升。Cybersecurity Ventures 预测,到 2031 年,此类攻击将使受害者损失 2650 亿美元,比2017 年支付的 50 亿美元勒索软件目标高出惊人。
但美元只是勒索软件影响的一部分。除了成本之外,组织还面临业务停机、声誉受损和客户信任度下降的问题。此外,勒索软件还具有下游影响,影响了在最初攻击中甚至没有成为目标的人员和系统。此外,公司为拯救或恢复其系统所花费的实际金额 - 包括赎金,如果已支付,甚至更多 - 并不总是公开披露,即使攻击首先被披露。
因此,量化最大的攻击可能很困难。以下是 TechTarget Editorial 确定的迄今为止最具影响力的 10 种勒索软件攻击列表,按字母顺序列出。
1. Colonial Pipeline
勒索软件类型:DarkSide RaaS
攻击者:DarkSide
日期:2021年 5 月 7 日
损失:440 万美元(收回约 230 万美元)
对 Colonial Pipeline 的攻击成为最著名的勒索软件攻击之一,主要是因为它对普通美国人的影响,居住在东南部各州的人们突然面临天然气供应短缺。
Colonial Pipeline 是一家从德克萨斯州向东南部输送燃料的管道系统的所有者,管理管道的计算机系统遭受了勒索软件攻击。DarkSide 攻击者通过传统 VPN 的泄露凭据访问系统。该公司与联邦调查局合作,在袭击发生后的几个小时内支付了 440 万美元的赎金。然而,这种影响持续了数天,因为该公司正在努力完全恢复运营。
包括美国总统乔·拜登在内的联邦和州官员在袭击发生后的几天内发布了紧急声明,以确保燃料能够到达受影响地区并限制损失。这次袭击还导致拜登于 2021 年 5 月 12 日发布了一项行政命令,以改善该国的网络安全。
近一个月后,美国司法部宣布,它已经扣押了用于支付赎金的440万美元比特币中的230万美元。
2. Costa Rica
勒索软件类型: Conti
攻击者:Contigang
日期:2022年 4 月 17 日
损失:每天 3000 万美元
Conti 勒索软件团伙对哥斯达黎加政府机构发起了长达数月的攻击。对财政部的最初攻击使用泄露的凭据在其系统上安装恶意软件。哥斯达黎加科学、创新、技术和电信部以及劳动和社会保障部后来也遭到袭击。政府被迫关闭了多个系统,导致政府付款延迟,贸易放缓和停止,服务有限。
在袭击发生的第一周内,前总统卡洛斯·阿尔瓦拉多拒绝支付据称的1000万美元罚款。然后,Conti 勒索软件团伙泄露了它在攻击期间窃取的几乎所有 672 GB 数据。系统恢复了几个月,但直到该国新当选的总统罗德里戈·查韦斯·罗伯斯(Rodrigo Chaves Robles)宣布进入紧急状态。
3. Impresa
勒索软件类型:Lapsus$
攻击者:Lapsus$
日期:2022年 1 月 1 日
损失:未报告
勒索软件组织 Lapsus$ 袭击了葡萄牙最大的媒体集团 Impresa,发起了世界上最引人注目的勒索软件攻击之一。这次袭击摧毁了其所有网站、周报和电视频道。攻击者还控制了该公司的Twitter账户,并声称它可以访问该公司的AWS账户。据新闻报道,Impresa证实了这次袭击,但表示没有提出赎金要求。
此前曾在 2021 年底攻击巴西卫生部的 Lapsus$ 发布了一条勒索信息,威胁要发布公司数据。葡萄牙当局将Impresa攻击称为该国历史上最大的网络攻击。
4. JBS USA
勒索软件类型:REvil RaaS
攻击者:REvil
日期:2021年 5 月 30 日
损失:支付 1100 万美元的赎金
JBS USA Holdings Inc.在一次攻击迫使其关闭运营后,向恶意行为者支付了1100万美元的比特币赎金。IT 人员最初注意到该公司的一些服务器存在问题,此后不久,该公司收到了一条要求赎金的消息。JBS旗下的Pilgrim's Pride Corp.也受到袭击的影响。几天之内就恢复了运营,但在JBS支付巨额款项之前。
5. Kronos
勒索软件类型: 未报告
攻击者:未报告
日期:2021年 12 月 11 日
损失:除了报告的赎金支付外,2023 年,Kronos 还支付了 600 万美元来解决 Kronos 客户提起的集体诉讼,这些客户声称该公司在保护其系统方面做得不够。
Ultimate Kronos Group 是一家在 100 多个国家/地区开展业务的劳动力管理软件制造商,其私有云于 2021 年底遭到勒索软件攻击。该事件影响了全球客户,引发了长达数年的连锁反应,并暴露了早期的违规行为,扩大了影响。
Kronos 于 2021 年 12 月 11 日发现了该勒索软件,但后来确定攻击者早些时候破坏了公司的云并窃取了公司数据。这次攻击暴露了该公司许多企业客户的员工数据。结果,这些客户在向员工发放薪水时面临中断、延误和错误。
Kronos 攻击引发了对供应商问责制的质疑,并强调了第三方风险管理的重要性,因为组织认识到对其业务合作伙伴的攻击也可能影响他们。
6. Maersk
勒索软件类型:NotPetya
攻击者:俄罗斯支持的黑客涉嫌参与攻击
日期:2017 年 6 月 27日
损失:约 3 亿美元
丹麦航运巨头 A.P. Moller-Maersk 在全球 NotPetya 攻击中遭受袭击后遭受了约 3 亿美元的损失。该恶意软件利用了 EternalBlue Windows 漏洞,并通过合法金融软件 MeDoc 中的后门传播,将该公司锁定在用于运营全球航运码头的系统之外。作为擦除软件,NotPetya 旨在通过不仅加密受感染计算机上的所有文件,而且还完全擦除或重写它们以使其无法恢复来造成最大的损害 - 即使通过解密也是如此。马士基花了两周时间才恢复其计算机操作。
7. Swissport
勒索软件类型:BlackCat RaaS
攻击者:BlackCat
日期:2022年 2 月 3 日
损失:航空服务中断;未报告财务数据
Swissport 是一家提供机场地面和货物处理服务的瑞士公司,于 2022 年 2 月宣布其系统遭到勒索软件攻击。该事件的影响相对较小,在Swissport恢复其系统之前,仅延误了少量航班。该公司表示,已在24小时内控制了这一事件。然而,勒索软件组织 BlackCat 很快表示,它不仅加密了公司的文件,而且还窃取了 1.6 TB 的 Swissport 数据,这是双重勒索攻击的典型例子。
8. Travelex
勒索软件类型:REvil RaaS
攻击者:REvil
日期:2019年 12 月 31 日
损失:支付了 230 万美元的赎金,该公司于 2020 年被迫接管,部分原因是这次袭击
在受到 REvil 勒索软件团伙袭击时,Travelex 是世界上最大的外汇局。攻击者瞄准了 Pulse Secure VPN 服务器中的一个已知漏洞,以渗透到公司的系统并加密 5 GB 的数据。他们要求支付 600 万美元的赎金,经谈判降至 230 万美元。
这次攻击使该公司的内部系统瘫痪了近两周。财务影响如此严重,最终迫使该公司在 2020 年进入接管阶段。
9. UK National Health Service
勒索软件类型:WannaCry
攻击者:不详
日期:2017年5月
损失:9200万英镑(约合1亿美元)
世界各地的公司都感受到了 2017 年春季开始的 WannaCry 勒索软件攻击的影响。WannaCry 是第一个利用 Windows 系统中 EternalBlue 漏洞的勒索软件。
英国国家医疗服务体系(NHS)是WannaCry最突出的受害者之一,英格兰和苏格兰的多家医院,全科医生和药房受到影响。NHS设施被迫推迟和转移医疗服务。据报道,没有死亡与袭击直接相关。
10. Ukraine
勒索软件类型:NotPetya
攻击者:根据CIA的说法,俄罗斯 GRU 军事间谍机构被列为攻击者
日期:2017 年 6 月 27日
损失:全球估计为 100 亿美元
据网络安全软件公司ESET的研究人员称,虽然有60多个国家受到影响,但2017年6月最初的全球NotPetya攻击主要针对法国、德国和乌克兰的受害者,后者遭受了约80%的攻击。该国的计算机系统以及私营公司和电力公司运营的网络都受到了影响。前面提到的马士基勒索软件攻击也是这一系列攻击的一部分。