2024年第二季度,全球发生多起骇人听闻的勒索软件攻击事件,涉及多个地区和行业,诸多维持民生的城市公共系统被迫停止服务,大量公民数据遭到外泄与非法贩卖。
安全419根据第二季度的事件观察以及多份近期发布的勒索攻击报告,带来如下趋势分析:
医疗机构持续霸榜
勒索组织进攻的头号目标
今年2月刚遭遇勒索攻击并支付了2200万美元赎金的美国医疗巨头Change Healthcare,在4月又一次遭到勒索团伙的入侵。此外,美国医疗保健巨头阿森松医院Ascension、兽医巨头CVS集团、加拿大零售药店巨头伦敦药店London Drugs、从事病理学分析的医院服务商Synnovis,均在本年第二季度遭遇了勒索软件攻击。
不只是这一个季度,近年来针对医院和其他医疗保健机构的数据窃取和勒索攻击持续在急剧增长。网络安全保险服务商Corvus发布的《2024 年第一季度勒索软件报告》显示,2024 年第一季度勒索软件攻击与去年同期相比增加了21%,针对医疗行业的勒索攻击较上一季度增加了38%,在所有行业中增幅最大。
一方面,医疗机构收集的患者数据既包含了详细个人信息,也包含了患者身体健康状况、诊疗过程和医疗历史,具备极高的私密性和价值。另一方面,医疗机构面临IT和OT融合的复杂基础设施环境,既有线上诊疗系统、内部员工管理系统,还有大量传统的影像检查医疗设备,复杂的基础设施环境下存在大量的安全漏洞和薄弱环节。再有,医疗信息系统的运营中止,将会对患者的生命健康造成严重影响。
这意味着,医疗机构往往被迫迅速响应攻击者的赎金要求,导致更多的犯罪分子将其作为理想目标。
勒索攻击引发的
供应链安全威胁****影响深远
在数字化转型加速的今天,市政服务的数字化和智能化进程让网络安全牵一发而动全身。
印度尼西亚国家数据中心遭遇勒索攻击,最终导致相关的200多个政府公共服务机构陷入瘫痪。加拿大汉密尔顿市发布报告阐述在一季度发生的勒索事件对市政运营造成的影响,攻击造成全市交通、医疗、公共服务、应急服务等200余个关键信息系统运营中断,至今修复数量不到一半。澳大利亚呼叫中心运营商OracleCMS遭到勒索攻击,深受其害的是澳大利亚十多个城市的议会机构,悉尼、奎那那、莫顿湾、普雷福德等多个城市的文件都在本次攻击活动中遭到泄露。
这些事件再次警示我们,针对软件供应链薄弱环节的网络攻击不断增加,已然成为一个全球性问题,处理敏感信息的机构和公众部门,必须加强数据保护措施,采取更积极的措施来提升网络安全防护水平。政企单位在选择第三方软件供应商时需要注意合作伙伴的信息安全建设,避免外在因素为自身单位引入未知的安全隐患。
勒索攻击损失加剧
但攻击成本在进一步降低
网络安全公司Comparitech在5月发布的调研数据显示,在2023年公开报告的勒索攻击事件中,近五分之一的美国受害企业因数据泄露等问题遭用户起诉索赔,最终赔偿金额平均超过了210万美元。
这意味着企业一旦遭到勒索软件攻击,除了面临安全响应恢复成本、攻击者团伙的大额勒索要求、监管单位的巨额罚单外,现在还面临着被用户追诉索赔的风险,解决法律纠纷的额外赔偿费用同样不菲。
安全团队Sophos X-Ops4月发布的一份研究报告显示,近期在暗网论坛观察到大量制作相对粗糙但价格低廉的勒索软件,其中最便宜的勒索软件报价已低至20美元,并且已经吸引到了大量的关注和回复。从表面上看,廉价勒索软件制作粗糙,技术水平落后,但一些技术水平低下的攻击者也能以极低的成本,独立完成从发起攻击到勒索赎金的整个攻击链。
廉价勒索软件Kryptina开发者发布的宣传广告
廉价勒索软件的兴起,可能也预示着勒索软件市场将进一步分裂,这个巨大的产业链会更加“井然有序,分工明确”,高知名度的勒索软件团伙仍然会瞄准高价值的跨国集团,入门级攻击者和勒索软件也会对任意有价值的目标展开袭扰。
2024年第二季度
部分活跃勒索组织分析
美杜莎
作为近两年内迅速崛起的勒索组织,其主要利用远程桌面协议(RDP)、欺骗性钓鱼等手段来获取企业敏感信息,进而删除备份文件,并通过在加密前窃取数据,对受害企业进行双重勒索。
随着勒索组织策略变化,**美杜莎不再将目标局限于医疗保健、教育、政府等大型机构,而是以获得高额赎金为目的,瞄准能够为其带来可观收入的高价值企业。**比如,其在4月入侵了一家拥有近百年历史的家族音乐企业,并要求该组织在7天内交付30万美金赎金。因此,无论是大型政府机构还是垂直行业龙头企业、家族企业,都可能成为勒索组织攻击的对象。
8Base
该组织在2022年3月首次出现,自2023年6月后便开始活跃地开展网络攻击犯罪活动,受害者主要为商业服务、金融、制造与信息技术等行业。
**虽然8Base是一个相当新的组织,但专家认为该团伙由经验丰富的黑客组成,**该犯罪集团成员大多自称为“渗透测试人员”,只针对那些忽视员工和客户数据的隐私和重要性的公司发起攻击。有安全团队通过分析8Base最近几次的攻击行动发现,其很可能与另一个成熟的勒索软件组织RansomHouse存在关联。
LockBit
臭名昭著的勒索软件团伙LockBit在6月上演了一次自导自演的营销行为,声称攻击了美联储并窃取多达33TB的美国重要金融数据,威胁对方若不在48小时内支付赎金将公布所有数据。这起或将成为有史以来最严重的金融数据泄露事件很快被证实为虚假宣传,实际上受攻击的是与美联储合作的一家第三方合作机构——进化银行,其窃取的敏感数据中部分与美联储有关。
2024年2月以来,**LockBit遭到了美英和欧盟国家在全球范围内的联合执法打击,其34台服务器和超过2500个解密密钥被查获,IT基础设施也被执法机关取缔。**尽管LockBit仍然没有停止攻击行为,但其在勒索软件领域内的影响力明显不如往昔。
附:2024年第二季度全球勒索攻击代表事件**(不完全统计)**
2024.4
4月2日,位于美国中西部的杰克逊县IT系统遭到勒索软件攻击,税收、在线财产支付、结婚证签发和囚犯搜查等系统严重瘫痪,所有县地点的契约评估、收集和记录办公室被迫关闭。值得关注的是,此次安全事件发生在杰克逊县举行特别投票的同一天。
4月8日,美国医疗巨头Change Healthcare时隔不到两个月再次遭到勒索攻击。名为RansomHub的勒索软件团伙声称对本次攻击负责,并要求该企业在12日内支付赎金。RansomHub组织宣称获得的 4TB 数据包括医疗和牙科记录、付款和索赔信息、患者和大量现役美国军人的个人身份信息,以及Change Healthcare软件解决方案的3,000多个源代码文件。
4月8日,在全球拥有500家诊所的兽医巨头CVS集团表示其遭遇了一次重大网络攻击,被迫将部分IT系统离线,由此造成了持续一周多的严重运营中断,尤其是对英国业务产生了重大影响。据外媒分析,该攻击具有勒索软件的所有特征。该公司公告并没有提及任何有关数据泄露的信息,但表示“由于存在恶意访问个人信息的风险”,已通知当局。
4月14日,勒索组织Daixin将美国知名连锁酒店Omni Hotels & Resorts添加到其泄露网站中,声称掌握了该酒店自2017年至今的大约350万客户敏感信息,包括客户姓名、电子邮件和邮寄地址,以及精选宾客忠诚度计划等信息,并提出350万美元的赎金要求。攻击导致其50家高档酒店在复活节期间一度陷入混乱,业务系统被迫关闭10天才陆续恢复。据分析,此次攻击很可能是通过VPN服务器中的漏洞展开的。
4月15日,全球领先的芯片制造商-安世半导体Nexperia遭遇大规模的勒索软件攻击。名为 Dunghill GROUP的勒索团伙在攻击行动中入侵了安世半导体的服务器,窃取了超过1TB的敏感商业数据,被盗信息包括芯片设计、研发数据、员工个人信息,还包括来自SpaceX和苹果公司等知名客户的数据。
4月16日,联合国开发计划署UNDP在官网发文证实,其位于哥本哈根联合国城的IT基础设施已遭到勒索软件攻击,攻击者从其系统中窃取了包括人力资源和采购信息在内的大量敏感数据。有安全人员监测到,3月27日,勒索软件组织****8base将该机构添加到其站点的受害者名单中,其中部分数据已于4月3日公开。UNDP强调称不会履行勒索软件团伙的任何勒索要求。
4月20日,勒索组织美杜莎MEDUSA在其暗网公布了最新勒索对象——一家拥有近百年历史的家族音乐企业,泰德·布朗音乐Ted Brown Music。美杜莎声称盗取了29.4GB重要数据,并要求该组织在7天内交付30万美金赎金,否则将公开被盗数据。
4月21日,全球金融与企业资信分析数据库电子提供商毕威迪Bureau van Dijk遭受了勒索攻击组织USDoD的攻击,其所窃取的第一个数据库中包含了约890万的数据,包含姓名、电子邮件地址、电话号码和电子邮件地址等敏感信息。USDoD还通过毕威迪获取了美国消费者数据库的280万数据记录。这两个数据库的信息已被公开,供所有人免费下载。
4月22日,勒索软件团伙LockBit攻击了澳大利亚呼叫中心运营商OracleCMS。LockBit在其网站上公开多个压缩文档,单个压缩文档数据量超过60GB,涉及OracleCMS与多家客户交易往来的账单和财务信息。已知悉尼、奎那那、莫顿湾、普雷福德、巴瑟尔顿和马里恩等多个城市的文件都在本次攻击活动中遭到泄露,已有数千名澳大利亚人的个人详细信息被发布在了暗网中。
4月28日,加拿大零售药店巨头伦敦药店London Drugs表示遭遇了严重的网络安全事件,出于对客户和员工安全的考虑,暂时关闭加拿大西部全部78家门店。此次事件导致伦敦药店已经停业三天,电话服务系统也全面瘫痪,预计每天损失高达一百万美元。
2024.5
5月6日,美国堪萨斯州威奇托市政府发布安全报告称遭遇勒索软件攻击事件,部分市政服务系统已遭到攻击者加密,该市紧急关闭了大部分计算机网络和系统,市政在线服务暂时无法使用。政府以“运营安全”为由,拒绝透露相关勒索软件组织的名称。该市是美国高技术航空工业的基地,飞机生产量约占西方国家生产量的60%。
5月9日,美国医疗保健巨头阿森松医院Ascension宣布遭遇了Black Basta勒索软件团伙攻击,导致旗下140个医院和40个高级护理机构运营中断,电子健康记录系统、在线医疗平台、电话系统、配药系统等重要信息基础设施严重瘫痪。
5月27日,勒索软件团伙RansomHub在暗网发帖称,两周前入侵了世界著名艺术品拍卖行佳士得的官方网站,从中窃取了至少50万名佳士得重要客户的敏感信息。由于佳士得未能在要求日期前支付赎金,RansomHub已将部分用户数据样本公开到暗网网站上。公开这些数据后,根据欧盟的GDPR条例,佳士得将受到最高2000万欧元的罚款。
5月28日,全球能源巨头壳牌Shell再遭勒索攻击。此次事件导致该公司在美国、英国、澳大利亚、法国、加拿大和荷兰等多个国家近8万名客户的敏感数据被勒索组织窃取。勒索组织在黑客论坛上公布了一部分窃取的数据“样本”信息,包含客户姓名、电子邮件、联系手机、家庭住址、付款信息等。值得关注的是,这距离壳牌上一次遭遇勒索攻击还不到一年。
2024.6
6月4日,英媒报道由于第三方供应商遭遇勒索软件攻击,伦敦最重要的数家医院宣布进入重大事件紧急状态。本次事件的受害者Synnovis是SYNLAB跨国集团在英国成立的子公司,主要从事病理学分析和相关研究工作,为伦敦各大医院提供血液分析、组织病变分析等病理学检测服务。1个月前,SYNLAB集团在意大利的子公司Synlab Italia曾遭遇Black Basta勒索软件组织攻击。
6月25日,印度尼西亚国家数据中心遭遇勒索攻击,导致与国家数据中心有关的200多个政府公共服务机构陷入瘫痪。此次利用LockBit 3.0的变种发起攻击的或为该团伙的附属组织,攻击者要求支付800万美元赎金以解密全部的系统,但印尼政府称,坚决不向攻击者妥协,将重点致力于恢复受影响的系统,并加强网络安全建设投入。
6月26日,美国信托银行公司进化银行Evolve Bank & Trust公布遭到勒索软件团伙LockBit入侵。进化银行主要为美国各州的客户提供信托信贷产品和服务,攻击者窃取的33TB的敏感数据中部分与美联储有关,因此其此前便声称“从美联储获取了美国人的银行机密”并实施敲诈,引发全球广泛关注。
END
✦
推荐阅读
✦
粉丝福利群开放啦
加安全419好友进群
红包/书籍/礼品等不定期派送
