回顾十大勒索软件及造成的损失

在网络空间中，很少有威胁能够与勒索软件攻击的普遍性和破坏性相媲美。随着互联世界的发展，这些数字勒索者表现出了无与伦比的胆大妄为。他们的行为从削弱跨国公司到破坏关键基础设施和泄露个人数据，造成的连锁反应远远超出了虚拟领域。

揭示了勒索软件组织对每个账户的秘密运作，利用他们的技术实力来劫持无价的数据。我们将从最高的支付需求开始并分析攻击来创建列表。

Hive、MediaMarkt、2.4 亿美元

2021 年，著名电子零售连锁店 MediaMarkt 成为严重的Hive 勒索软件攻击的受害者。攻击者最初索要高达2.4亿美元的赎金，导致关键IT系统关闭，荷兰和德国的商店运营严重中断。作为欧洲最大的消费电子零售商，MediaMarkt拥有遍布 13个国家/地区的1,000多家商店网络。该公司拥有约53,000名员工，总销售额达 208亿欧元，在市场上占有重要地位，使其成为寻求利用漏洞获取经济利益的网络犯罪分子的有吸引力的目标。

Twitter上分享的据称屏幕截图暗示了公司内部通信，显示这次勒索软件攻击据报道已损害了大约3,100台服务器。根据勒索信，该恶意组织声称已提取数据。根据双重勒索勒索软件的惯用手法，他们威胁称，如果该公司拒绝满足其赎金要求，他们将公开披露被盗信息。攻击者实质上是将数据变成了讨价还价的筹码，如果受害者不遵守其付款要求，就会构成泄露或出售受损信息的威胁。然而，目前尚不清楚 MediaMarkt 是否屈服于敲诈勒索并支付了赎金，据称赎金金额经谈判降至5000 万美元。

REvil、宏碁1亿美元

2021 年 3 月，REvil 勒索软件团伙创下了台湾计算机制造商宏碁前所未有的需求记录。最初，他们索要高达5000万美元的惊人金额，超过了之前与 REvil攻击相关的勒索软件最高索价3000万美元。有趣的是，如果宏碁及时付款，REvil会给予20% 的折扣，强调他们需求的紧迫性。然而，尽管有激励措施，谈判却陷入僵局，在八天毫无进展后，黑客们惊人地将他们的要求翻倍，升级到令人瞠目结舌的1 亿美元。在Hive的极高赎金要求出现之前，即使是REvil的5000万美元赎金要求也被视为迄今为止勒索软件历史上索取的最高赎金金额。

当时，Advanced Intelligence检测到Revil团伙在勒索软件攻击之前针对Acer域中的Microsoft Exchange服务器进行了攻击。

Microsoft Exchange中广泛存在的漏洞（CVE-2021-26855、 CVE- 2021-26857、 CVE -2021-26858、CVE-2021-27065）已被认为是影响全球数千个组织的众多漏洞的罪魁祸首。值得注意的是，宏碁的勒索软件攻击是首个与利用这些 Microsoft Exchange漏洞直接相关的备受瞩目的事件。这一关联标志着勒索软件攻击领域的一个重要里程碑，特别是与流行的邮件服务器软件黑客攻击有关。

LockBit、皇家邮政、8000 万美元

2023 年，英国著名邮政和快递公司皇家邮政 (Royal Mail) 成为LockBit组织精心策划的勒索软件攻击的受害者，成为全球头条新闻。这次攻击造成了严重后果，对皇家邮政的 IT 系统和运营造成了破坏性影响，这种影响持续了近六周。

由于皇家邮政向海外发送包裹的能力受到损害，此次攻击的影响范围广泛，影响了英国和国外的众多个人和小企业。为了向该公司施加压力，LockBit采取了大胆的举措，公布了他们声称的与皇家邮政谈判的完整记录。最初，赎金要求高达8000 万美元，LockBit承诺提供解密工具，并在付款后停止发布敏感数据。然而，随着谈判的展开，LockBit最终将他们的需求降低至4000 万美元。但后来LockBit组织最终放弃了勒索赎金，转而选择公布该公司被盗的文件。这一举动突然结束了数周的谈判，使皇家邮政无法使用解密器，并拒绝了LockBit他们所寻求的发薪日。

REvil、Kaseya，7000万美元

2021年7月，恶意修补程序在不知不觉中通过Kaseya VSA服务器传播，利用与REvil组织相关的臭名昭著的Sodinokibi勒索软件对数百家企业的数千个节点进行了加密。Kaseya VSA广泛用于远程网络管理，由于其广泛的访问权限和复杂的任务而成为主要目标，这使得后门监控具有挑战性。尽管发生了攻击，但没有证据表明Kaseya的基础设施受到损害。相反，攻击者利用托管安全提供商 (MSP) 经常利用的 易受攻击、面向互联网的 VSA 服务器作为后门，秘密向下游分发勒索软件。

对于受影响的组织来说，从这种广泛的感染中恢复过来是一项艰巨的任务。向众多节点分发更新造成了巨大的感染爆炸半径，迫使许多欧洲和亚太地区的企业在努力补救情况的同时关闭。REvil通过他们的博客索要7000万美元的比特币赎金。提议支付赎金以获得解密器，该解密器可以帮助所有受影响的受害者在攻击期间解锁其加密文件。

该事件有一个有趣的点：在补丁发布前的短时间内，威胁行为者成功利用了补丁前的漏洞。Kaseya VSA服务器遭受SQL注入攻击，使其容易受到远程利用。该漏洞被分配了一个 CVE 编号：CVE-2021–30116。REvil之前的攻击涉及在勒索软件部署之前延长停留时间和仔细的数据泄露，与此相反，这次攻击发生得很快。

威胁行为者意识到开发补丁需要与时间赛跑。安全研究员Victor Gevers (@0xDUDE) 和 DIVD.nl团队已向Kaseya报告了该漏洞并合作开发了补丁，但 REvil在修复实施之前就采取了行动。

勒索软件攻击可以影响供应链中的大量人员，例如 MOVEit上的漏洞或我们过去在 Kaseya案例中目睹的漏洞。对于这种情况，我们有一个解决方案。借助 SOCRadar供应链情报功能，您可以收到有关添加到观察列表的供应公司的警报。

LockBit、台积电、7000万美元

2023 年 7 月，LockBit勒索软件团伙在其泄密网站上公开将台积电 (TSMC)添加到受害者名单中，台积电证实其一家硬件供应商发生了泄露事件。6月30日星期五，台积电通知多家媒体，一旦发现违规行为，立即暂停与台湾公司Kinmax Technology的数据交换。Kinmax Technology就在LockBit将台积电列入其泄密网站的同一天发现了这一漏洞，并要求支付惊人的7000 万美元赎金，以删除他们声称安全窃取的数据。据Kinmax Technology称，一个身份不明的外部组织设法访问其一个测试环境，并随后检索配置文件和其他参数信息。

LockBit、Pendragon、6000 万美元

2022 年，LockBit勒索软件团伙再次针对Pendragon Group，这是一家在英国拥有200多个分支机构的大型汽车经销商。黑客索要高达6000万美元的赎金，以解密受感染的文件并防止其泄露。

Pendragon集团以拥有CarStore、Evans Halshaw和Stratstone等汽车零售商而闻名，提供适合各种预算的各种汽车品牌，包括捷豹、保时捷、法拉利、梅赛德斯-奔驰、宝马、路虎和阿斯顿马丁到更实惠的选择，如雷诺、福特、现代、日产、标致、沃克斯豪尔、雪铁龙、DS、达契亚和达夫。

Pendragon首席营销官Kim Costello表示，此次攻击发生在信息披露前大约一个月。发现违规行为后，Pendragon立即向执法部门和英国数据保护办公室报告了这一事件。该公司的IT团队迅速做出反应，反击了这次攻击。对此次泄露事件的调查显示，黑客仅访问了数据库的5%。尽管有人提出赎金要求，彭德拉贡仍然坚定不移，并遵循安全当局提供的指导，选择不支付。

Yanluowang, Walmart, $55 million

2022 年，Yanluowang勒索软件行动在其数据泄露网站上发布了大胆的声明，称他们已成功入侵一家大型零售商并加密了大量设备，估计在40,000至50,000台设备之间。在接受 BleepingComputer采访时，勒索软件团伙声称攻击发生在一个多月前，在此期间他们能够加密设备，但未能窃取任何数据。作为攻势的一部分，他们向沃尔玛索要5500万美元的巨额赎金，但沃尔玛没有回应他们的要求。

数据泄露网站上的条目包含据称在攻击期间从沃尔玛 Windows 域中提取的多个文件。尽管沃尔玛否认任何此类攻击成功，但这些文件提供的信息声称来自零售商的内部网络。这些文件包括安全证书、域用户列表以及Kerberoasting 攻击（这是对 Kerberos 的暴力密码攻击）的输出。

LockBit、大陆集团、5000万美元

2022 年 11 月，LockBit 黑客组织对 8 月份发生的针对跨国汽车集团大陆集团的网络攻击负责。勒索软件团伙威胁称，除非支付赎金，否则将通过其泄密网站公告公布大陆集团的数据。

然而，大陆集团驳斥了 LockBit 的说法，并选择不支付赎金。因此，LockBit 将涉嫌被盗的数据出售，标价高达5000 万美元。报告的被盗数据量约为40TB。熟悉情况的内部人士推测，加密信息可能包括敏感材料，例如监事会会议记录、决议草案和大陆集团董事会演示文稿。

LockBit、埃森哲、5000万美元

一次又一次LockBit。全球IT咨询巨头埃森哲在其截至2021年8月31日的第四季度和整个财年的财务报告中确认，LockBit勒索软件攻击已针对其进行。此次攻击导致埃森哲系统数据被盗。该勒索软件团伙声称已访问了6 TB 的数据，并索要高达5000 万美元的赎金。

尽管埃森哲在其财务报告中承认了数据泄露和数据泄露的情况，但该公司尚未在 SEC 备案文件之外发布任何公告，也没有向有关当局提交数据泄露通知函。这表明被盗数据可能不包括个人身份信息 (PII)或受保护的健康信息 (PHI)，否则会触发监管通知要求。

然而，根据指控，在内部人士的协助下攻破埃森哲网络的 LockBit 组织后来声称，他们利用窃取的数据未经授权进入两个机场。

REvil、广达、5000万美元

勒索软件组织 REvil 在一篇博文中大胆声称，他们已经成功窃取了苹果最新产品的蓝图。有趣的是，同一天，苹果首席执行官蒂姆·库克在一场线上活动中发布了多款新品。针对这一事件，负责为苹果制造Macbook 的广达电脑公司在给彭博社的一份声明中承认了此次网络攻击。他们报告说，他们的信息安全团队与外部专家合作解决了这次专门针对少数服务器的攻击。广达电脑公司保证，尽管遭受了攻击，但其业务运营并未受到任何重大影响。

值得注意的是，在苹果主办的同一场在线活动中，REvil 采取了进一步行动，发布了新笔记本电脑的计划。泄露的图像类似于 2021 年 3 月的 Macbook 设计。随后，REvil 索要高达5000 万美元的解密密钥来解锁被盗数据。

结论

勒索软件攻击的盛行清楚地提醒我们今天面临着重大的网络安全挑战。上面讨论的例子凸显了此类攻击的代价高昂的后果。虽然某些攻击的确切方法仍然未知，但人们普遍认为勒索软件事件通常源自网络钓鱼攻击，这凸显了高度关注网络安全意识的至关重要性。

另一个值得注意的方面是如何利用和访问漏洞，特别是在涉及大公司的违规情况下。补丁管理不力和漏洞评估被忽视可能会为昂贵的勒索软件攻击打开大门。因此，解决漏洞的主动措施和及时的补丁管理在防范这些威胁方面发挥着至关重要的作用。导致 Kaseya 成为受害者的补丁管理计划不足以及导致 Acer 受害的广泛的 Microsoft Exchange 漏洞再次强调了漏洞情报的重要性。

原文始发于微信公众号（祺印说信安）：回顾十大勒索软件及造成的损失