安全419盘点 | 2023年第三季度勒索软件攻击趋势总结

网络犯罪专业化发展是调研机构认为的2023年网络安全主要趋势之一，其中又以勒索软件攻击商业模式系统化发展最具代表性，这种趋势带来的威胁也是代言网络安全的一种长期威胁。安全419长期关注安全产业的发展与网安趋势变化，现观察并总结2023年Q3期间勒索软件攻击相关事件发现如下趋势：

在Chainalysis公布的一组数据当中，2023年全球的勒索软件赎金从虚拟货币市场追踪的总金额可能达到8.98亿美元，其中仅上半年受害者就向勒索软件团伙支付了4.49亿美元赎金，从总体趋势上看，今年可能是勒索软件总体收入第二高的年份，仅次于2021年。

没有任何组织能够准确计算相关信息，但其代表着趋势，即勒索软件团伙不会因不断加强的安全建设而放缓对企业和组织的攻击，并且一旦得手，在威胁泄露数据上将更加激进，以确保有所收获。如Secureworks发布的2023年威胁状况报告指出的那般，今年在勒索软件泄露网站上公布的受害者人数已经达到了空前水平，这种近乎羞辱性点名的方法很难有企业能招架得住。

Q3最具代表性的赎金支付来自凯撒娱乐，这家娱乐业巨头在8月份遭到入侵，已知信息显示其已经向勒索团伙支付了1500万美元，以确保被盗数据得以删除或不被转卖泄露。尽管美国政府一再呼吁不要向勒索团伙支付赎金，特别是政府部门，但商业组织选择支付赎金仍然常见。

根据Keeper Security发布的一份报告来看，绝大多数企业（43%）都会选择隐瞒各类违规事件，像勒索软件攻击通常会造成数据泄露，各国地区政府在涉及公民敏感信息泄露时的处罚力度之大，是各组织选择隐瞒的最大因素。以至于我们在Q3看到了政府一侧甚至甘愿减少处罚，也希望企业尽量披露安全事件。

在具体的因勒索软件攻击对组织造成的损失方面，Q3米高梅勒索事件可能最具代表性，在最近的披露当中，这家娱乐巨头表示9月份的勒索软件攻击事件将会对公司造成1亿美元左右的经济损失。其中运营中断占损失上的大头，在网络安全方面，该公司另外支付了1000万美元，用以清理受感染的系统和相关安全建设。

通常，恢复成本取决于勒索病毒的感染面积，如此前爱尔兰卫生局下属医院大面积终端感染勒索病毒，其恢复总成本后期统计就接近8000万欧元。所以，最好的办法是建设安全，而不是牺牲安全，赎金本身是损失的同时，支付赎金并不意味着不会造成其他损失。比如品牌信誉影响，业务中断影响等。

Q3开学季期间，据威胁情报公司Recorded Future统计，8月份全球共有27所学校遭到勒索软件攻击，加之7月份的19所，今年针对学校的勒索攻击可能会达到历史新高。另外一起调查数据同样持相同观点，Comparitech团队引用数据指出，今年到现在至少有90起学校遭到勒索软件攻击，未来的几个月，要突破2022年的119起将不会令人惊讶。

一些关键漏洞在教育机构被勒索攻击当中扮演重要角色，比如此前我们认为将产生长期影响的MOVEit软件漏洞，就如近期，美国教育非营利组织国家学生信息交换所就披露勒索团伙早在5月份就利用MOVEit漏洞获取了服务器的访问权限，并窃取了大量个人信息，事件可能影响全美890所使用其服务的学校。

其中包含两大因素，关键漏洞是一个，另外就是漏洞早利用，后发力上的重大威胁。如果泄露个人信息包含凭据，或能够与社工库产生关系的任何信息，攻击者甚至可以用合法身份，或进一步钓鱼获取合法身份，进而获取各大教育机构关键服务的访问权限。这会让组织和机构更加防不胜防，同时也显示了如何辨别真假身份或是其作恶行为的重要性。

另外一份报告则将勒索软件攻击最大的目标指向了医疗机构，ENISA（欧盟网络安全局）在Q3发布的一份报告指出，针对医疗机构的网络安全威胁已占整体威胁的一半以上（53%），医疗机构包括医院、卫生监管等科研机构，以及制药行业。

而在所有的威胁当中，勒索软件最为普遍占事件的54%，报告也回答了为什么医疗机构更容易成为勒索软件团伙的攻击目标，主要是因为大部分医疗机构（73%）没有专门的勒索软件防御计划。而这方面的代价则可以用安全事件的中位数30万欧元成本来回答，当然这只是经济损失，关键医疗服务中断（22%）可能造成的人身损害是医疗机构必须解决的紧迫问题。

Q1，数百家组织受到了VMware ESXi、GoAnywhere MFT两起漏洞攻击利用事件影响，Q2，又一起漏洞影响爆出，MOVEIT软件漏洞（具体来说是三个漏洞，分别是CVE-223-34362、CVE-223-35036、CVE-223-35708）可能影响了全球数百家政府机构和商业组织。当时我们评价该漏洞时认为，其影响可能会超过Q1两起漏洞事件，比如工业巨头施耐德电气和西门子能源均受到该起漏洞事件影响，现在来看，其影响甚至要超过我们预期。

最近我们关注到了一家网络安全公司Emsisoft最近就做了一项工作，他们统计了MOVEIT软件漏洞在全球范围内所造成的影响，截至10月6日的数据显示，全球因MOVEIT漏洞影响的企业高达2347家，其中美国受影响占比84.1%，加拿大占比7.2%，德国是1.5%，英国为0.9%，在行业分布上看，教育行业占比高达44.8%，其次是医疗的12.7%，金融和服务行业占比12.5%。

Emsisoft按照行业预测的数据泄露的平均成本对MOVEIT软件漏洞在全球能够造成的影响进行了预测，该漏洞事件可能造成全球范围内100亿美元以上的经济损失影响，主要体现在赎金支付、事件影响、违约责任等一系列支出上，同时造成的海量数据泄露可能进一步成为犯罪诱因。

该事件如果从企业角度来说的话，主要挑战在于他们很难发现自己是否使用了MOVEIT文件传输平台，就像Emsisoft指出的那样，它的威胁性更体现在复杂的供应链之上，比如一些企业受到了影响，是因为他们使用的供应商下的承包商使用了MOVEIT，甚至是多层级关系，所以谈论漏洞修复，也不仅是企业自身的挑战，整个供应链都应负有责任。

比如典型的案例是波多黎各人民银行的数据泄露事件，该家银行与普华永道会计师事务所保有超过二十年的合作关系，一直在使用其提供的审计服务，由于工作性质和要求决定，他们需要向审计机构提供数据，而传输过程就使用了MOVEIT。

事件最终更是凸显了企业在保护其数据安全方面的最终挑战，当然0day漏洞固然难以防范，比如有分析指出黑客可能早在2021年就知道MOVEIT中的0day漏洞，同时他们也不仅要关注自身安全，还需要关注供应链的安全，而为了避免和阻止类似事件再次发生，我们的底线只能协调一致，设计安全、建设安全。