2022年全球勒索赎金TOP 10 | FreeBuf年度盘点

2022年的网络世界并不太平，勒索攻击事件频发，产生了难以计数的数据泄露。一些大型RaaS（勒索软件即服务）组织，利用成熟的商业化运作模式，对全球多个行业持续“重拳出击”，带来了巨大的经济损失。

根据SpyCloud发布的《2022年勒索软件防御报告》显示，过去一年内90%的受访企业都受到了勒索攻击的影响，相比2021年72%的比例增长了 25%，其中50%的企业表示至少遭受过两次勒索攻击，而作为勒索攻击的最终目的，2022年的赎金支付额度也出现了显著增幅。根据Unit 42的一项调查，仅在2022 年前五个月，勒索软件攻击的平均赎金支付额达925162 美元，前所未有地接近100 万美元大关，较去年增长 71%。

虽然平均赎金支付额有大幅上涨的趋势，但根据公开报道或披露的数据，目前勒索软件攻击所产生的最高赎金记录仍然由REvil勒索软件组织在2021年7月针对软件供应商Kaseya索要的7000万美元所保持。2022年虽然没有打破这一记录，但在已公开的赎金金额中，就有两起达到了6000万美元。本文根据这些公开的报道或资料，盘点出2022年度赎金金额TOP 10的勒索攻击事件。 

1.英国著名汽车经销商集团Pendragon勒索攻击事件，赎金金额：6000万美元

据英国《泰晤士报》2022年10月21日报道，英国著名汽车经销商集团Pendragon月初曾遭到LockBit 勒索软件组织的网络攻击，部分数据被窃取，并以发布被盗数据为威胁，要求Pendragon在截止日期前支付数千万美元级别的赎金。后经证实，具体的赎金金额高达6000万美元。虽然有消息称公司被窃取的数据达到了2TB，但该公司发言人表示，Pendragon坚决不会向对方支付赎金，并让IT 团队进行了调查，结果显示，攻击者只窃取了数据库中约5%的数据。有分析认为，LockBit之所以开出如此高额赎金，与在攻击发生时瑞典汽车制造商 Hedin Group 正以4亿英镑巨资收购Pendragon有关。

2.电信公司 Intrado勒索攻击事件，赎金金额：6000万美元

2022年12月，Royal勒索软件组织声称对电信公司Intrado发动网络勒索攻击，并从受感染的设备中获取了公司内部文件、员工个人信息等，并发布了一个52.8 MB的样本，其中包含护照、商业文件和驾驶执照的扫描件。Royal以将泄露更多数据为威胁，要求Intrado支付高达6000万美元的巨额赎金。这一事件甚至惊动了美国卫生与公众服务部 (HHS)，其发言人表示对Intrado 因攻击导致服务中断“不可接受”，将继续调查其中的根本原因。据悉，攻击最开始发生于12月1日，但直到12月末受影响的服务也未完全恢复，还存在一些间歇性问题，目前也尚未有关于是否支付赎金的后续报道。

3.德国跨国汽车巨头大陆集团勒索攻击事件，赎金金额：4000万美元

2022年11月，LockBit 勒索软件组织宣布他们成功窃取了德国跨国汽车集团大陆集团（Continental）系统中的一些数据，并要求在规定的时间内支付赎金。据悉，被窃取的数据达到了40TB，包含监事会会议记录和决议草案等内容，甚至也涉及汽车合作伙伴大众、宝马和梅赛德斯的敏感信息。为了促使大陆集团支付赎金，LockBit将最开始提出5000万美元勒索赎金降至了4000万美元，但大陆集团仍表示“拒绝支付”，认为支付赎金是在资助“对关键基础设施安全的持续攻击”，随后，LockBit已在其暗网上以 5000 万美元的价格出售这些数据。这一事件所造成的后续影响目前还不明朗，但员工代表已在事发后写信给董事会，要求澄清网络事件并评估攻击可能对员工造成的后果。

4.哥斯达黎加政府勒索攻击事件，赎金金额：2000万美元

2022年4月中旬，Conti勒索软件组织开始攻击哥斯达尼加政府，导致财政部覆盖国内大部分公职人员的支付系统关停数小时，该系统同时也负责处理政府的养老金支付服务，财政部不得不批准延期纳税政策。此轮攻击随后也波及从事进出口事务的相关部门，包括税务和海关在内的一些平台连续第四天暂停运营。Conti最先向哥斯达尼加政府开出1000万美元赎金，但被拒绝，随后便发动了更大规模攻击，扬言“决心通过网络攻击推翻政府”，赎金也暴涨至2000万。据外媒报道，截至5月9日，Conti窃取了近700GB来自哥斯达尼加各政府部门的重要数据，并已将绝大部分泄露至网络，给该国带来严重的国家安全威胁，甚至迫使该国总统一度宣布国家进入紧急状态。

5.台达电子勒索攻击事件，赎金金额：1500万美元

2022年1月，位于中国台湾的苹果、特斯拉电源部件供应商台达电子发表声明称受到了勒索软件攻击，攻击与Conti勒索软件组织有关。尽管台达电子官方宣称攻击并未影响其核心生产系统，但据当地媒体报道，记者已获得一份内部事件报告副本，报告数据显示这次攻击实际情形严峻，有1500多台服务器和12000多台计算机被加密，而攻击者也开出了1500万美元的赎金要求。有内部消息称，为了尽可能减少损失，台达电子与攻击者就可能的赎金付款进行了谈判，但最终是否支付了赎金，目前还不得而知。

6.黑山政府勒索攻击事件，赎金金额：1000万美元

2022年9月，黑山政府关键基础设施遭到了来自Cuba勒索软件组织的攻击，超过10个政府机构的150多个工作站无法访问，Cuba要求支付1000万美元赎金，宣称从黑山政府机构获得了财务文件、与银行雇员的通信、账户变动信息、资产负债表、税务文件、赔偿金乃至源代码，如果不支付赎金将免费发布这些数据供任何人下载。黑山国家安全局（ANB）证实了此次攻击，其目标是政府系统和其他关键的基础设施和公用事业，包括电力、水系统和交通系统。ANB将这次攻击归咎于俄罗斯协调的对抗行为，自黑山于2017年加入北约以来，两国的关系便一直处于紧张状态。

7.法国巴黎的南法兰西林中心医院勒索攻击事件，赎金金额：1000万美元

2022年8月，法国巴黎的南法兰西林中心医院(CHSF)遭到疑似LockBit 勒索软件组织的攻击，医院的业务软件、存储系统（特别是医学成像）和与患者相关的信息系统暂时无法访问，一些患者不得不被转诊到其他医疗机构并推迟手术预约。据法国世界报《Le Monde》报道，该医院被要求支付1000万美元赎金来换取解密密钥，但随后医院明确表示将拒绝支付。之后，近12GB的患者和工作人员数据被泄露，内容包括患者社会安全号码、实验室报告和其他一些健康数据。

8.Ward Hadaway律师事务所勒索攻击事件，赎金金额：600万美元

2022年3月，全球排名Top 100的英国律师事务所Ward Hadaway被不明黑客勒索，并要求支付价值600万美元的比特币。如果不能在一周内先支付价值300万美元的比特币，黑客将公开所窃取的机密数据。黑客还向 Ward Hadaway 发送了一份在攻击中被复制的数据和文件列表，其中一些已经以加密形式上传到网络上。事后，包括代表机构和监管机构在内的律师协会总理事会 (GCB)却认为“没有丢失任何数据“，但业务确实受到影响，正与网络安全单位合作清理并恢复所有系统。

9.奥地利卡林西亚州政府勒索攻击事件，赎金金额：500万美元

2022年5月，网络犯罪组织Black Cat声称获取了奥地利卡林西亚州政府的敏感数据和解密软件访问权限，并向其索要价值500万美元的比特币来解锁加密的计算机系统。攻击者加密了数千个政府机构的工作站，导致政府服务严重中断，州政府网站和电子邮件服务也一度暂时关闭，导致政府无法发放新护照或交通罚单。攻击还坏了通过该地区行政办公室进行的新冠病毒测试和接触者的流调工作。但州政府拒绝了支付赎金，理由是没有证据表明Black Cat已经从其系统中获取敏感性数据，而且州政府能够使用可访问的备份来恢复工作站运行。

10.意大利铁路公司Trenitalia勒索攻击事件，赎金金额：500万美元

2022年3月，意大利铁路Trenitalia系统遭到Hive勒索软件组织攻击，导致铁路公司的车站售票系统完全瘫痪，乘客无法在车站人工售票处或自动售票柜台购买车票，但仍然可以在线购买车票。Hive组织提出了500万美元的比特币赎金要求，期限为三天，否则金额将翻倍至1000万美元。目前还不清楚Trenitalia最终是否支付了赎金。

勒索软件并非一定青睐大型企业组织

过去勒索软件组织被认为更加青睐大型企业或组织，除了有助于迅速提升自身知名度，攻击勒索这些财力雄厚的实体往往也更容易获得高额赎金，但现在勒索组织同样开始重视中小企业。根据SpyCloud发布的《2022年勒索软件防御报告》显示，在规模为500-999人的企业中，89%的企业表示遭受过勒索软件攻击，规模为1000-9999人的企业中，这一比例为91.5%，这些相比2021年均出现了9%-25%的显著增幅。在本文盘点的Top 10中，也确实出现了诸如律师事务所、地方医院等被勒索高额赎金的案例。

不同人数规模企业受到至少一次勒索软件攻击的比例分布（SpyCloud）

支付赎金也并不稳妥

在遭受勒索攻击后，有相当一部分企业组织最终会妥协并支付赎金，根据《2022年勒索软件防御报告》，这一比例达到了65%。但支付了赎金并不代表就一定能恢复数据，报告显示，在支付了赎金的企业组织中，仍有约三分之一仅能恢复部分数据。

当然，赎金金额往往也只是企业在勒索攻击中所承担损失的一个“缩影”，被加密、泄露数据的价值并不能通过赎金额度得到充分体现，即使最终数据通过备份恢复、也未向攻击者支付赎金，但企业组织通过各种手段排查漏洞、修复业务、挽回声誉等产生的开销往往同样巨大。报告显示，在私营企业当中，90%的都因为勒索软件攻击而暂时中断了运营，86%为此产生了财务损失。

企业选择支付赎金及数据恢复情况比例统计（SpyCloud）

2021年7月，客户关系管理 (CRM) 服务提供商 Atento曾遭到LockBit勒索软件组织的攻击，在拒绝支付赎金、相关数据随后遭到泄露的情况下，这家企业为恢复中断的业务、加强网络安全性、保护数据、及时检测威胁和实施有效补救措施相关的支出就高达4210万美元，可见企业为勒索软件攻击付出的额外成本不可小视。

总体来说，勒索软件组织会“看人下菜”，根据目标实力和支付概率给出相应的赎金，但随着RaaS模式让勒索攻击变得更加强大的同时，也让技术门槛大幅降低，大型勒索组织凭借自身平台实力不断吸引其他黑客“入伙”，而“买马”的关键在哪？越高的赎金收入无疑是最好的宣传，为此高额赎金恐将成为趋势，让企业组织越发难以承受。为此企业需要不断提高安全水位，提高自身“打持久战”的实力，尽力在遭受攻击时减小损失。