今年14起重大勒索软件攻击事件回顾

勒索软件病毒正在随着时间的推移变得更具危害性。更糟糕的是，今年已经出现了许多新的勒索软件即服务（RaaS）团伙，例如Mindware、Onyx和Black Basta，以及恶名昭著的勒索软件运营商REvil的回归。所有这些都指向一个事实：勒索软件攻击无处不在，企业组织随时可能沦为下一个受害者。

在2022年即将结束之际，一起来回顾一下今年以来发生的14起重大勒索软件攻击事件，这些事件的勒索货币金额均超过了100万美金。总结这些勒索软件攻击的目的是为了更好地洞察网络犯罪分子的策略和意图，以便能够深入了解勒索软件的危害，并更好地防范此类威胁。在勒索软件攻击威胁下，没有组织是绝对安全的。因此，提前制定适当的勒索软件事件响应计划至关重要。

哥斯达黎加政府

勒索赎金：2000万美元

这是2022年最受关注的攻击事件，因为这是一个国家首次宣布进入“国家紧急状态”以应对勒索软件攻击。调查显示，从4月中旬到5月初，27个政府机构成为第一波攻击活动的目标。国家财政部数TB数据和800多台服务器受到影响，数字税务服务和海关控制IT系统瘫痪，不仅影响了政府服务，还影响了从事进出口的私营部门。

勒索软件组织Conti声称对此轮攻击负责，并要求哥斯达黎加政府支付1000万美元的赎金，后来这一金额又增加到2000万美元。5月31日开始，另一波攻击使该国的医疗保健系统陷入混乱。这次与HIVE相关的攻击直接影响了哥斯达黎加的普通民众，因为它使该国的医疗保健系统被非正常下线。

这一系列针对哥斯达黎加政府的攻击，清楚地展示了勒索软件攻击可能对政府组织造成的严重破坏性后果，这或将开启一个新的勒索软件时代。如果没有投入足够的资源进行勒索软件攻击准备和缓解，以及为全体工作人员等提供网络安全意识和技能培训以应对此类威胁，那么整个国家都可能因为网络攻击而陷入瘫痪。

Center Hospitalier Sud Francilien（CHSF）医院

勒索赎金：1000万美元

今年8月，法国巴黎的一家医院Center Hospitalier Sud Francilien（CHSF）遭遇网络攻击，迫使其将患者转诊至其他机构，并推迟了多台手术计划。据悉，CHSF为当地60万居民提供诊疗服务，因此其运营中断，给身处危急关头的病患造成严重的健康甚至生命威胁。

CHSF在随后发布的公告中表示，此次网络攻击致使医院的业务软件、存储系统（特别是医学影像）及与患者入院相关的信息系统暂时无法访问。勒索软件团伙要求医院支付1000万美元以换取解密密钥。

研究人员在此次事件中发现了LockBit 3.0感染的迹象，国家宪兵部门随后介入调查，并开始追踪Ragnar Locker和LockBit。如果LockBit 3.0确实就是CHSF攻击事件的幕后黑手，那他们就违反了RaaS的“行规”，即不得向医疗保健服务商的系统发动加密攻击。

黑山政府部门和国家议会

勒索赎金：1000万美元

2022年9月，欧洲国家黑山的多个政府部门遭遇超大规模网络攻击，致使超过10个政府机构的150多个工作站均无法访问。此次攻击采用了勒索软件与分布式拒绝服务（DDoS）相结合的方式，不仅扰乱了政府服务，还迫使该国的电力系统转为手动控制。Cuba勒索软件组织宣称对此次攻击负部分责任，他们使用Cuba勒索软件感染了黑山议会办公室网络，并在勒索门户上发布了黑山议会勒索公告，称窃取了财务文件、银行通信内容、资产负债表、税务文件、赔偿金乃至源代码。这些文件免费发布，任何人均可下载。

律师事务所Ward Hadaway

勒索赎金：价值600万美元的比特币

全球排名Top 100的律师事务所Ward Hadaway在今年3月发现了一次网络攻击，一名匿名黑客警告称，如果一周内不支付300万美元，从其IT系统下载的文件和数据将被公布在网上，逾期赎金将翻倍至600万美元。

黑客还向Ward Hadaway发送了一份在攻击中被复制的数据和文件的列表，其中一些已经以加密的形式上传到网上。Ward Hadaway的IT系统拥有大量的机密信息，包括个人数据，其中一些甚至是非常敏感的个人数据。不过幸运的是，公司的文件管理系统并未受到勒索攻击影响，所以这起事件并没有造成Ward Hadaway公司日常业务运营的中断。

奥地利卡林西亚州政府

勒索赎金：价值500万美元的比特币

2022年5月，网络犯罪组织Black Cat（也被称为ALPHV）声称获取了奥地利卡林西亚州政府的敏感数据和解密软件访问权限，并向其索要价值500万美元的比特币来解锁加密的计算机系统。攻击者加密了数千个政府机构的工作站，导致政府服务严重中断。卡林西亚州政府网站和电子邮件服务也一度暂时关闭，导致政府无法发放新护照或交通罚单。此外，此次攻击还妨碍了该地区行政办公室关于新冠病毒检测和接触者追踪的防疫工作。最终，政府拒绝了支付赎金，理由是没有证据表明Black Ca已经从其系统中获取敏感性数据，而且州政府能够使用可访问的备份来恢复工作站运行。

意大利铁路公司Trenitalia

勒索赎金：价值500万美元的比特币

2022年3月，Hive勒索软件组织攻击了意大利铁路公司Trenitalia的计算机系统，影响了公司员工电脑和系统的正常运行。此外，与Trenitalia连接的票务系统Trenord也受到了黑客攻击的影响。不过，Trenord系统可以通过防止受影响的车票销售，保持相对正常的业务运行。

Hive组织提出了500万美元的比特币赎金要求，期限为三天，否则金额将翻倍至1000万美元。目前还不清楚Trenitalia最终是否支付了赎金。

美国麦岭市（City of Wheat Ridge）公共市政系统

勒索赎金：500万美元

2022年8月，美国科罗拉多州麦岭市的市政服务系统遭遇勒索软件攻击，致使电话、电子邮件系统和其他市政服务系统关闭了一个多星期。

犯罪分子索要500万美元来解锁麦岭市的市政数据和计算机系统，并要求用一种难以追踪的加密货币Monero来支付。据悉，这些数据和系统被一个神秘的海外勒索软件控制。但该市官员决定拒绝支付赎金，并与该市的IT专业人士一起努力从可行的备份恢复存储在该市网络中的文件。值得一提的是，此次攻击背后的恶意行为者同样是Black Cat组织。网络安全专家认为，Black Cat勒索软件极具攻击性，并且危害巨大。它是用一种叫做Rust的编程语言开发，系统管理员通常很难发现这种语言。

意大利比萨大学（University of Pisa）

勒索赎金：500万美元

2022年6月，意大利的比萨大学沦为Black Cat的目标。攻击者要求学校管理层支付450万美元来恢复对已锁定数据的访问权限，如果规定时间内未受到赎金，赎金金额将增加到500万美元。攻击者还窃取了比萨大学专用浏览器Tor上一个聊天应用的独家访问权来访问暗网，以此来回应赎金要求。在此次攻击中，BlackCat使用了双重甚至三重勒索策略，威胁称“如果得不到报酬就泄露关键信息”。对于受害者来说，这无疑是最糟糕的时刻。因为在此之前，帕勒莫的市政选举已经受到勒索软件攻击的严重干扰。

罗马尼亚石油公司Rompetrol

勒索赎金：200万美元

2022年3月，罗马尼亚最大的炼油厂，年产量超过500万吨石油公司Rompetrol成为Hive勒索组织的攻击目标。由于此次攻击，Rompetrol被迫关闭了其网站和加油站的会员卡服务，不过顾客可以选择用现金或银行卡付款。据了解，这次攻击影响了该公司的大部分IT服务，Hive组织威胁称，除非Rompetrol支付200万美元的赎金，否则他们将泄露窃取的数据。

在攻击发生之前，Rompetrol母公司KMG刚刚宣布，Rompetrol Rafinare将在3月11日至4月3日期间关闭，以按计划进行技术改造，这一计划同样受到了勒索攻击的影响。

法国服装公司Damart

勒索赎金：200万美元

2022年9月，在全球拥有130多家门店的法国服装品牌Damart遭到Hive网络犯罪团伙的攻击，并索要200万美元的赎金。这次攻击被证实访问了Damart的活动目录，尽管Damart主动关闭了系统以保护它们，但这次网络攻击还是影响了92家商店，并影响到这些门店处理新订单的能力，客户支持服务也无法提供。Damart并没有直接与网络犯罪分子进行谈判，而是将事件通知了国家警察，这使得Hive不太可能收到赎金。目前尚不清楚Hive在网络入侵过程中是否成功窃取了Damart公司的用户隐私等敏感数据。然而，该团伙过去曾成功地采用过“双重勒索”策略，即在加密数据之前先窃取数据。

蒂夫特地区医疗中心

勒索赎金：115万美元

美国乔治亚州的蒂夫特地区医疗中心在2022年7月成为攻击目标，但直到与Hive团伙的谈判破裂后，事件才被公之于众。

在7月和8月发生的黑客攻击中，Hive团伙窃取了该医疗中心约1TB的数据，其中包括诊疗记录、员工工资记录和机密商业信息。该组织于8月25日给医疗中心发邮件正式提出了115万美金的勒索要求，并提供了一些被盗信息的链接，但Tift仅支付了10万美元作为回应。对此，Hive的回复也非常有趣：“告诉董事会他们可以留下10万美元请律师。我们将公布这些数据。”

澳洲电信运营商Optus

勒索赎金：价值100万美元的加密货币

2022年9月，澳大利亚电信公司Optus遭遇不明身份的勒索组织攻击，1120万用户的数据被窃，可能泄露的信息包括客户的姓名、出生日期、电话号码、电子邮件地址，还有部分客户的地址、身份证号码，如驾照或护照号码。

攻击者要求Optus支付价值100万美元的门罗币（Monero），以阻止他们出售窃取的数据。但Optus方面最终拒绝支付赎金，并联系了澳大利亚联邦警察调查此事。

美国格伦县教育办公室

勒索赎金：100万美元

2022年5月，美国加利福尼亚州格伦县教育办公室（GCOE）和学区遭到Quantum勒索软件组织的攻击，并被索要100万美元赎金。随后，GCOE和Quantum组织进行了谈判。Quantum组织向GCOE的谈判代表提供了压缩文件存档，作为他们访问过系统的证据。最终，GCOE向Quantum组织支付了40万美元的赎金，以获得解密密钥和某些保证。Quantum组织则向该县保证，它将删除所有文件，并提供删除的证据，解释他们是如何进入网络的，以及他们在那里做了什么，提供一份被窃取的所有文件的完整清单，同时保证他们不会再次攻击该地区，也不会出售任何被窃取的数据。

英伟达（Nvidia）

勒索赎金：100万美元

2022年2月底，全球知名的半导体芯片公司英伟达被爆遭到勒索软件攻击，不久后，英伟达公司官方证实遭到入侵，攻击者已开始在线泄露了员工凭据和私密信息。勒索软件组织Lapsus$声称对此次攻击负责，并表示他们可以访问1TB的企业数据，如果英伟达拒绝支付100万美元的赎金和一定比例的未指明费用，他们将在线泄露这些数据。

媒体报道称，由于英伟达的内部系统遭到入侵，它不得不将部分业务下线两天。然而，该公司后来声称此次攻击并未以任何方式影响其运营，公司通过加强其安全性并立即聘请网络事件响应专家来控制局势，迅速对勒索软件攻击作出响应。一些报道表示，英伟达方面“反黑”了黑客，通过设法跟踪Lapsus$成员并在他们的系统上安装病毒木马进行反制。但以上信息的真实性如何并未得到证实。

文章来源：安全牛

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施网络空间安全为己任，致力成为建设网络强国的中坚力量!

渠道合作咨询陈女士 15611262709

稿件合作微信:shushu12121