安全419盘点 | 2022年第三季度勒索软件攻击形势与应对建议

从Q3的一些勒索软件攻击事件可以发现，勒索软件威胁既真实又普遍，且难以防范。安全机构Sophos分享的应急案例就极为典型，某企业在短短一个月时间内，竟然遭到三大勒索软件组织的轮番攻击。

在该案例场景下，其中前两个勒索组织部署的勒索软件竟同时在同一主机系统上检索加密，更加具有嘲讽意味的是当应急团队还在焦头烂额之际，另外一个勒索组织也参与了进来。

Q3勒索软件攻击广泛针对政府、教育、医疗、商业机构的同时，还出现了以往不同的情况，当然我们仍然能够看到一些科技巨鳄受到了勒索软件攻击，但鲜见的是，就算是网络安全企业，也没能在广泛威胁之下幸免于难。

典型案例就是思科、Entrust、SHI International这三家，他们全部具有科技和安全背景，很难想象他们会成为勒索软件攻击受害者。

北美知名IT解决方案提供商SHI International的攻击案例还让我们想到了此前针对埃森哲的勒索软件攻击，他们都能为企业提供一揽子的IT咨询建议和解决方案，网络安全自然也是其中最重要的一部分。所以当他们成为勒索软件攻击受害者，这就像消防队失火一般极具讽刺意味。

安全机构公开的研究数据表明，勒索团队与安全团队对抗持续升级，勒索软件为绕过安全工具的监测能力，不断升级变种，Q3公开披露变种的勒索软件程序近百种。另外勒索软件RaaS发展之下，不断有新的勒索组织出现。另外勒索组织不会消失，只会以重组的方式重现。

7月初，新西兰网络安全公司Emsisoft发布了一个免费的解密工具，该工具可以帮助AstraLocker和Yashma勒索软件受害者在不支付赎金的情况下恢复他们的文件。在此之前，韩国网络安全机构KISA也曾发布Hive免费勒索软件加密解密器，适用于该勒索软件v1到v4版本。

No More Ransom是一个成立于2016年的对抗勒索软件攻击的联合组织，成员包括执法机构和IT安全公司（卡巴斯基和麦卡菲）。该组织在成立六周年之际，已为165种勒索软件提供了136种免费解锁工具，包括Gandcrab、REvil/Sodinokibi、Maze/Egregor/Sekhmet等。

9月中旬，罗马尼亚网络安全公司Bitdefender与执法机构合作发布了一款免费解密软件，可以帮助LockerGoga勒索软件受害者在不支付赎金的情况下恢复他们的文件。数据表明，LockerGoga参与了针对全球至少1800个组织的勒索软件攻击，由LockerGoga加密的文件将具有“.locked”文件扩展名。在一次执行行动中，该勒索软件团伙的12名参与者已被逮捕。

据安全机构Cleafy披露，他们对安卓银行木马程序SOVA v5版本采样分析发现，最新的5.0版本增加了勒索软件模块，SOVA新版本的这一次更新，正将自己定位为移动勒索软件领域尚未开发的先驱之一。

这也意味着未来我们个人手机、平板电脑均有可能成为勒索加密对象。据Cleafy称，即使是目前尚未完成的版本，SOVA v5也可以大规模部署，因此建议所有安卓用户保持警惕。

SOVA恶意软件首次出现是去年8月，并持续保持一定的更新速度，分析显示，它的作者在编码和开发上展示出了极高的复杂性。该恶意软件希望将DDoS攻击、中间人攻击和勒索软件功能整合到其武器库中，其雄心勃勃的路线图可能使其成为“市场上功能最丰富的安卓恶意软件”。

就勒索软件攻击角度而言，商业机构一侧的敏感数据固然更具价值，或是重要基础设施服务的连续性不容有失，这些领域也是勒索组织主要光顾的目标，但移动端表现出的用户数量庞大，渗透率高等特点，其潜在威胁可能不亚于服务器、PC一侧。

安全专家还指出，鉴于移动设备逐渐成为个人和商业数据的存储中心，提升安全意识和防护水平势在必行。

为应对勒索软件攻击，我们汇总了以下建议：（注.以下来源于安全419持续呈现的中我们与多家知名网络安全企业（绿盟科技、天融信、安恒信息、奇安信、深信服、CloudWonder 嘉云、威努特）交流总结所得）。

1.企业不断的成长和新技术的广泛应用，进一步加剧了安全风险和暴露面，鉴于安全重要性正在日益提升，设立专职岗位（如CSO）负责统筹全面的IT安全风险管理，是应对以勒索攻击为首的网络安全建设的重要前提；

2.真实勒索案例中，绝大多数勒索攻击源于员工的意识疏忽所造成。企业一方面需系统的开展安全意识培训工作，同时应针对具体的安全事件进行日常演练，以在攻击发生时最大化降低企业生产运营损失；

3.同时安全意识应延伸至企业外部，这对大型生产制造业尤为重要，比如企业将IT运维承包给第三方机构，还有涉及庞大供应链当中的任何一环。可以以安全合约为抓手，建立安全责任制，强化外部的安全风险管理；

4.安全基线必不可少，利用专业安全厂商提供的防御、检测类产品为勒索病毒设置重重障碍，可降低80%以上被勒索攻击的可能性。其中终端安全更是重中之重，大量案例证明，特别是国内，终端缺乏安全防护是造成勒索加密的主要原因；安全基线产品或服务以威胁情报建立防御机制，也是应对勒索组织不断变化趋势的有力抓手；

5.勒索攻击最终指向的是系统、应用和数据，对于处于数字经济时代的我们，如何让数据在各业务线上安全流通已成当务之急。《数据安全法》催生了数据安全产业的迅猛发展，以数据保护为抓手，应对勒索攻击已是可行方案；

6.产品服务化趋势，企业限于没有专业的运维人员来管理网络安全，会存在即使部署了安全产品也没有得到有效利用，这是广泛存在的现状问题，大中型企业尚能自行解决问题，小型企业问题更为明显。现在安全企业也注意到了这一问题，安全托管服务可以帮助企业解决这一难题；

7.企业应该认识到针对性地勒索攻击致使数据加密，当前技术上是无法恢复的，应该立即着手数据备份工作，且强化数据备份的隔离加密，始终让备份数据保持高可用性。对于生产经营性质企业，为了追求业务的持续运营，容灾备份解决方案已成为他们的最佳选择，该方案在保证数据高可用前提下，可支持系统在异地迅速再生；

8.企业承担勒索攻击所致损失的程度并不相同，为了避免遭受灭顶之灾，可以考虑从网络安全保险一侧切入防范。网络安全保险在国外相对成熟，在国内发展尚处起步阶段，但未来应用的趋势明显。

● 6月末

1、总部位于日本的内饰制造商TB Kawashima承认了其位于泰国的分销机构遭到勒索软件攻击，这家厂商为汽车、飞机、影院等提供内饰产品，LockBit勒索组织宣布为攻击事件负责，并威胁泄露被盗数据。该公司公告称攻击并未对丰田纺织的生产和销售造成影响，显然两者存在合作关系。

2、Vice Society勒索组织宣称对奥地利因斯布鲁克医科大学的网络攻击负责，并扬言将泄露攻击被盗数据，据消息称，被盗数据已出现在暗网论坛上。有媒体报道称，这所著名的医科大学有3400名学生和2200名员工，攻击导致在线服务和内部计算机系统访问中断，相关技术人员为所有学生和员工重置了个人凭证。

3、美国密苏里州菲茨吉本医院遭到勒索软件攻击，一个新的勒索组织Daixin声称为攻击负责，并威胁将泄露被盗的40 GB数据，其中绝大多数为患者敏感数据，包括个人信息和医疗数据。有报道称该次攻击虽然没有对工作站执行加密，但重要的服务器乃至备份数据受到了加密污染，离线备份数据并不能挽救所有数据，医院被迫可能会接受勒索赎金诉求。

4、勒索敲诈组织RansomHouse威胁将泄露AMD公司450GB数据，这家勒索敲诈组织类似一家“中间商”，他们称其“合作伙伴”入侵了AMD的网络，相关被盗数据可能要追溯到2022年1月份。AMD则回应将对事件进行调查。上半年，勒索软件攻击共牵扯了多家科技巨头，无论事件是否真实，这足以证明勒索软件威胁的普遍性。

● 7月初

北美知名IT解决方案提供商SHI International 宣称成为恶意软件的攻击对象，报道并没有明确指出这家营收百亿美元的IT服务巨头正在经历勒索软件攻击，但从其公开声明的对应措施可以看出，攻击与勒索软件攻击高度吻合，而之所以并没有指明为勒索软件攻击，我们揣测疑是打消外界对于数据泄露的担忧。该公司内部团队通过数日缓解了此次攻击，并明确表明没有证据表明客户数据被泄露，或是供应链第三方系统受到影响。

● 7月中旬

德国建材巨头Knauf宣布他们成为网络攻击的目标，攻击破坏了这家企业的业务运营，迫使其关闭了全球范围内的IT系统，从而起到隔离和防止类似事件在其他地区发生。随后勒索软件团伙Black Basta在其勒索网站上发布公告，将Knauf列为最新受害者，这也表明了攻击事件为勒索软件攻击。该勒索组织在网络上泄露了窃取的20%的文件，并已有数百次访问记录。

● 7月下旬

1、媒体公开披露北美网络安全巨头Entrust成为勒索软件攻击对象，事件甚至要追溯到6月中旬，LockBit勒索组织随后宣布对攻击事件负责，并索取一定数额赎金，如不支付就将泄露所盗数据。报道称，Entrust 服务的客户包括美国多家政府机构，例如能源部、国土安全部、财政部、卫生与公众服务部等，而攻击可能会导致这些敏感部门的安全性。有安全专家指出，类似攻击可能源于内部凭证的泄露。该起攻击事件进入八月中旬再有新消息传出，由于双方谈判破裂（从800万赎金降至680万美元），LockBit计划开始泄露所盗数据，戏剧的是，就在他们开始泄露数据不久，LockBit勒索团队的Tor数据泄露网站遭到了DDoS攻击导致无法访问。

2、勒索组织BlackCat声称对中欧国家天然气管道和电力网络运营商Creos Luxembourg SA的攻击负责。Creos在卢森堡拥有并管理电力网络和天然气管道，是5个欧盟国家的能源供应商。其母公司Encevo透露，他们在7月22日至23日遭到攻击，导致其客户门户无法访问，但服务并未中断。BlackCat已将Creos添加到其数据泄露网站，并威胁要公开180000个盗取的文件，总大小为150GB，涉及合同、协议、护照、账单和电子邮件等内容。

● 8月初

1、德国电力电子制造商Semikron发布公告称遭到LV勒索软件攻击，攻击导致部分IT系统和文件被加密。勒索组织称从Semikron的系统中窃取了2TB的文件数据，并威胁泄露数据。Semikron公司是世界领先的电力工程组件制造商之一，每年安装的风力涡轮机中有35%是使用其技术运行的，这家公司在全球多地含我国设有办事处，2020年全球营收为4.61亿美元。

2、西班牙国家研究委员会（CSIC）披露称遭到勒索软件攻击，该机构在声明中表示，勒索软件攻击发生在7月16日至17日的周末，并于7月18日星期一被发现。攻击被发现后，机构立即激活了应急协议，分处全国的近百个研究中心的网络随即被隔离，以防止攻击扩散。评论称对国家核心科研机构的攻击将严重危害国家安全，但CSIC暂时否认了数据泄露的可能。

3、德国工商会协会（DIHK）发布公告因网络攻击其IT系统被迫关闭，该机构负责人将攻击事件描述为“大规模”，媒体评论称攻击影响时长与机构处理方式均能够与勒索软件攻击产生联系。DIHK是一个由79个德国国内商会组成的联盟，联盟共有300多万成员，这些都是德国全国范围内的大中小企业，或零售商。德国媒体报道称攻击事件影响机构的多地分支机构。

4、因为广泛的网络攻击，丹麦国内所有的7-11商店被迫关闭，官方公告显示，黑客攻击导致收银系统被冻结，但并不能确定该国所有7-11商店是否均受到了影响，还是为了避免攻击扩散才有的全国范围关店举措。媒体评论称虽然没有进一步细节，但攻击影响方式与勒索软件攻击相同。随后几天，该公司正式确认了勒索软件攻击，但他们并没有公布进一步细节。

● 8月上旬

1、据托管服务提供商（MSP）Advanced证实，对其系统的勒索软件攻击扰乱了英国国家卫生服务（NHS）的紧急服务。勒索软件攻击于8月4日星期四开始破坏Advanced系统，它导致英国各地的NHS紧急服务严重中断。Advanced没有透露攻击背后的勒索软件组织，该公司正在与来自Microsoft和Mandiant的安全专家合作来处理相关事宜。媒体报道称，全面恢复NHS服务可能需要一个月之久。

2、德国能源服务提供商ista International GmbH发布公告称其IT系统成为外部网络攻击的受害者，为缓解攻击，公司所有可能受到影响的IT系统均已离线。这家公司已就事件通知了警方和国家相关部门，并迅速成立了专项小组应对攻击事件。勒索组织Daixin已将ista名字添加到了受害者名单当中，并宣称已窃取了370GB内部财务数据。同时该组织表示已加密了ista所拥有的3000台服务器，加密数据量达数PB级别。相关报道并没有公开勒索赎金，但谈判似乎已经破裂。

● 8月中旬

1、思科发布公告确认了5月底针对其公司网络的入侵，一个名为yanluowang的勒索组织宣称已获取思科内部2.8GB数据，但思科回应称被盗数据并非敏感数据，同时表示攻击并不会影响该公司的产品和服务，对公司业务不会造成任何影响。报道称，事件攻击初始向量为员工凭证被盗，同时攻击过程存在MFA绕过。

2、安全机构Sophos技术团队分享了一个应急案例，一家未具名的汽车供应商在短短25天时间内，共遭到三大勒索组织攻击。他们分享指出，LockBit、Hive和ALPHV/BlackCat分别于4月20日、5月1日和5月15日获得了受害者网络的访问权。三大勒索组织光顾同一家公司网络系统并几乎同时执行各自加密操作，这足以证明勒索攻击威胁的普遍性，以及企业对于安全的忽视和安全建设的重要性。在本次事件当中，在该公司自己的IT团队还在应急LockBit、Hive所带来的破坏之时，最后进入该公司网络系统的BlackCat最终仍加密勒索了六台主机。

3、阿根廷科尔多瓦司法机构披露了此前发生的勒索软件攻击，在遭受勒索软件攻击后，该机构关闭了其IT系统和官方网站。据报道，由于得不到IT系统的支撑，该司法机构被迫使用笔纸来提交官方文件，所有的数字化工作全部被打乱。消息显示，攻击该机构的是一个名为Play的勒索组织，他们加密了260台服务器，该司法机构已联同微软、思科等公司的安全专家为攻击事件展开相关调查。

● 8月下旬

1、希腊最大的天然气分销商DESFA证实，有黑客试图渗透其网络，但由于其IT团队的快速反应而受阻。在一份公开声明中，攻击可能导致有限范围的数据泄露，部分IT系统被紧急关闭。该公司表示已通知警方网络犯罪部门、国家数据保护办公室、国防部和能源与环境部，DESFA明确表示不会就赎金支付进行谈判。此后媒体报道称一个名为“Donut Leaks”的新勒索组织是该起事件的幕后黑手，这家勒索组织还攻击过英国建筑公司Sheppard Robson和跨国建筑公司Sando。

2、位于法国首都巴黎的一家医疗机构南弗朗西斯利安中心（CHSF）透露，该中心已成为网络攻击的受害者。这次攻击始于周六晚间，攻击使得所有商业软件和存储系统（包括医疗成像）完全无法访问，负责存储与患者入院相关的数据系统也无法访问。报道称，CHSF服务当地的60万居民，因此其运营的任何中断都可能危及人们的健康，甚至生命安全。该医疗机构收到了LockBit勒索组织开出的1000万美元赎金诉求，约合人民币6858万元。此后进一步消息披露，该医院已拒绝了支付赎金，哪怕之后赎金被至降100万美元。据称，相关医疗数据已经泄露。

● 8月末

1、RansomEXX勒索软件团伙声称对庞巴迪（BRP）于2022年8月8日披露的网络攻击负责。娱乐产品生产商庞巴迪（BRP）拥有超20000名员工，年销售额接近 60 亿美元，并在120多个国家地区分销各种产品。攻击调查显示，勒索组织通过供应链攻击入侵了该公司内部系统，在紧急响应之后，其加拿大、芬兰、美国和奥地利的四个制造工厂在一周之后恢复了生产。有消息显示，该勒索组织已将其盗取的29.9GB数据放置到了数据泄露网站上，其中包含商业合同等敏感文件。

2、位于北美洲的多米尼加共和国遭受Quantum勒索软件攻击，攻击主体为该国负责执行土地改革计划的农业部下属部门，攻击导致该机构的多个IT系统和工作站被加密。据当地媒体报道，该部门几乎所有服务器均受到了影响，并且数据可能已经泄露。披露显示，缺乏安全措施是勒索主因，比如系统上只有基本的安全软件，且没有建立专门的安全部门。勒索组织为此次攻击事件开出60万美元赎金诉求，报道指出，该机构不太可能支付赎金，因为他们负担不起。

● 9月初

美国第二大学区洛杉矶联合大学（LAUSD）透露，其信息系统遭到勒索软件攻击。LAUSD招收了64万多名学生，从幼儿园到12年级。攻击源于对LAUSD电子邮件服务器的非法访问，大约7个小时后被确认为勒索软件攻击。报道称，攻击导致该校部分教学无法正常开展，但整体将保持正常运营状态。数日之后，Vice Society勒索组织向媒体透露为攻击事件负责，并表示他们从目标系统中盗取了500GB相关教学数据。

● 9月中旬

美国宾夕法尼亚州利哈伊河谷医疗协会（MATLV）宣布遭受勒索软件攻击。MATLV表示攻击者访问了部分文件，其中包括75628名个人健康信息，包含姓名、地址、电子邮件地址、出生日期、社会安全号码、驾驶执照号码、州身份证号码、健康保险提供者姓名、医疗诊断、治疗信息、药物和实验室结果，攻击中暴露的信息类型因患者而异。安全专家已评估了攻击前的安全措施，并建议其加强安全性。

● 9月下旬

9月下旬，媒体广泛报道了Rockstar Game、Uber遭受黑客攻击事件，事件当中黑客入侵窃取了还在开发过程中的GTA 6的游戏视频和源代码，并试图勒索Rockstar Games。Uber黑客攻击事件中，黑客表示其入侵动机完全基于“好玩”，事件当中疑存数据泄露，安全专家评论称该次攻击事件可能会有未来持续产生影响。此后，有线索将两次攻击事件矛头指向同一勒索组织Lapsus$，随后英国警方逮捕了相关嫌疑人。

● 8月份国内也有两起网传勒索软件攻击相关案例成为行业关注对象

分别是国内某制造业企业遭受1000万美元勒索，和CRM厂商超过数千名客户遭受勒索，由于缺乏详细披露报道，在此不再深入说明。但正如我们在Q2时就曾表述，勒索攻击在我国也是一种常见的网络安全威胁，而公开报道多为国外企业，主要是国内还没有实行网络安全披露制定，企业一侧通常不会主动向外披露，所以才会有国内很少被勒索软件攻击的假象。