2023年最具影响力的勒索软件攻击事件

今年发生了许多值得注意的攻击，在这篇博客中，我们重点介绍了今年公开报道的一些最具影响力的攻击事件以及因为勒索导致的严重的后果。

英国皇家邮局勒索事件

一月份，我们看到皇家邮政（Royal Mail ）成为 LockBit 勒索软件攻击的受害者。该组织侵入了英国邮政服务的软件，并通过加密文件阻断了所有国际货运。双方进行了谈判，但两周后，LockBit 提出了 8000 万美元的赎金要求，即公司收入的 0.5%，以换取文件的解密。皇家邮政选择不支付赎金，并冒着数据泄露的风险，这最终发生了。

美国法警勒索事件

几个月后，美国法警局仍在从二月份发生的袭击中恢复过来。这次攻击影响了一个计算机系统，该系统保存着属于技术行动小组 (TOG) 的敏感执法数据，该小组提供追踪逃犯的监视能力。“最关键的工具”在 30 天内得到了恢复，但 Marshal 的服务仍然是将受影响系统的新版本引入线上，并提供更好的安全性。被盗数据包括员工的个人身份信息以及法律程序返回的信息、管理信息以及与 USMS 调查对象和第三方相关的 PII。

明尼阿波斯学校勒索事件

美杜莎 (Medusa) 勒索组织成为头条新闻，该组织声称明尼阿波利斯公立学校遭到攻击，泄露了大量数据，并索要 100 万美元以防止这些信息发布在暗网上。头条新闻背后的原因比攻击本身更险恶，是他们最终泄露的数据引起了轰动。勒索软件组织在 3 月份的攻击后倾倒了 30 万份文件，其中包括完整的性侵犯案件资料等机密信息。其他泄露的信息包括医疗记录、歧视投诉、社会安全号和学区员工的联系信息。

LVHN因勒索攻击遭到集团诉讼

3 月份，据报道发生了另一起造成严重后果的勒索软件攻击，当时 ALPHV（又名 BlackCat）渗透到了Lehigh Valley Health Network的计算机系统。该事件涉及用于“用于放射肿瘤治疗的临床适当患者图像”和其他敏感信息的系统。在医疗保健提供者拒绝支付赎金后，臭名昭著的勒索软件组织泄露了乳腺癌患者的裸照以及医疗问卷、护照和其他敏感患者数据。此后，LVHN 面临与此次勒索软件攻击相关的诉讼。

英国外包公司Capita遭到勒索

英国外包公司Capita在 3 月份遭受勒索软件攻击，该公司报告称，从该事件中恢复预计将花费高达 2500 万美元。费用归因于“专家专业费用、恢复和补救成本以及加强 Capita 网络安全环境的投资”。此次攻击受到该公司安全团队的“显着限制”，但已证实客户、供应商和员工数据可能在事件期间被盗。BlackBasta 声称对此次攻击负责，并公布了该组织的数据。袭击发生后，Capita 不仅遭受了巨大的损失，而且该公司的股价也下跌了 12%。

MCNA因勒索攻击发生数据泄露

Managed Care of North America (MCNA) Dental曝光了一起数据泄露事件，影响了近 900 万患者。LockBit 对此次攻击负责，并威胁称，除非支付 1000 万美元的赎金，否则将公布 700GB 的敏感机密信息。包括 PII、健康保险信息、牙齿护理或牙套文件以及账单和保险索赔在内的数据随后发布在该组织的暗网站上。MCNA 提供的通知中还列出了可能受到该事件间接影响的一百多家医疗保健提供者的详细名单。

美国达拉斯市政府遭遇勒索攻击

今年 5 月达拉斯市遭受勒索软件攻击的后果仍在成为新闻焦点。该市被迫关闭部分 IT 系统，包括警察和消防部门在内的许多职能部门都受到干扰。最近有消息称，皇家勒索软件组织策划的攻击影响了超过 26,000 人。威胁行为者窃取的数据包括姓名、地址和医疗信息等信息。一些城市雇员已经报告身份被盗，他们的一些孩子的个人信息也被盗。8 月，达拉斯市议会宣布批准支付 860 万美元，用于与攻击相关的服务，包括对潜在身份盗窃受害者的信用监控。

CLOP利用MOVEit漏洞进行勒索攻击

毫无疑问，Clop 利用MOVEit中的零日漏洞已成为今年迄今为止最大的网络安全新闻报道之一。据信该漏洞自 5 月 27 日左右开始被利用，并在接下来的几周内导致了多波数据泄露事件。据信目前的受害者名单约有600 个组织，统计显示迄今为止已有近4000 万人受到此次攻击的影响。

据信，我们还没有看到这次袭击的真正影响和后果。一些受害者公开宣布他们参与了此次违规行为，其他受害者则由克洛普亲自点名。我们一直在密切关注这一事件，并在有新信息时更新我们的MOVEit 博客。

伊利诺伊医院因勒索攻击关闭服务

6 月，伊利诺伊州圣玛格丽特健康中心 (SMH)在为社区服务 120 年后宣布将关闭，部分原因是 2021 年的勒索软件攻击。此次攻击导致医院运营瘫痪数月，严重影响了医院向保险公司收取服务费用的能力，并迫使医院的 IT 网络、电子邮件系统、电子病历和其他网络运营关闭。导致关闭的其他因素包括与 COVID-19 相关的前所未有的费用、患者数量少和人员短缺。

6 月份， HWL Ebsworth律师事务所遭受勒索软件攻击，至少有四家澳大利亚银行受到影响。BlackCat 声称对此次攻击负责，成功访问了 HWL 的服务器并泄露了 4TB 的数据。西太平洋银行、国民银行、联邦银行和澳新银行等众多公共和私营部门实体都可能在此次事件中数据被盗。据报道，赎金为 500 万澳元，但该律师事务所拒绝支付。1.4TB 的泄露数据被公开发布，其中包括财务信息、客户文档以及本地和远程公司凭证。

台积电遭勒索攻击

赎金要求并没有下降，这一点从 Bassterlord 在台积电遭受攻击后索要 7000 万美元的赎金就可以看出。隶属于 LockBit 的威胁行为者在推特上实时发布了勒索软件攻击事件，并分享了与该公司相关的信息屏幕截图。LockBit 在其网站上发布了此次攻击，并表示如果不支付赎金，数据将连同公布的网络入口点、密码和公司登录信息一起泄露。台积电报告称，其并未被攻破，但 IT 硬件供应商之一 Kinmax Technology 的系统遭到黑客攻击。

此次攻击由 ALPHV（又名 BlackCat）负责。该团伙表示，他们窃取了 7TB 敏感数据，据称这是英国最大的医疗数据泄露事件。被盗数据样本包括员工身份证明文件（包括护照和驾驶执照）以及带有标签的内部文件。他们还声称拥有“公民的机密文件”。该信托仍在调查攻击的范围。

坦帕综合医院因勒索事件遭到集团诉讼

因 7 月份报道的网络安全事件之后，坦帕综合医院遭到提起集体诉讼。该事件导致多达 120 万名患者的受保护个人健康信息 (PHI) 被盗。尽管数据被盗，但医院澄清，黑客发起勒索软件攻击的尝试失败了，强大的安全系统可以防止文件加密和进一步损坏。针对该医院提起的集体诉讼是因为“未能保护患者的个人数据”。该医院还被指控未能及时通知受影响的个人，花了近两个月的时间才通知他们。

美国大型医疗机构遭受网络攻击

8 月，美国最大的医疗机构之一Prospect Medical Holdings宣布，它已成为网络攻击的受害者，该攻击导致医院网络内部系统出现技术问题。得知这一事件后，该组织将系统下线以保护它们并展开调查。包括东康涅狄格州健康网络、克罗泽-切斯特医疗系统、南加州医院和CharterCARE在内的多家医院和附属机构均报告了此次网络攻击对其运营造成的重大影响。每日新闻继续报道这一事件的后果。目前尚不清楚谁是这次袭击的幕后黑手。

丹麦云托管公司遭到勒索攻击

丹麦托管公司CloudNordic和AzeroCloud遭受勒索软件攻击，导致大部分客户数据灾难性丢失。威胁行为者关闭组织的系统，擦除公司和客户的网站以及电子邮件系统。备份以及生产数据也受到影响。此次联合攻击背后的幕后黑手尚未透露姓名，但有报道称，为了恢复数据，已要求支付 6 个比特币或 157,000 美元的赎金。CloudNordic 发布了一份声明，通知客户他们既不能也不希望满足犯罪黑客的财务要求。

BlackCat 对拉斯维加斯两个知名公司的勒索攻击

9 月份最大的新闻报道之一是 BlackCat 对拉斯维加斯两个知名公司的勒索软件攻击。

米高梅度假村报告称，由于勒索软件攻击，导致服务中断 36 小时，造成巨大的停机成本和财务损失。游戏厅每宕机一小时，就会造成金钱损失，预订服务和网站也是如此。事件发生十天后，米高梅宣布酒店和赌场再次“正常运营”。BlackCat 声称，其一家被追踪为“Scattered Spider”的附属公司负责执行此次攻击，通过使用社交工程来识别 LinkedIn 上的一名 IT 员工的身份，然后在致电帮助台后的 10 分钟内发起了攻击。报告显示，6TB 数据被泄露，服务器被加密，但威胁行为者表示，缺乏沟通表明该公司无意就赎金付款进行谈判。

米高梅度假村袭击事件成为头条新闻几天后，据透露， 凯撒娱乐公司也成为袭击的受害者。负责对米高梅发起攻击的同一附属公司 Scattered Spider 策划了对这家位于内华达州的酒店和赌场公司的攻击。凯撒的披露表明，攻击者专门访问了“凯撒奖励”忠诚度数据库。报告显示，攻击者最初要求支付 3000 万美元的赎金，但凯撒通过谈判最终将金额降至 1500 万美元。这次袭击似乎发生在米高梅违规事件发生前几周，而就在袭击者转向另一家赌场巨头的几天前支付了赎金。

英国大型私营物流集团因勒索攻击关闭

又一个组织在勒索软件攻击造成毁灭性后果后被迫关闭。英国最大的私营物流集团之一KNP Logistics宣布自己资不抵债，并将其归咎于 6 月份的勒索软件攻击。此次“重大”勒索软件事件影响了关键系统、流程和财务信息，对集团的财务状况及其获得额外投资和资金的能力产生了不利影响。据信，这次袭击是由阿基拉策划的。由于此次管理程序，大约 730 名员工将被裁员。

美国江森遭受勒索攻击

9 月，江森自控国际公司 遭受大规模勒索软件攻击，该攻击对公司的许多设备进行了加密，影响了公司及其子公司的运营。该组织最初在其亚洲办事处遭到攻击，但这次攻击导致该公司关闭了部分 IT 系统，其子公司在网站登录页面和客户门户上显示技术中断消息。新加入的“Dark Angels”被认为是这次攻击的罪魁祸首，该组织声称窃取了超过 27TB 的公司数据并加密了该公司的 VMWare ESXi 虚拟机。该团伙提供的赎金票据与一次谈判聊天有关，其中发布了 5100 万美元的赎金要求，以换取提供解密器并删除被盗数据。最近的报告表明，被盗数据可能包含国土安全部 (DHS) 的敏感数据。

LockBit利用Citrix漏洞勒索工商银行

11 月，华尔街和北京努力应对中国最大银行中国工商银行勒索软件攻击的后果。此次攻击导致美国国债市场失败的交易利率飙升至 600 亿美元，必须由美联储解决。中国工商银行的金融服务部门无法清算美国国债交易，并在攻击关闭该银行的纽约子公司后隔离了受影响的系统。该部门暂时无法访问其公司电子邮件帐户，被迫通过曼哈顿的信使将其交易的重要结算详细信息通过 U 盘发送给受影响的各方。LockBit 声称对该银行的攻击负责，并确认该银行已完成一笔未公开的勒索软件付款，以帮助恢复其系统。

Ardent Health Services医疗集团遭到勒索攻击

我们都知道，网络犯罪分子喜欢在假期期间针对公司进行攻击， Ardent Health Services正是如此。感恩节早上，网络攻击影响了 Ardent 旗下的 30 家医院和 200 多家医疗机构。勒索软件事件被发现后，IT 部门关闭了计算机网络，以保护患者护理。结果，医院陷入混乱，一些医院不得不转移救护车和急诊病人，而另一些医院的预约和程序被取消。对此次攻击的调查正在进行中，患者和财务数据受损的全部范围仍未知。目前还没有勒索软件组织承认此次事件是其所为。

结语