2023年最受关注的勒索攻击事件

曾经，任何勒索软件事件都会引发媒体和公众的热烈反应。但是到现在，标题中出现“勒索软件”并不会引起太多关注：这类攻击已经司空见惯。尽管如此，它们仍然对企业安全构成严重威胁。本文回顾重点介绍了2023年发生的重大的和最引人注目的事件。

年初，LockBit 组织就攻击了英国国家邮政服务机构英国皇家邮政。这次攻击使得国际邮件投递陷入瘫痪，导致数百万封信件和包裹被困在公司系统中。除此之外，包裹跟踪网站、在线支付系统和其他几项服务也受到了破坏；在北爱尔兰的皇家邮政分拣中心，打印机开始不停打印LockBit团伙特有的橙色勒索信。

皇家邮政分拣中心的打印机开始打印的LockBit勒索信。信息来源twitter

与现代勒索软件攻击常见的情况一样，LockBit 威胁说，除非支付赎金，否则将在网上公布被盗数据。英国皇家邮政拒绝支付赎金，因此数据最终被公布。

二月份出现了一次大规模的自动化ESXiArgs勒索软件攻击，通过VMware ESXi服务器中的RCE漏洞CVE-2021-21974对组织进行攻击。尽管VMware在2021年初发布了这个漏洞的补丁，但这次攻击导致超过3000台VMware ESXi服务器被加密。

攻击者要求的赎金为2比特币多（在攻击发生时价值约为45,000美元）。对于每个受害者，他们生成了一个新的比特币钱包，并将其地址放在勒索信中。

原始版本的ESXiArgs勒索软件的勒索内容。信息来源bleepingcomputer

在攻击开始几天后，网络犯罪分子发布了一种新的加密恶意软件变种，使恢复被加密虚拟机变得更加困难。为了使他们的活动更难以被追踪，他们还停止提供勒索钱包地址，要求受害者通过P2P即时通信工具Tox进行联系。

2023年3月，Clop组织开始广泛利用Fortra的GoAnywhere MFT（托管文件传输）工具中的零日漏洞。Clop组织以利用此类服务中的漏洞而闻名：在2020年至2021年期间，该组织通过Accelon FTA中的漏洞攻击组织，随后在2021年末转而利用SolarWinds Serv-U中的漏洞进行攻击。

共有 100 多个组织的 GoAnywhere MFT 服务器受到攻击，其中包括多伦多市和美国最大的医疗保健提供商之一 Community Health Systems。

连接到互联网的 GoAnywhere MFT 服务器地图。信息来源bleepingcomputer

4月，ALPHV 组织（又名 BlackCat，以其使用的勒索软件而命名）对美国的 NCR 公司发动了攻击，NCR 是一家ATM、条码阅读器、支付终端和其他零售和银行设备的制造商和服务商。

这次勒索软件攻击导致 Aloha POS 平台的数据中心瘫痪，该平台主要用于餐厅，尤其是快餐行业，攻击导致服务终止了数天。

ALPHV/BlackCat组织的攻击导致NCR Aloha POS平台瘫痪。信息来源ncr

实际上，该平台是一个一站式的餐饮运营管理工具：从处理付款、接受在线订单、运营会员计划，到管理厨房中菜品的准备和工资核算。由于 NCR 遭受了勒索软件攻击，许多餐饮机构被迫回归到纸笔操作。

5月初，得克萨斯州的达拉斯市的市政服务遭受了勒索软件攻击。达拉斯市是美国人口排名第九的城市。受影响最严重的是达拉斯警察局的信息技术系统和通讯设备，而达拉斯市网络上的打印机开始打印出勒索信。

通过达拉斯市网络上的打印机打印出的Royal勒索软件的勒索信。信息来源bleepingcomputer

当月晚些时候，又发生了一起针对城市市政当局的勒索软件攻击：这次的目标是美国佐治亚州的奥古斯塔市，幕后的攻击者是BlackByte组织。

6月，曾在 2 月份攻击 Fortra GoAnywhere MFT 的同一个 Clop 组织开始利用另一款托管文件传输工具 Progress Software 的 MOVEit Transfer 中的零日漏洞。

这次勒索软件攻击是今年最大的勒索软件攻击事件之一，影响了许多组织，包括石油公司壳牌公司、纽约市教育部、英国广播公司 BBC、英国药店连锁 Boots、爱尔兰航空公司 Aer Lingus、乔治亚大学以及德国印刷设备制造商 Heidelberger Druckmaschinen。

Clop 网站指示受影响的公司与该组织联系并进行谈判。信息来源bleepingcomputer

2023年7月，夏威夷大学承认支付了赎金以解决一起勒索软件攻击事件。该事件发生在一个月前，当时所有人的目光都集中在对 MOVEit 的攻击上。在那段时间里，一个名为 NoEscape 的相对较新的团体感染了夏威夷大学的一个部门，即夏威夷社区学院。

攻击者窃取了65GB的数据，威胁要公开这些数据。28,000人的个人信息显然面临泄露的风险。正是这个事实使得大学决定向勒索者支付赎金。

NoEscape 在其网站上宣布成功入侵了夏威夷大学。信息来源bleepingcomputer

值得注意的是，为了阻止勒索软件的传播，大学工作人员不得不暂时关闭IT系统。尽管 NoEscape 团队在支付赎金后提供了解密密钥，但预计IT基础设施的恢复需要两个月时间。

8月，Rhysida勒索软件组织对医疗保健行业发动了一系列攻击。遭受最严重影响的组织是Prospect Medical Holdings（PMH），该组织在美国几个州经营着16家医院和165家诊所。

黑客声称窃取了1TB的企业文件和一个1.3TB的SQL数据库，其中包含50万个社会安全号码、护照、驾驶执照、患者医疗记录以及财务和法律文件。网络犯罪分子要求支付50比特币的赎金（当时价值约为130万美元）。

Rhysida组织留下的勒索信。信息来源bleepingcomputer

9 月初，美国最大的两家连锁酒店和赌场—Caesars和MGM——相继遭到勒索软件攻击。这次攻击的幕后黑手是 ALPHV/BlackCat 组织，上文提到过该组织对 NCR Aloha POS 平台的攻击。

这一事件使得公司的整个基础设施——从酒店办理入住手续系统到老虎机——全部瘫痪。有趣的是，受害者做出了截然不同的反应。凯Caesars决定支付给勒索者1500万美元，这是最初3000万美元赎金要求的一半。

MGM选择不支付赎金，而是自行恢复基础设施。恢复过程持续了九天，在此期间公司损失了1亿美元（公司自行估算），其中1000万美元是与恢复瘫痪的IT系统相关的直接成本。

拉斯维加斯超过一半的赌场都属于Caesars和MGM

一个月后，BianLian组织针对加拿大的国家航空公司Air Canada发起了攻击。攻击者声称他们窃取了超过210GB的各种信息，包括员工/供应商数据和机密文件。特别是，攻击者成功窃取了有关航空公司技术违规和安全问题的信息。

BianLian网站要求Air Canada支付赎金。信息来源bleepingcomputer

11月份因 LockBit 组织利用Citrix Bleed 漏洞而被人们记住，我们在上文也讨论过这个组织。虽然该漏洞的补丁在一个月前就已发布，但在大规模攻击发生时，仍有超过 10,000 台可公开访问的服务器存在漏洞。LockBit 勒索软件正是利用了这一点，攻破了几家大公司的系统，窃取了数据并加密了文件。

在受害者中包括波音公司，攻击者窃取了其数据，并在不等待支付赎金的情况下将其发布。

LockBit网站要求波音公司支付赎金

这起事件使得澳大利亚 DP World 的业务受到严重影响，这是一家总部位于阿联酋的物流公司，在全球运营着数十个港口和集装箱码头。对 DP World 澳大利亚的 IT 系统的攻击严重破坏了其物流运营，导致约 30,000 个集装箱滞留在澳大利亚的港口中。

今年年底，美国联邦调查局、美国司法部、欧洲刑警组织和欧洲多个国家的执法机构联合行动，消除了ALPHV/BlackCat 勒索软件组织对其基础设施的控制权。他们成功侵入该组织的系统后，静静地观察了几个月内网络罪犯的行动，收集了数据解密密钥，并帮助了BlackCat的受害者。

通过这种方式，执法机构成功解除了全球500多个组织被勒索的威胁，节省了约6800万美元的潜在赎金支付。紧接着，于12月份最终接管了服务器，结束了BlackCat的活动。

执法机构的联合行动查封了ALPHV/BlackCat的基础设施。信息来源bleepingcomputer

有关该勒索软件组织运作的各种统计数据也被公之于众。根据美国联邦调查局的数据，在其两年的活动期间，ALPHV/BlackCat入侵了1000多个组织，向受害者总共索要了超过5亿美元的赎金，并收到了大约3亿美元的赎金支付。