这一年,勒索攻击愈演愈烈
百万级
数据资产被窃
这一年
LockBit家族
依旧活跃
8Base和Akira也冒头营业
这一年,桌面系统仍是主要目标
漏洞利用
还在走高
这一年,我们处理近3000勒索求援
挽回损失
成千上万
且听我来盘点
2023年
全球十大勒索事件
旧洞新用
ESXiArgs勒索软件攻击影响3000+服务器
2023年2月,大量攻击者对VMware ESXi服务器发起大规模攻击。他们利用了两年前被公布的ESXi远程代码执行漏洞(CVE-2021-21974),以部署新的ESXiArgs勒索软件。该漏洞是由OpenSLP服务中的堆溢出问题引起的,未经验证的攻击者可以在轻松利用该漏洞进入用户的服务器系统。
根据法国云服务供应商OVHcloud发布的报告称,仅在出现大规模攻击的第一天,该供应商管理的服务器中就有约120台ESXi服务器被攻陷导致数据遭到加密。
罪恶复苏
MEDUSA勒索软件魔爪伸向石油企业
2023年2月15日,中国石油天然气集团公司印度尼西亚分公司遭到勒索攻击。同时,Medusa勒索软件发布了该公司的相关信息。根据Medusa博客中的说法,勒索软件的威胁要求限时仅有7天,受害者可额外支付10000美元将截止日期延长一天,而彻底删除所有数据的赎金金额则为40万美元。
此次攻击事件是2023年第二起针对石油天然气公司的勒索攻击。在此之前,LockBit勒索软件入侵了Grupo Albanesi公司,对其位于阿根廷的9家发电工厂产生了直接影响。
向上滑动查看更多
圈内“新贵”
Money Message勒索赎金达400万美元
2023年3月底,一款名为“Money Message”的新勒索软件团伙出现在互联网中,该勒索软件针对全球受害者发动攻击并要求支付数百万美元的赎金以防止泄露数据以及换取数据解密。该团伙窃取了微星数据库源代码、私钥和BIOS固件等总计1.5TB的数据,并要求支付四百万美元的赎金,否则将公开窃取的数据。
该软件问世仅1个月,已攻击多家大型企业,除微星外,还包括年收入近十亿美元的孟加拉国家航空公司Biman airlines。
反向上班
CL0p团伙再借假期攻击数百家公司
2023年5月起,MOVEit Transfer被爆出存在可被利用的重大漏洞(CVE-2023-34362)。Cl0p勒索软件团伙表示他们是MOVEit Transfer数据盗窃攻击的幕后推手,其利用0day漏洞破坏了数百家公司的服务器并窃取其数据。Cl0p方面进一步表示,他们是于5月27日,即美国阵亡将士纪念日假期期间开始利用该漏洞发动攻击的。
利用节假日进行攻击是Cl0p勒索软件行动的惯用策略,此前,在2020年12月23日圣诞节假期期间,他们就利用Accellion FTA软件0day漏洞进行了数据盗窃攻击。
按“洞”索财
TellYouThePass再次发起多轮攻击
TellYouThePass勒索病毒家族最早于2019年3月出现,其惯于在高危漏洞被披露后的短时间内利用漏洞修补的时间差,对暴露于网络上并存在有漏洞的机器发起攻击。该家族在2023年下半年对国内各类OA、财务及Web系统平台发起多轮攻击。如2023年8月27日,针对某通财务管理软件的勒索投毒攻击,单次范围超1000台服务器。
其曾经使用过的代表性漏洞有:“永恒之蓝”系列漏洞、WebLogic应用漏洞、Log4j2漏洞、用友OA漏洞、畅捷通漏洞等。一旦攻击成功后,便会投递勒索病毒实施加密,并向被加密的文件添加后缀名为“.locked”。
闷声发财
Trigona竞价售卖400+受害者信息
2023年9月,勒索软件组织Trigona声称,已从香港科创中心数码港窃取超过400GB数据,要求支付30万美元(约合港币235万元)才能归还。包括银行账户信息和身份证复印件在内的被窃数据正在暗网竞价售卖,起价定为30万美元。安全专家分析称,假设一个人的信息是1GB,那就至少有400名受害者。
该组织在2022年12月开始活跃,已成功攻击了至少15名的企业,涉及制造业、金融业、建筑业、农业、市场营销和高科技行业。他们会对受害目标精挑细选,减少被报道风险,实现闷声发大财的目的。
最贵行动
米高梅度假村遭攻击损失超1.1亿美元
2023年9月,米高梅国际酒店集团(MGM Resorts International)披露该公司遭到网络攻击,导致其主要网站、在线预订系统以及ATM机、老虎机和POS机等赌场内服务被迫关闭,该事件影响了美国的酒店预订系统和其他运营赌场楼层的IT系统。该公司透露,勒索软件攻击已造成超过1.1亿美元成本损失。
这是自2019年以来米高梅度假村第二次确认发生网络安全事件,此前该公司的一项云服务遭到破坏,黑客窃取了超过1000万条客户记录。
直击祖源
23andMe遭撞库超700万基因数据被窃
2023年10月2日,一名攻击者称从一家遗传学公司窃取了数据样本,并在几天后提出出售这些属于23andMe客户的数据包。攻击者放出了其中德系犹太人的100万行数据。而到了10月4日,攻击者提出以每个23andMe帐户1至10美元不等的价格批量出售这些数据文件,具体价格取决于购买的数据量。
23andMe方面证实了这些数据的真实性,并称攻击者使用了撞库攻击的手段来入侵23andMe网络并窃取到了这些敏感数据。
大杀四方
多家大型机构遭Lockbit勒索软件攻击
2023年11月,某大型金融机构在官网发布声明称遭受了勒索软件攻击,导致部分系统中断。LockBit组织确认对本次攻击负责。该组织最早于2019年10月出现,现已成为勒索软件领域作案最为频繁的威胁团伙之一,一旦受该勒索软件感染,系统中的文件将被加密,受害者需要向黑客支付赎金购买密钥才能解密文件。
LockBit勒索家族号称加密最快的勒索软件,包括波音公司、英国皇家邮政、葡萄牙里斯本港口等超1000家单位曾受到其勒索攻击。
城市停摆
德国IT供应商遭攻击致72城网络瘫痪
2023年11月,德国西部发生了一场大规模的勒索软件攻击,本次受到直接攻击的是为其政府部门提供IT服务的供应商:Südwestfalen IT(简称SIT),为了遏制恶意软件的传播,该公司被迫限制了70多个城市对市政基础设施的访问权限,尤其集中在德国西部的北莱茵-威斯特法伦州。
受到此次攻击影响,SIT的官网一度无法正常访问,受到影响的业务主要是消防救援等应急事务;部分地区的一些公共事务及证件(驾照等)的预约和办理业务;与政府部门的联系通道。