刚刚过去的2023年,勒索软件活动迎来了堪称“大爆发”式的增长,根据Zscaler发布的《2023 年全球勒索软件报告》,仅截至2023年10月,全球勒索软件攻击数量同比增长37.75%,勒索软件的有效攻击载荷激增了 57.50%。可以预见,与之伴随的大量赎金勒索正给企业带来困扰。
但实际上,与勒索软件攻击上升趋势相反,2023年度赎金支付总额降低了20%,勒索事件救助商Coveware首席执行官Bill Siegel表示,人们面对网络勒索的安全意识不断提高,许多企业已经投资进行紧急事件响应培训,从而减少黑客勒索带来的损失。此外,一些国家和地区也正立法将支付赎金列为违法行为,导致一些企业被勒索后能够第一时间光明正大地寻求执法机构帮助并拒绝支付赎金。
但勒索软件不会就此罢休,一些高价值目标成为它们集火的对象。这一趋势促成了赎金的平均数额在2023年第三季度的增长,达到了85.1万美元。FreeBuf也通过与2022年度的盘点相对比,发现已公开的最高赎金金额从6000万美元上涨到了8000万美元。为了尽可能地榨取赎金,一些勒索软件组织态度也越发坚决,容不得企业过多地周旋或讨价还价。
本文根据公开的赎金勒索信息,整合相关公开报道与资料,盘点2023年度赎金勒索TOP10。注:勒索金额未公开的事件不在此次盘点范围内。
1月12日,英国皇家邮政遭LockBit勒索软件组织攻击,致使包裹和信件的国际运输陷入停顿。在事件发生两周后,LockBit向对方索要高达8000万美元赎金。媒体公开报道显示,勒索软件加密了用于国际运输的设备,并在用于海关备案的打印机上打印勒索赎金票据。
最终皇家邮政拒绝支付这一堪称“荒谬”的赎金,并聘请了第三方网络专家协助调查和恢复业务。但该事件让皇家邮政蒙受了严重损失,截至2023年9月,国际分销服务业务收入同比下降了6.5%。
10月中旬, LockBit声称入侵了全球最大的技术服务巨头之一CDW,要求支付8000万美元赎金,但CDW最终只同意支付了100万美元,LockBit对此称一家价值 200 亿美元的纳斯达克上市企业仅支付100万美元赎金具有“侮辱性 ”,并最终在赎金支付倒计时结束后泄露了部分数据。
该公司事后表示,其系统仍然正常运行,已知晓在暗网上泄露了一些数据,并正在审查这些数据,将采取适当的措施做出回应,包括直接通知受影响客户。
6月29日,LockBit将全球最大晶圆代工厂台积电添加到了受害者名单中,并索要7000万美元赎金,否则将网络入口点、密码和相关机密信息等,这将危及台积电及其大客户苹果、高通和英伟达等。
6月30日,台积电回应称,已知泄露的皆为某供应商硬件初始设定资料,事件不会影响公司生产营运,亦无公司客户之相关资讯外泄。事发后,台积电已经立即根据公司的安全协议和标准操作程序终止与该相关供应商的数据交换。
9月下旬,国际领先的智能建筑领域企业江森自控国际公司遭受了Dark Angels勒索软件攻击,该攻击对公司的许多设备(包括 VMware ESXi 服务器)进行了加密,影响了公司及其子公司的运营。攻击者声称窃取了超过 27 TB 的公司数据,并索要5100万美元赎金。
Dark Angels是一个较为新近的勒索软件组织,自2022年5月开始活动,并于2023 年4月推出了一个名为“Dunghill Leaks”的数据泄露网站,用于勒索受害者,威胁称如果不支付赎金,就会泄露数据。
5月初,印度尼西亚 BSI 银行遭LockBit勒索软件攻击,导致网络出现中断,但该银行最初向外界声称中断是由于对网络进行维护,LockBit 回应称这是在撒谎。16日,在与该银行的谈判疑似破裂后,LockBit公布了所窃取的1.5 TB 个人和财务信息,以及5 月 8 日至 13 日期间与银行代表的谈判细节。
据悉,BSI 银行愿意以1000万美元的赎金来恢复数据,但LockBit索要的金额为2000万美元。
9月7日,美国最大的博彩娱乐集团——凯撒娱乐遭遇了一次网络攻击,黑客入侵了其数据库,据悉该数据库存储了众多客户的驾照号码和社会安全号码9月14日,凯撒公司向美国证券交易委员会提交了一份8-K表,其中写道:“我们仍在调查未经授权的行为者获取的文件中,究竟包含了多少敏感信息。”
据《华尔街日报》的报道,为避免这些客户数据在网上泄露,该公司选择支付1500万美元赎金,这是最初黑客索要的3000万美元赎金的一半。
1月24日,拳头公司在Twitter上发布公告,遭遇了黑客攻击,旗下游戏英雄联盟、云顶之弈以及反作弊平台的源代码被盗。攻击者索要1000万美元赎金,但拳头公司态度坚决地表示拒绝支付。随后,攻击者在暗网论坛以100万美元起拍英雄联盟和反作弊平台的源代码。
拳头公司称被盗的源代码包含仍处于原型阶段的“实验性功能”,不一定会正式向公众发布。它还承认源代码泄漏可能会导致新的游戏内作弊,但指出它现在正在积极努力解决这个问题。
3月7日,美国牙科机构MCNA遭LockBit勒索软件攻击,并索要1000万美元赎金,否则将公布从 MCNA 网络窃取的 700GB 敏感机密信息。4月7日,LockBit 在其网站上发布了所有数据,可供任何人下载,意味着MCNA并未支付赎金。
根据MCNA发布的通知,有将近900 万患者的个人数据遭到了泄露,并表示已采取一切适当措施加以补救,并努力增强系统安全性以防止未来发生类似事件。该公司还联系了执法部门,希望防止被盗信息遭到滥用。
2023年3月26日,一个未经授权的组织获取了西部数据数据库的副本,其中包含在线商店客户的有限个人信息。据TechCrunch报道,一个“未命名”的黑客组织声称窃取了多达10TB的数据,并索取“至少 8 位数”的赎金。西部数据表示,在一些系统出现漏洞导致部分业务运营中断后,该公司正在调查一起网络安全事件。
黑客于4月18 日发出最后通牒,要求支付赎金,否则将面临“重要文件”被泄露的风险。目前尚无是否已支付赎金的后续报道。
11月17日,丰田金融服务公司(TFS)发布消息,称遭受了数据泄露,并暴露了敏感的个人信息和财务数据。Medusa(美杜莎)勒索软件组织声称是此次攻击的发起者,索要800万美元赎金,并声明可以延期,但需每天额外支付1万美元。
丰田汽车在媒体问询时承认“丰田欧洲和非洲金融服务公司发现了未经授权的访问,受影响的系统已下线,丰田汽车已与执法机构合作开展事件调查,本次事件影响范围仅限于丰田金融的欧洲和非洲地区。”目前尚无是否已支付赎金的后续报道。
无论是针对的企业类型还是索要赎金额度,2023年勒索软件在赎金上的攻势无疑更加“激进”,但所引起的“反弹”作用也开始凸显,总体可以归纳为如下几点:
从盘点的TOP10事件中可以看出,受害企业遍及邮政和物流、技术服务、半导体、智能建筑、银行和金融、博彩娱乐、网络游戏等多个行业,且绝大多数都是各行业中的龙头企业,这些企业大多财力雄厚且用户广泛,更加注重自身信誉,自然成为勒索软件理想化的攻击目标。
正如本文开篇所述,越来越多的企业在环境或政策的趋势下开始拒绝支付赎金,所盘点的TOP10案例中,已有4家企业拒绝或者仅支付了少量赎金。拒绝支付赎金正越发被认为是应对软件的“上策”,因为当支付赎金被所在的国家判定为违法行为时,还会在监管上再度蒙受损失和惩罚。
此外,一些勒索软件组织会公开宣布已经收到的赎金,对企业客户而言无疑又是一次信誉的损失。
在遭受勒索软件攻击后,企业通常会选择支付赎金或从备份中恢复数据。但为了尽可能地让企业交出赎金,勒索软件开始针对企业的备份数据。根据《Veeam 2023年勒索软件趋势报告》,93%的攻击行为都试图攻击备份存储库,导致75%的企业在攻击期间至少丢失了部分备份存储库,而超过三分之一(39%)的备份存储库则完全丢失。备份数据的可靠性不仅成为是否缴纳赎金的筹码,也是企业能否从勒索攻击中迅速恢复的重要保障。
毫无疑问,LockBit勒索软件成为已公开赎金案例中最大的赢家,仅在TOP10中就占据了一半,且包揽了赎金排行榜前三。根据美国网络安全和基础设施安全局 (CISA) 的记录显示,自 2020 年 1 月以来,LockBit及其附属机构攻击了一系列关键基础设施领域内不同规模的组织,包括金融服务、食品和农业、教育、能源、政府和紧急服务、医疗保健、制造和运输。
而根据ZeroFox 的一份报告,LockBit已经是全球所有地区、几乎所有行业面临的最主要勒索软件组织,在 2022 年 1 月至 2023 年 9 月分析的7个季度中,超过四分之一的勒索软件事件都由LockBit实施或参与。
不可否认,在勒索软件产业链走向成熟的当下,这些网络犯罪组织所针对的目标不仅越发广泛,技术也在不断推陈出新,企业的所遭受的赎金勒索恐将“没有最高,只有更高”,在不断强化自身防御意识和手段的前提下,企业势必也要时刻做好和勒索软件打持久战的准备。