2022年重大勒索軟體攻擊事件回顧

在2022年即将結束之際，一起來回顧一下今年以來發生的14起重大勒索軟體攻擊事件，這些事件的勒索貨币金額均超過了100萬美金。總結這些勒索軟體攻擊的目的是為了更好地洞察網絡犯罪分子的政策和意圖，以便能夠深入了解勒索軟體的危害，并更好地防範此類威脅。在勒索軟體攻擊威脅下，沒有組織是絕對安全的。是以，提前制定适當的勒索軟體事件響應計劃至關重要。

1、哥斯達黎加政府

勒索贖金：2000萬美元

這是2022年最受關注的攻擊事件，因為這是一個國家首次宣布進入“國家緊急狀态”以應對勒索軟體攻擊。調查顯示，從4月中旬到5月初，27個政府機構成為第一波攻擊活動的目标。國家财政部數TB資料和800多台伺服器受到影響，數字稅務服務和海關控制IT系統癱瘓，不僅影響了政府服務，還影響了從事進出口的私營部門。勒索軟體組織Conti聲稱對此輪攻擊負責，并要求哥斯達黎加政府支付1000萬美元的贖金，後來這一金額又增加到2000萬美元。5月31日開始，另一波攻擊使該國的醫療保健系統陷入混亂。這次與HIVE相關的攻擊直接影響了哥斯達黎加的普通群眾，因為它使該國的醫療保健系統被非正常下線。這一系列針對哥斯達黎加政府的攻擊，清楚地展示了勒索軟體攻擊可能對政府組織造成的嚴重破壞性後果，這或将開啟一個新的勒索軟體時代。如果沒有投入足夠的資源進行勒索軟體攻擊準備和緩解，以及為全體從業人員等提供網絡安全意識和技能教育訓練以應對此類威脅，那麼整個國家都可能因為網絡攻擊而陷入癱瘓。

2、Center Hospitalier Sud Francilien（CHSF）醫院

勒索贖金：1000萬美元

今年8月，法國巴黎的一家醫院Center Hospitalier Sud Francilien（CHSF）遭遇網絡攻擊，迫使其将患者轉診至其他機構，并推遲了多台手術計劃。據悉，CHSF為當地60萬居民提供診療服務，是以其營運中斷，給身處危急關頭的病患造成嚴重的健康甚至生命威脅。CHSF在随後釋出的公告中表示，此次網絡攻擊緻使醫院的業務軟體、存儲系統（特别是醫學影像）及與患者入院相關的資訊系統暫時無法通路。勒索軟體團夥要求醫院支付1000萬美元以換取解密密鑰。研究人員在此次事件中發現了LockBit 3.0感染的迹象，國家憲兵部門随後介入調查，并開始追蹤Ragnar Locker和LockBit。如果LockBit 3.0确實就是CHSF攻擊事件的幕後黑手，那他們就違反了RaaS的“行規”，即不得向醫療保健服務商的系統發動加密攻擊。

3、黑山政府部門和國家議會

勒索贖金：1000萬美元

2022年9月，歐洲國家黑山的多個政府部門遭遇超大規模網絡攻擊，緻使超過10個政府機構的150多個工作站均無法通路。此次攻擊采用了勒索軟體與分布式拒絕服務（DDoS）相結合的方式，不僅擾亂了政府服務，還迫使該國的電力系統轉為手動控制。Cuba勒索軟體組織宣稱對此次攻擊負部分責任，他們使用Cuba勒索軟體感染了黑山議會辦公室網絡，并在勒索門戶上釋出了黑山議會勒索公告，稱竊取了财務檔案、銀行通信内容、資産負債表、稅務檔案、賠償金乃至源代碼。這些檔案免費釋出，任何人均可下載下傳。

4、律師事務所Ward Hadaway

勒索贖金：價值600萬美元的比特币

全球排名Top 100的律師事務所Ward Hadaway在今年3月發現了一次網絡攻擊，一名匿名黑客警告稱，如果一周内不支付300萬美元，從其IT系統下載下傳的檔案和資料将被公布在網上，逾期贖金将翻倍至600萬美元。黑客還向Ward Hadaway發送了一份在攻擊中被複制的資料和檔案的清單，其中一些已經以加密的形式上傳到網上。Ward Hadaway的IT系統擁有大量的機密資訊，包括個人資料，其中一些甚至是非常敏感的個人資料。不過幸運的是，公司的檔案管理系統并未受到勒索攻擊影響，是以這起事件并沒有造成Ward Hadaway公司日常業務營運的中斷。

5、奧地利卡林西亞州政府

勒索贖金：價值500萬美元的比特币

2022年5月，網絡犯罪組織Black Cat（也被稱為ALPHV）聲稱擷取了奧地利卡林西亞州政府的敏感資料和解密軟體通路權限，并向其索要價值500萬美元的比特币來解鎖加密的計算機系統。攻擊者加密了數千個政府機構的工作站，導緻政府服務嚴重中斷。卡林西亞州政府網站和電子郵件服務也一度暫時關閉，導緻政府無法發放新護照或交通罰單。此外，此次攻擊還妨礙了該地區行政辦公室關于新冠病毒檢測和接觸者追蹤的防疫工作。最終，政府拒絕了支付贖金，理由是沒有證據表明Black Ca已經從其系統中擷取敏感性資料，而且州政府能夠使用可通路的備份來恢複工作站運作。

6、意大利鐵路公司Trenitalia

勒索贖金：價值500萬美元的比特币

2022年3月，Hive勒索軟體組織攻擊了意大利鐵路公司Trenitalia的計算機系統，影響了公司員工電腦和系統的正常運作。此外，與Trenitalia連接配接的票務系統Trenord也受到了黑客攻擊的影響。不過，Trenord系統可以通過防止受影響的車票銷售，保持相對正常的業務運作。Hive組織提出了500萬美元的比特币贖金要求，期限為三天，否則金額将翻倍至1000萬美元。目前還不清楚Trenitalia最終是否支付了贖金。

7、美國麥嶺市（City of Wheat Ridge）公共市政系統

勒索贖金：500萬美元

2022年8月，美國科羅拉多州麥嶺市的市政服務系統遭遇勒索軟體攻擊，緻使電話、電子郵件系統和其他市政服務系統關閉了一個多星期。犯罪分子索要500萬美元來解鎖麥嶺市的市政資料和計算機系統，并要求用一種難以追蹤的加密貨币Monero來支付。據悉，這些資料和系統被一個神秘的海外勒索軟體控制。但該市官員決定拒絕支付贖金，并與該市的IT專業人士一起努力從可行的備份恢複存儲在該市網絡中的檔案。值得一提的是，此次攻擊背後的惡意行為者同樣是Black Cat組織。網絡安全專家認為，Black Cat勒索軟體極具攻擊性，并且危害巨大。它是用一種叫做Rust的程式設計語言開發，系統管理者通常很難發現這種語言。

8、意大利比薩大學（University of Pisa）

勒索贖金：500萬美元

2022年6月，意大利的比薩大學淪為Black Cat的目标。攻擊者要求學校管理層支付450萬美元來恢複對已鎖定資料的通路權限，如果規定時間内未受到贖金，贖金金額将增加到500萬美元。攻擊者還竊取了比薩大學專用浏覽器Tor上一個聊天應用的獨家通路權來通路暗網，以此來回應贖金要求。在此次攻擊中，BlackCat使用了雙重甚至三重勒索政策，威脅稱“如果得不到報酬就洩露關鍵資訊”。對于受害者來說，這無疑是最糟糕的時刻。因為在此之前，帕勒莫的市政選舉已經受到勒索軟體攻擊的嚴重幹擾。

9、羅馬尼亞石油公司Rompetrol

勒索贖金：200萬美元

2022年3月，羅馬尼亞最大的煉油廠，年産量超過500萬噸石油公司Rompetrol成為Hive勒索組織的攻擊目标。由于此次攻擊，Rompetrol被迫關閉了其網站和加油站的會員卡服務，不過顧客可以選擇用現金或銀行卡付款。據了解，這次攻擊影響了該公司的大部分IT服務，Hive組織威脅稱，除非Rompetrol支付200萬美元的贖金，否則他們将洩露竊取的資料。在攻擊發生之前，Rompetrol母公司KMG剛剛宣布，Rompetrol Rafinare将在3月11日至4月3日期間關閉，以按計劃進行技術改造，這一計劃同樣受到了勒索攻擊的影響。

10、法國服裝公司Damart

勒索贖金：200萬美元

2022年9月，在全球擁有130多家門店的法國服裝品牌Damart遭到Hive網絡幫派的攻擊，并索要200萬美元的贖金。這次攻擊被證明通路了Damart的活動目錄，盡管Damart主動關閉了系統以保護它們，但這次網絡攻擊還是影響了92家商店，并影響到這些門店處理新訂單的能力，客戶支援服務也無法提供。Damart并沒有直接與網絡犯罪分子進行談判，而是将事件通知了國家警察，這使得Hive不太可能收到贖金。目前尚不清楚Hive在網絡入侵過程中是否成功竊取了Damart公司的使用者隐私等敏感資料。然而，該團夥過去曾成功地采用過“雙重勒索”政策，即在加密資料之前先竊取資料。

11、蒂夫特地區醫療中心

勒索贖金：115萬美元

美國喬治亞州的蒂夫特地區醫療中心在2022年7月成為攻擊目标，但直到與Hive團夥的談判破裂後，事件才被公之于衆。在7月和8月發生的黑客攻擊中，Hive團夥竊取了該醫療中心約1TB的資料，其中包括診療記錄、員工工資記錄和機密商業資訊。該組織于8月25日給醫療中心發郵件正式提出了115萬美金的勒索要求，并提供了一些被盜資訊的連結，但Tift僅支付了10萬美元作為回應。對此，Hive的回複也非常有趣：“告訴董事會他們可以留下10萬美元請律師。我們将公布這些資料。”

12、澳洲電信營運商Optus

勒索贖金：價值100萬美元的加密貨币

2022年9月，澳洲電信公司Optus遭遇不明身份的勒索組織攻擊，1120萬使用者的資料被竊，可能洩露的資訊包括客戶的姓名、出生日期、電話号碼、電子郵件位址，還有部分客戶的位址、身份證号碼，如駕照或護照号碼。攻擊者要求Optus支付價值100萬美元的門羅币（Monero），以阻止他們出售竊取的資料。但Optus方面最終拒絕支付贖金，并聯系了澳洲聯邦警察調查此事。

13、美國格倫縣教育辦公室

勒索贖金：100萬美元

2022年5月，美國加利福尼亞州格倫縣教育辦公室（GCOE）和學區遭到Quantum勒索軟體組織的攻擊，并被索要100萬美元贖金。随後，GCOE和Quantum組織進行了談判。Quantum組織向GCOE的談判代表提供了壓縮檔案存檔，作為他們通路過系統的證據。最終，GCOE向Quantum組織支付了40萬美元的贖金，以獲得解密密鑰和某些保證。Quantum組織則向該縣保證，它将删除所有檔案，并提供删除的證據，解釋他們是如何進入網絡的，以及他們在那裡做了什麼，提供一份被竊取的所有檔案的完整清單，同時保證他們不會再次攻擊該地區，也不會出售任何被竊取的資料。

14、英偉達（Nvidia）

勒索贖金：100萬美元

2022年2月底，全球知名的半導體晶片公司英偉達被爆遭到勒索軟體攻擊，不久後，英偉達公司官方證明遭到入侵，攻擊者已開始線上洩露了員工憑據和私密資訊。勒索軟體組織Lapsus$聲稱對此次攻擊負責，并表示他們可以通路1TB的企業資料，如果英偉達拒絕支付100萬美元的贖金和一定比例的未指明費用，他們将線上洩露這些資料。媒體報道稱，由于英偉達的内部系統遭到入侵，它不得不将部分業務下線兩天。然而，該公司後來聲稱此次攻擊并未以任何方式影響其營運，公司通過加強其安全性并立即聘請網絡事件響應專家來控制局勢，迅速對勒索軟體攻擊作出響應。一些報道表示，英偉達方面“反黑”了黑客，通過設法跟蹤Lapsus$成員并在他們的系統上安裝病毒木馬進行反制。但以上資訊的真實性如何并未得到證明。

參考連結：

https://www.privacyaffairs.com/ransomware-attacks-in-2022