安全419年度盘点丨2021年大型勒索攻击事件回顾

 

近年来，随着AI、5G、物联网等技术的快速普及和应用，以及加密货币的持续火爆，勒索攻击呈现出持续高发态势。2021年勒索软件攻击继续席卷全球，几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业都频遭勒索软件攻击，给全球经济发展和社会稳定带来了严重的影响，不少大型国际集团也都因为勒索攻击付出了极大的经济损失。

 

通过对一年中勒索软件攻击事件的观察，我们发现一些臭名昭著的头部勒索软件组织，如DarkSide、LockBit、Ziggy、Ragnarok等老牌团伙正在逐渐销声匿迹，陆续宣布解散，停止旗下勒索软件的运营，并试图通过关闭勒索软件、退还部分赎金的方式逃避执法机构的追捕和打击，反倒是一些少有听闻的团伙在这一年中搅风搅雨。

 

分析其背后的原因，在我们看来，其一是老牌勒索攻击组织已经在过去的几年里赚得盆满钵满，因此金盆洗手；其二是过去的一些攻击行动让他们声名大噪，但也吸引了全球警方的关注，在美国、乌克兰、英国、瑞士等多国警方的联合打击和震慑下，这些老牌勒索软件组织不得不收敛自身的嚣张气焰，纷纷隐匿起来，走向暗处观望。

 

再有则是，随着RaaS（勒索软件即服务）模式的盛行，曾经活跃在台前的勒索软件组织团伙也开始走向幕后，以更精细作业的方式开展从制作、传播、攻击到分佣的全链条的协作分工。一边在网络中拓展传播渠道分发病毒，一边招募更多层级的分销人员加入勒索攻击行业，以更加系统化、便捷化的模式大肆敛财。

 

越来越多的攻击事件表明，勒索软件攻击已经成为全球企业和组织面临的主要威胁，勒索软件攻击未来在一长段时间内，仍然将会是网络安全行业主要敌人之一。在年终之际，安全419根据公开资料，整理了2021年发生的重大勒索软件攻击事件，并与读者朋友们一起回顾，面对潜伏在暗处的黑手，只有保持足够的警惕，才能在敌人到来时能安然应对。

 

2021年勒索软件攻击创下三项记录：

 

5月10日，美国最大成品油管道运营商科洛尼尔（Colonial Pipeline）公司遭到Darkside勒索软件攻击，该公司每天运送多达1亿加仑的汽油、柴油、航空煤油与家用燃料油，占美国东岸燃油供应的45%，负责美国7个机场的燃油供应。攻击导致美国东部沿海主要城市输送油气的管道系统被迫下线，成品油供应中断，这极大影响了美国东海岸燃油等能源供应，美国政府宣布进入国家紧急状态。此次攻击事件促使拜登与普京总统会面，讨论在应对勒索软件威胁方面的相互合作，该事件也进一步促进全球政府开始加强国际合作打击勒索软件。

 

3 月20日，计算机厂商宏碁（Acer）受到REvil勒索软件的攻击，勒索团伙向宏碁索要赎金高达 5000 万美元，这创下了已知的勒索软件索要赎金金额纪录。REvil勒索软件团伙在其数据泄漏站点上宣布，他们攻入了宏碁的网络，作为证明，该团伙还分享了一组据称是被盗数据文件的图片。这些泄漏的图片显示，被盗数据包括财务报表、银行结余和银行通讯数据。

 

3月21日，美国最大的保险公司之一CNA Financial遭到黑客组织Phoenix的勒索软件攻击，15000台设备被加密，不计其数的客户资料受到泄露的风险，CNA Financial在试图恢复文件无果之后，开始与攻击者谈判，黑客最初索要 6,000 万美元，谈判后向黑客支付了 4,000 万美元，创下了历史上最高的已支付赎金金额的记录。

 

 

1月18日，苏格兰环境保护局（SEPA）表示，内部网络系统在三周前的圣诞节前夜被某“组织严密的国际网络犯罪团伙”所破坏，该团伙提出了一定数额的勒索条件，他们绝不会为此支付赎金。环保局方面确认遭到窃取的数据超过1GB，包括员工个人信息，以及与其保持监管及合作关系的企业相关信息。有早期迹象表明，外泄的文件总量至少达4000个。

 

1月27日，泛亚大型零售连锁运营商Dairy Farm Group本月受到REvil勒索软件攻击，攻击者声称要求3000万美元的赎金。攻击者称已在1月14日左右入侵了Dairy Farm Group的网络和加密设备，获得了该公司电子邮件的完全控制权，并声明将这些电子邮件用于网络钓鱼攻击。

 

2月3日，跨国外包公司Serco已成为Babuk勒索软件攻击的受害者，攻击者声称他们已经潜伏在Serco的网络中大约三个星期，并且已经从受感染的系统中窃取了超过1TB的数据。

 

2月22日，起亚汽车美国公司遭DoppelPaymer勒索软件攻击，要求两到三周内支付约2000万美元的比特币赎金（约合人民币1.29亿元），一旦延期支付，赎金将达到约3000万美元（约合人民币1.93亿元），同时宣称若起亚汽车不与之谈判，将公布窃取的大量数据。

 

2月23日，一个名为“古巴勒索软件”的黑客组织攻击了美国多个城市和机构都在使用自动资金转账服务网站，并偷走了未加密的文件并部署了勒索软件。攻击者声称窃取了“财务文件，与银行雇员的往来信件，账户变动，资产负债表和税务文件”。加利福尼亚州、华盛顿州的多个城市政府公共服务部门和机构均受到了影响。

 

2月24日，加拿大飞机制造商庞巴迪称未经授权一方通过利用影响第三方文件传输应用程序的漏洞访问和提取公司数据，这些数据已被勒索软件攻击者泄露在暗网上，数据包括其飞机和飞机零件的设计文件。尽管该公司没有具体命名该设备，但外媒报道很可能是指Accellion FTA，2020年12月，一个黑客组织在FTA软件中发现一个零日漏洞，并开始对其全球客户进行了攻击。

 

3月21日，美国最大的保险公司之一CNA Financial遭到黑客组织Phoenix的勒索软件攻击，15000台设备被加密，不计其数的客户资料受到泄露的风险，CNA Financial在试图恢复文件无果之后，开始与攻击者谈判，黑客最初索要 6,000 万美元，谈判后向黑客支付了 4,000 万美元，创下了历史上最高的已支付赎金金额的记录。

 

3 月20日，计算机厂商宏碁（Acer）受到REvil勒索软件的攻击，勒索团伙向宏碁索要赎金高达 5000 万美元，这创下了已知的勒索软件索要赎金金额纪录。REvil勒索软件团伙在其数据泄漏站点上宣布，他们攻入了宏碁的网络，作为证明，该团伙还分享了一组据称是被盗数据文件的图片。这些泄漏的图片显示，被盗数据包括财务报表、银行结余和银行通讯数据。

 

3月20日，加拿大跨国无线通信设备制造商Sierra Wireless感染勒索软件，所有生产活动被迫中断。该公司主要销售通信设备，在北美、欧洲和亚洲均设有研发中心。此次攻击导致公司官网和内部运营遭到破坏，全球的生产工厂被迫关闭。但因其内部IT系统与客户的服务之间分隔开了，所以客户并未受到影响。

 

美国斯坦福、加利福尼亚等多所大学遭遇CLOP勒索软件攻击

4月上旬，美国斯坦福大学、加利福尼亚大学、马里兰大学等多所大学遭遇了CLOP勒索软件团伙的攻击，攻击者破坏了学校的Accellion文件传输系统，并在网站上公开了学生们的社会安全号码，地址，电子邮件，家庭成员和财务信息等被盗信息。

 

4月21日，笔记本电脑制造商Quanta遭REvil勒索软件攻击致数据泄露，泄露的数据包括Apple设备的图纸以及员工和客户的所有个人数据等。黑客要求Quanta在4月27日之前支付5千万美元，或者在倒计时结束后支付1亿美元，但是被Quanta拒绝，因此REvil转而要求Apple在5月1日之前支付赎金，并且在暗网上泄露了十几个MacBook组件的示意图。

 

5月10日，美国最大成品油管道运营商科洛尼尔（Colonial Pipeline）公司遭到Darkside勒索软件攻击，该公司每天运送多达1亿加仑的汽油、柴油、航空煤油与家用燃料油，占美国东岸燃油供应的45%，负责美国7个机场的燃油供应。攻击导致美国东部沿海主要城市输送油气的管道系统被迫下线，成品油供应中断，这极大影响了美国东海岸燃油等能源供应，美国政府宣布进入国家紧急状态。最终，公司被迫支付约500万美元（约合人民币3200万元），获得勒索病毒软件解密工具。

 

5月17日，负责爱尔兰公共卫生事务的卫生服务执行局网络系统遭到勒索软件攻击，攻击造成全国多家医院的电子系统和存储信息无法进入。该执行局官员表示已收到攻击者索要赎金的勒索信息，但未透露具体金额。卫生系统遭到攻击后，医生只能依靠手写等应急手段工作，部分医院不得不取消当天的预约服务，新冠病毒检测工作也部分受到影响。

 

5月17日，保险巨头安盛集团在泰国、马来西亚、中国香港和菲律宾的分公司遭到了勒索软件网络攻击。据报道，Avaddon勒索软件集团在其泄密网站上称，他们从安盛亚洲业务中窃取了3TB的敏感数据，包括客户的医疗报告、身份证复印件、银行账户报表、索赔表格、付款记录、合同等等。

 

5月17日，欧洲能源厂商Volue宣布遭遇Ryuk勒索软件攻击，攻击导致为挪威200个城市水处理设施提供的基础设施应用被迫全部关闭，覆盖全国约85%的居民。

 

5月21日，保险公司One Call遭DarkSide勒索软件攻击，攻击者要求One Call支付1500万英镑，否则将公开数据，包括所有客户数据，例如密码和银行详细信息。

 

5月24日，外媒报道，勒索软件组织REvil攻击了国内某在香港上市的一家地产公司，并对该地产公司约3TB的数据库进行了加密，并为此勒索400万美元的赎金。加密数据包含有关雇员的身份证，护照和其他信息，以及财务报表，施工计划等数据。

 

6月1日，巴西肉类制造巨头企业JBS遭受Revil勒索软件攻击，导致其位于美国和加拿大地区的部分工厂暂停作业，其中，澳大利亚所有JBS肉类工厂停产。最终，JBS美国部分同意支付1100万美元（约合人民币7030万元）比特币赎金，以防止黑客泄露公司数据。

 

6月10日，继上个月勒索软件攻击Colonial Pipeline造成美国东海岸地区天然气输送关闭后，另一家管道公司 LineStar Integrity Services也遭遇了勒索软件袭击。尽管公司没有声张，然而黑客已经在暗网上公布了其 70GB 的内部文件。

 

6月16日，美国能源部核安全管理局（NNSA）的核武器分包商Sol Oriens遭受Revil勒索软件攻击，企业员工信息数据文件遭受窃取，但攻击者未获得核武器合作项目文件等机密内容的访问权限。

 

6月22日，北约“北极星”计划云平台供应商遭受勒索软件攻击，云平台相关代码、文档等敏感信息可能遭受窃取，并威胁将数据发送到俄罗斯情报部门，以此勒索10亿欧元（约合人民币76亿元）的赎金。

 

7月2日，美国软件供应商卡西亚（Kaseya）遭受疑似Revil勒索软件攻击，Kaseya为40000多家组织提供服务，攻击者入侵了卡西亚软件补丁和漏洞管理系统VSA服务器设备，锁定大量系统，并利用软件更新机制传播Revil勒索病毒，并威迫受害者支付约7000万美元（约合人民币4.5亿元）的赎金，该攻击导致包括瑞典最大杂货零售品牌在内的全球数百家企业启动紧急应急响应，以应对潜在的违规漏洞，其中瑞典杂货零售连锁店Coop被迫关闭了至少 800家门店。

 

7月7日，西班牙电信运营商MasMovil Iberoom遭受Revil勒索软件攻击，攻击团伙在其专门的数据泄露网站中表示，已窃取大量敏感信息，并公开备份文件、经销商名单等作为成功实施攻击的证据。

 

7月20日，英国地方铁路系统北方铁路(Northern Rail)在英格兰北部新安装的自助售票机遭受网络攻击，迫使该运营商将所有的售票机下线。据路透社报道，北方铁路承认，这次中断实际上是由勒索软件攻击引起。

 

8月1日，意大利拉齐奥大区遭到勒索软件RansomEXX攻击。攻击者加密了其数据中心的所有文件并中断了IT网络，还影响了其COVID-19疫苗接种登记网站。通常勒索团伙会在攻击期间窃取数据作为勒索的筹码，但该地区的健康、财务和预算数据并未遭到加密。

 

8月11日，台湾主办巨头技嘉遭受勒索软件攻击，黑客威胁要在暗网上发布超过 112 GB的商业数据（大部分数据是与客户签订过NDA保密协议的），除非该公司同意他们的赎金要求。技嘉发言人表示，该事件并未影响生产系统。只有台湾总部的几台内部服务器受到影响。

 

8月13日，全球IT咨询巨头埃森哲遭到了LockBit 勒索软件团伙发动的勒索软件网络攻击,LockBit勒索软件团伙声称已通过公司“内部人员”访问了埃森哲的网络，已从埃森哲窃取了6 TB的数据，要求支付5000万美元（约3.2亿人民币）的赎金。

 

8月17日，巴西政府发布报告称巴西财政部于8月13日遭到勒索软件攻击。根据经济部的一份声明显示，政府立即采取了初步措施来遏制网络攻击的影响。迄今为止的初步评估发现，国家财政部的结构系统，例如与公共债务管理有关的平台，没有受到损害。

 

8月26日，泰国的第三大航空公司曼谷航空承认其遭到了LockBit的勒索软件攻击。LockBit团伙在其数据泄露网站称已窃取曼谷航空200多GB的数据，并给了该公司五天的时间来支付赎金。但因为曼谷航空对谈判并不感兴趣，于是该团伙公开了全部数据。此次泄露的大部分数据与业务相关，但泰国航空公司表示，攻击者还窃取了部分乘客的个人身份信息。

 

9月12日，奥林巴斯声明称遭到了BlackMatter勒索软件的袭击。奥林巴斯表示，已经暂停了受影响系统的数据传输，并通知了相关的外部合作伙伴。在发现可疑活动后立即动员了一个包括取证专家在内的专门应对小组，目前正以最优先的方式解决这个问题。

 

9月14日，美国密苏里三角洲医疗中心遭到了勒索软件组织Hive的勒索攻击，导致数据泄露。Hive称他们在8月23日入侵了MDMC的系统并窃取了95000个患者的信息，以及400GB的文件。研究人员于8月31日向该机构提出有关此次攻击的询问，但始终未得到回应。攻击者不久后宣布，因为MDMC拒绝支付赎金，他们将公开184355个患者的信息和400GB文件。

 

10月15日，台湾电脑巨头宏碁证实，其在印度的售后服务系统最近在该公司所谓的“孤立攻击”中遭到破坏。虽然宏碁没有提供有关此事件背后攻击者身份的详细信息，但一名威胁行为者已经在一个流行的黑客论坛上声称发动了这次攻击，称他们从宏碁的服务器上窃取了超过60GB的文件和数据库。据称被盗的数据包括属于宏碁印度零售商和分销商的客户、公司和财务数据以及登录详细信息。这是继REvil在3月份声称的勒索软件攻击之后，这家计算机巨头的系统今年第二次遭到破坏。

 

10月16日，对辛克莱广播集团潜在安全事件的调查显示，该媒体集团遭受了勒索软件攻击和数据泄露。随后，辛克莱联系了一家网络安全取证公司，并与其他政府机构一起通知了执法部门。虽然勒索软件的类型、被盗数据的程度以及是否支付了赎金尚不清楚，但这次攻击对“某些办公室和运营网络”造成了破坏。这种中断包括一些辛克莱拥有的广播网络，这些网络遇到了与勒索软件攻击相关的技术困难，暂时无法广播。

 

10月17日，美国最大电视运营商之一辛克莱广播集团发布声明称，旗下电视台和电视频道部分业务因遭遇勒索软件攻击而中断。但黑客组织只攻击了辛克莱广播集团的播送系统，主控系统未遭到黑客攻击，因此中断的电视业务在短暂中断后已恢复正常。

 

10月29日，Grief勒索软件团伙声称已经破坏了美国全国步枪协会 (NRA)的计算机系统，并将其添加到了泄漏网站的“被攻击组织名单”中。

 

11月10日，据Bleeping Computer披露，欧洲最大的消费电子产品零售商MediaMarkt遭遇勒索攻击，攻击者最初索要赎金高达2.4亿美元！11月8日晚上，MediaMarkt内部网络安全人员发现公司加密服务器和工作站遭受网络攻击后，立即关闭了内部IT系统，以防止攻击蔓延。后续公司开展内部调查，发现此次攻击影响了欧洲众多公司零售店，荷兰、德国等地的店铺受影响最大。

 

12月1日，澳大利亚昆士兰州政府所有的能源生产商CS energy表示，它正在应对周末发生的勒索事件。该公司表示，这起事件并未影响发电站的发电，并正在寻求恢复其网络的办法。针对这一事件，澳新银行Claroty区域总监拉尼•雷菲蒂表示，由于基础设施公司无法承受任何中断或停机，关键基础设施越来越成为勒索团伙的目标。

 

12月1日，美国洛杉矶生育保障服务机构(PPLA)声明超过40万患者数据发生泄露。PPLA称，其在10月17日发现网络中存在可疑的活动，之后立即关闭系统并展开调查。调查结构显示，攻击者10月9日至10月17日访问了其网络，并窃取了部分文件，涉及超过40万患者的地址、保险信息、出生日期和临床信息等信息。目前，尚不清楚勒索团伙的身份，以及该机构是否已支付赎金。

 

12月9日，斯堪的纳维亚连锁酒店Nordic Choice Hotels称其遭到了勒索攻击，攻击者入侵了酒店的IT系统，导致员工无法访问用来管理入住、退房、付款和预订的酒店预订系统，客户也无法登录账户来预订房间，研究人员称，虽然没有迹象表明密码或支付信息受到影响，但客户的预订信息可能已经泄露。

 

12月14日，天然气供应商Superior Plus Corp.证实遭到勒索软件攻击。这家加拿大公司表示，它“暂时禁用了某些计算机系统和应用程序”。在今年早些时候对Colonial Pipeline Company的高调和破坏性攻击之后，SuperiorPlus成为最新一家遭受勒索软件攻击的能源公司。

 

12月21日，德国物流巨头Hellmann Worldwide Logistics声明称，遭到了勒索软件组织RansomEXX的攻击，攻击者从其服务器中窃取了大量数据，包含用户姓名、ID、电子邮件和密码等。其中70.64GB数据已被攻击者在暗网中泄露。

 

12月24日，圣诞节前夜，法国IT服务商Inetum Group遭勒索软件攻击。据官方声明显示，攻击并不涉及大型基础设施，只影响了法国的部分业务，且公司立刻采取行动保护敏感数据，未出现数据泄露。官方声明没有提及遭哪个勒索软件组织攻击，LeMagIt主编透露此次攻击为之前报告的今年最复杂勒索软件Blackcat组织所为。

 

12 月 26 日，摄影和个性化照片巨头 Shutterfly 遭到 Conti 的勒索软件攻击，他们声称已经加密了 4000 多台设备和 120 台 VMware ESXi 服务器。勒索软件团伙要求数百万美元的赎金。