勒索病毒攻击及其对企业的影响
  • 24

勒索病毒

勒索病毒攻击的毁灭性现实

勒索病毒是我们这个时代最具代表性的网络威胁之一,并且没有减缓的迹象。近年来,黑客和其他威胁行动者发动了大量攻击,摧毁了全球各种组织的关键系统,其中殖民管道攻击导致美国燃料供应的长期影响,引发了全球媒体的关注。

撰文:Ivan Belcic发表于:2022年2月3日

在这里,我们将探讨勒索病毒的起源以及为何它在网络犯罪分子中变得如此受欢迎。我们将审视一些近期最臭名昭著的勒索病毒攻击,并看看组织可以采取哪些措施来增强系统安全。

我们将了解哪些公司向勒索病毒劫持者支付了高达4000万美元的费用,发现为何俄罗斯公司倾向于避免成为攻击目标,以及了解医院、科技公司和政府组织为何成为最热门的攻击目标。

本文内容:

普通病毒的历史勒索病毒攻击为何变得如此普遍?勒索病毒解密:谁、何时、何地、多少钱?自2013年以来报告的勒索病毒攻击最常见的勒索病毒攻击目标2021年最大的支付2021年受影响最大企业2021年各国勒索病毒攻击情况

如需查看更多安全文章。

勒索病毒的简要历史

勒索病毒是一种恶意软件,会锁定你的数据或设备,并要求你支付赎金以将其恢复。然而,尽管近年来其使用量激增,勒索病毒的根源可以追溯到数十年前。

最早的勒索病毒实例之一是1989年针对艾滋病的特洛伊木马攻击。该病毒被托管在软盘上,并在一次艾滋病会议上分发,便开始加密受害者所用电脑上的各种文件,然后要求他们向位于巴拿马的邮政信箱发送189美元。幸运的是,这种加密很容易被逆向解密。

从那时起,勒索病毒变得更加复杂。以下是近年来一些最具破坏性的勒索病毒变种:

CryptoLocker (2013)

CryptoLocker于2013年9月首次出现,并在2014年5月被国际网络安全工作组成功 neutralize 之前在全球范围内造成了巨大破坏。CryptoLocker之所以如此有效,部分原因在于它通过庞大的Gameover ZeuS 僵尸网络传播。

Cerber (2016)

Cerber是一种改变游戏规则的勒索病毒,推动了勒索软件即服务(RaaS)的模式,其中黑客出租他们的勒索病毒供他人使用,作为收益的分成。

Locky (2016)

以医疗机构为主要目标,Locky的攻击始于2016年,持续了一整年。Avast的威胁情报团队能够分析Locky的代码,将其与名为Dridex的黑客团体联系起来。

Petya (2016) amp NotPetya (2017)

首次出现于2016年的Petya系列勒索病毒,以其NotPetya病毒而闻名,后者在2017年引发了一波攻击,使损失超过100亿美元,波及欧洲和美国。

WannaCry (2017)

2017年5月的WannaCry勒索病毒攻击极具威力,单日内235000台电脑受到感染,造成的损害和清理费用估计达到40亿。

DarkSide (2020)

DarkSide及其RaaS负责2020年和2021年许多最大规模的勒索攻击及要求。Darkside声称避开政府和医疗目标,以便针对高价值公司,但该组织却参与了2021年殖民管道攻击,这次事件严重影响了美国东海岸的燃料供应。

勒索病毒攻击为何变得如此普遍?

近年来,勒索病毒攻击的显著增加可以归因于一个因素: RaaS勒索病毒即服务的兴起。在这个系统中,开发者创建勒索病毒变种,然后将其授权给其他网络罪犯,用于他们的攻击。因此,RaaS模式对黑客有两个主要好处:

勒索病毒开发者不再需要担心实施攻击,而是通过收取每次攻击收入的一定比例来获利。

勒索攻击者无需具备多么高的技术专长,即插即用的RaaS模式允许攻击者专注于感染受害者并收取付款。

Avast的威胁实验室发现,2021年第三季度的勒索病毒攻击比前一个季度增加了5,并且比年初的前三个月增加了22。

在利润丰厚的同时,受害者损失也在加剧。与艾滋病特洛伊木马要求的189美元赎金相比,今天的支付金额庞大。当大型公司成为勒索病毒的目标时,索赔金额达到数百万美元的情况并不罕见。

勒索病毒解密:谁、何时、何地、多少钱

为了更好地了解当前的勒索病毒状况,我们将其分为几个类别:

年度攻击数量增加最常见的攻击目标2021年最大支付2021年受最大影响的公司2021年最脆弱的国家

以下部分的数据主要来源于信息之美 的公共数据集。并非所有遭受攻击的组织都会报告或披露成本可能是出于对名誉受损的担忧因此以下数据可能不完整,但一般趋势值得关注。

自2013年以来的报告勒索病毒攻击

勒索病毒不仅能瘫痪企业运营,而且它的肆虐也在逐步加剧。在2010年代,年均报告的勒索病毒攻击少于15起,但到了2021年,报告的攻击数惊人地达到了135起见下图。

最常见的勒索病毒攻击目标

虽然总体攻击数量在增加,但某些经济部门更加频繁地成为目标。特别是,政府、科技、医疗和学术机构吸收了大部分攻击。在所有被审视的报告攻击中,这四个部门便占据了57的总攻击。

在此期间,科技行业的威胁也在不断增加。从2017年至2019年,针对科技公司的勒索病毒攻击仅占报告总数量的7。在过去两年中,这一比例上升至超过20。

对政府机构的攻击通常出于政治动机,而攻击科技和医疗组织的黑客可能认为这些组织更可能付款。此外,我们的研究还发现,医院和医疗服务提供者可能缺乏维护系统所需的预算,这使得他们的安全基础设施更容易受到攻击。

以下是按年份和行业划分的最常见勒索病毒目标。

2021年最大的勒索支付

2021年对于勒索病毒来说是一个重要年份。虽然大多数公司选择不公开勒索支付,但一些受害者确实披露了这些信息。这样做可以帮助展示勒索病毒的危险,同时也帮助当局和网络安全研究人员在打击这一现象时获取信息。

CNA金融集团:4000万美元

在经历了一次大规模数据泄露后,位于芝加哥的保险公司CNA金融集团在2021年3月向勒索黑客支付了惊人的4000万美元。

攻击者使用了一种名为Phoenix Locker的勒索病毒,该病毒据称由俄罗斯网络犯罪组织Evil Corp开发。2019年,FBI对该组织的主要嫌疑人发布了500万的悬赏。

JBS:1100万美元

在2021年5月的攻击后,全球最大牛肉供应商JBS支付了网络犯罪组织REvil的1100万美元赎金,该攻击导致该公司在美国和澳大利亚的运营中断。

JBS声称,在未援助的情况下恢复大部分系统,但支付赎金是为了确保被盗数据不会泄露。

勒索病毒攻击及其对企业的影响Acer:1000万美元报价

在2021年3月,REvil向PC制造商Acer提出了5000万美元的勒索要求。

作为回应,Acer的谈判代表 reportedly 报价1000万美元,但遭到黑客拒绝。2021年10月,Acer在印度的服务器遭遇了第二次网络攻击,这次数据窃取是由Desorden Group实施的。

殖民管道:440万美元

殖民管道是美国最大的精炼油管道系统,每日可运输多达300万桶油,从纽约到德克萨斯州。因此,当它在2021年5月7日遭遇DarkSide RaaS攻击时,成为全球新闻的焦点。

殖民管道随即选择支付赎金,但未避免燃料短缺影响蔓延至美国东南部,导致该地区的加油站出现数小时的排队。美国司法部一个月后宣布成功追回了约230万美元的赎金。

Brenntag:440万美元

德国领先的化学供应商Brenntag在2021年5月向使用DarkSide RaaS的攻击者支付了440万美元的赎金。勒索攻击方面,黑客声称获取了超过150GB的数据。

攻击者声称通过使用被盗凭证突破了Brenntag的系统,虽然他们否认有盗取这些凭证的行为。

2021年受勒索病毒攻击的最大公司按年收入

DarkSide和其他勒索病毒袭击者通常选择大型组织作为攻击目标,因为它们更容易支付数百万美元的赎金。2021年最大的勒索病毒受害者并非地方医院或政府机构,而是大型跨国公司。

丰田2567亿美元

日本汽车制造商丰田在2021年遭受了两次勒索病毒攻击:一次针对其在欧洲的Daihatsu Diesel Company子公司,另一次针对其在密西西比州的汽车零部件制造子公司。

JBS2702亿美元

如上所述,国际肉类供应商JBS在2021年5月的攻击后向REvil集团支付了1100万美元的赎金。

壳牌1832亿美元

2021年3月,荷兰巨头壳牌遭到Clop勒索病毒团体的攻击,攻击主要集中在壳牌用以传输大量数据的Accellion文件共享服务上。

AXA1096亿美元

法国保险公司AXA在宣布不再为保单持有人提供勒索病毒保障后遭遇勒索病毒攻击。

起亚汽车500亿美元

2021年2月,报告显示,起亚汽车因来自DoppelPaymer集团的勒索病毒攻击而出现服务中断。然而,起亚及其母公司现代塑料否认发生过任何此类攻击。

2021年按国家划分的勒索病毒攻击

勒索病毒攻击发生在全球各地,但美国的企业比其他任何地区的企业更常成为目标。许多顶级勒索病毒组织被指以俄罗斯及其他东欧国家为基地,并且他们通常避免攻击本地区的受害者。这是因为普遍认为,俄罗斯政府通常不会追捕只攻击外国目标的网络罪犯。

这可能是为什么许多在俄罗斯或东欧开发的勒索病毒变种,包括内置的防止机制,如果检测到它在俄罗斯或其他独联体国家的计算机上运行,将会禁用该恶意软件。

你会支付赎金吗?

大规模的勒索病毒攻击可能导致几乎完全的组织瘫痪,因此,支付赎金似乎是恢复正常的最佳途径。然而,我们的建议是:永远不要支付赎金。原因如下:

你无法保证效果。

尽管网络罪犯可能承诺归还你的数据,但没有保证他们会真正履行承诺。在你支付之前,你无法知道会发生什么你可能发现你的数据仍然被锁定。某些特定变种的Petya勒索病毒是不可逆转的。

你在鼓励未来的攻击。

当受害者支付赎金时,它“证明”了勒索病毒的有效性,这样 ransomware 开发者和黑客组织可以用他们的利润来资助更强大的软件开发和更具破坏性的方法。

某些勒索病毒攻击可能直接关系到生死存亡。勒索攻击者在针对医院、公共事业和类似机构时,会利用这种紧急性。有时在遭遇攻击后,等待勒索病毒被解密并不可行。

因此,尽管FBI呼吁受害者不要支付赎金,但也同情那些选择支付了的受害者。许多公司不愿披露网络攻击,但这样做可以帮助当局打击勒索病毒和其他网络犯罪。

为什么企业如此脆弱?她们做错了什么?

勒索病毒需要一个入口点来攻击网络。无论是过时软件中的安全漏洞、弱密码、被盗的登录凭据,还是容易上当的员工,网络罪犯将找到利用漏洞 并将其勒索病毒植入的方法。越来越多的攻击者甚至招募内部员工以获得对目标组织内部系统的接入。

网络钓鱼邮件

网络钓鱼攻击是设计用于欺骗某人披露敏感个人数据或打开恶意文件的邮件和其他通信。

鱼叉式钓鱼活动通常针对特定个体,而捕鲸攻击则针对高价值个人,如高管。恶意邮件在持续的COVID19危机中增加了600。

远程桌面协议

Microsoft的远程桌面协议(RDP)允许网络管理员便捷地访问其网络上的设备。但是,拥有正确的登录凭据后,黑客也能实现同样的目的。

合法的管理员凭据可能是通过网络钓鱼、数据泄露、暴力破解 或凭证填充使用已知的用户名/密码组合登陆其他门户获得。让远程访问仅能通过VPN连接实现,而不是完全暴露在互联网上,是公司加强防范RDP漏洞的一种方法。

软件漏洞

黑客通过利用过时软件中的漏洞,攻击未受保护的系统和服务器包括企业VPN服务器,并安装勒索病毒。使用当前的软件是关闭这种类型勒索病毒攻击向量的最佳方法。

一些勒索病毒组织已经获得如此丰厚的资金,以至于他们足够富有到可以购买零日漏洞,这些是新发现的、仍然对软件开发者未知的弱点。利用这些安全漏洞的网络攻击称为零日利用。

你的网络安全基础固若金汤吗?参加我们的网络安全测试来找出答案。

如何预防和防御勒索病毒攻击?

预防勒索病毒攻击需要组织和个人的警惕。组织必须加强网络安全防范侵入,同时对员工进行培训,使他们识别网络钓鱼攻击。同时,每个人都可以通过以下几个基本网络安全小贴士来保护自己免受勒索病毒攻击。

企业的勒索病毒预防小贴士

实施网络安全培训

赋予你的团队必要的技能和知识,以保卫自己免受勒索病毒的侵害。教导员工如何使用强密码,识别网络钓鱼攻击和恶意链接。然后确保每个人都知道如何报告可疑的电子邮件或其他可疑活动。

制定应急计划

你对勒索病毒攻击的反应方法可能会严重影响事件结果。创建勒索病毒攻击计划或业务连续性计划,使每个人事先做好准备。

备份所有数据

通过加密数据而误导你的勒索病毒依赖于你没有任何其他的数据副本来施加压力。通过安全备份,即使在攻击期间,您仍可以继续访问和使用所有数据。将备份存储在云端或离线外部存储设备中,以防止勒索病毒接触到它们。

使用分层安全措施

仅依靠一层安全可能不足以从各个方面拦截勒索病毒。但分层安全的方法,包括网络安全、端点保护、数据安全等,将从各个角度保护你的组织。

始终更新和修补

更新贵组织的软件和硬件,以防范安全漏洞。尽可能自动化更新流程配置员工设备自动更新,并考虑使用安全工具,自动下载和安装新发布的软件更新和补丁管理。

了解有关保护您业务的网络安全解决方案的更多信息。

个人的勒索病毒预防小贴士

备份数据

将敏感数据备份或克隆硬盘至云端或离线外部存储设备,防止勒索病毒接触其备份并进行加密。

使用当前软件

安装操作系统和所有应用程序的可用更新,以关闭任何现存的安全漏洞。

不要打开意外的电子邮件附件

勒索病毒通常通过网络钓鱼邮件中的恶意附件传播。切勿打开来自不认识的发件人的附件。如果收到来自信任联系人发来的附件,请直接与他们联系以确认他们确实将其发给你。很可能他们的电子邮件地址被伪造。

对链接保持怀疑

网络钓鱼电子邮件可能包含指向恶意网站的链接,在线论坛和评论区也一样。点击奇怪的链接时请小心。为确保安全,可以手动输入您想访问的网址。

不要在不安全的网站输入任何数据

登录或在在线表单中输入个人数据之前,验证该网站的安全性及其是否使用HTTPS安全协议。您会在浏览器地址栏看到一个锁形图标点击它以验证该网站的安全性和证书。

仅从官方渠道下载软件

从制造商或第一方门户如Apple应用商店直接获取新软件。通过第三方平台下载的非官方软件可能是伪装成的特洛伊木马,可能感染勒索病毒。

使用安全软件保护设备

防病毒软件是防御勒索病毒的最佳方法。在您的设备上安装反勒索病毒工具,以自动检测并拦截勒索病毒,在它感染您的设备之前就将其挡住。如果您的路由器没有自动配备防火墙,建议为您的家庭WiFi网络添加防火墙。

黑豹加速器官网

对抗勒索病毒的综合安全措施

勒索病毒无法伤害你,如果它无法找到你。一个强大的网络安全应用程序将在病毒和恶意软件有机可乘之前阻拦它们。通过在所有潜在攻击向量上设置强大的安全措施,Avast One将保护您免受勒索病毒和其他恶意软件、危险链接、不安全下载、以及不安全网站的侵害。

获得24/7的保护,让你不用再担心支付赎金的事情。

安装免费的Avast One

获取Mac、PC、Android。

您也可以下载免费的Avast One,分别获取Android、iOS、Mac。

相关阅读

恶意代码:它是什么以及如何预防?什么是间谍软件,谁会受到攻击,以及如何预防?什么是恶意软件,如何保护自己免受恶意软件攻击?什么是恐吓软件?检测、预防和移除什么是Pegasus间谍软件,你的手机是否感染Pegasus?如何从iPhone中检测和删除间谍软件什么是Mirai僵尸网络?什么是宙斯特洛伊木马?它是什么,如何工作以及如何保持安全如何从路由器上移除病毒什么是特洛伊木马恶意软件?终极指南什么是键盘记录器?如何工作?什么是僵尸网络?什么是根套件以及如何移除?什么是恶意广告及如何阻止?什么是逻辑炸弹?如何预防逻辑炸弹攻击。什么是计算机蠕虫?什么是广告软件?如何预防?恶意软件和病毒有什么区别?2024年最危险的新计算机病毒和恶意软件Mac会被病毒攻击吗?计算机病毒是什么,如何工作?Stuxnet:它是什么以及如何工作?如何从Android手机中删除病毒宏病毒:它是什么,如何移除?蠕虫和病毒的区别是什么,重要吗?如何从Mac中删除病毒或其他恶意软件iPhone或Android手机会感染病毒吗?勒索病毒的基本指南什么是Ryuk勒索病毒?如何从Android设备中删除勒索病毒如何从iPhone或iPad中删除勒索病毒什么是CryptoLocker勒索病毒,如何删除?Cerber勒索病毒:你需要知道的一切什么是WannaCry?如何预防勒索病毒什么是Locky勒索病毒?什么是Petya勒索病毒,它为何如此危险?如何从Mac中删除勒索病毒如何从Windows 10、8或7中删除勒索病毒什么是Vishing?定义、攻击方法和预防如何识别和预防IP欺骗如何识别亚马逊网络钓鱼邮件并打击诈骗者什么是Pharming,如何保护自己?鱼叉式钓鱼:它是什么,如何避免?什么是电话号码伪装,如何阻止?什么是伪装,如何防范?如何识别和预防Apple ID钓鱼骗局10个Cash App骗局:如何识别迹象并安全发送资金什么是SIM换号攻击,如何防范?如何识别假短信:提示与实例如何避免亚马逊骗局Instagram网络钓鱼骗局如何识别与避免诈骗者如何识别与避免礼品卡骗局什么是恋爱骗局,如何避免?如何识别和防止技术支持诈骗如何报告网络诈骗与欺诈什么是诈骗?防止被骗的基本指南我的亚马逊账户是否被黑?有人能通过打电话或发短信入侵你的手机吗?数据包嗅探解析:定义、类型与保护我的Paypal账户是否被黑?如果我的Spotify账户被黑该怎么做如何判断手机是否被黑?什么是恶意双胞胎攻击,它是如何工作的?黑客类型:黑帽、白帽和灰帽黑客自动取款机刷卡:它是什么,如何识别?什么是分布式拒绝服务DDoS攻击,如何运作?什么是零日攻击?如何保护自己免受路由器黑客攻击漏洞:你需要了解的知识SQL注入:它是什么,如何工作,如何保持安全?什么是Meltdown和Spectre?什么是破解?是的,黑客行为什么是跨站脚本(XSS)?什么是黑客?什么是EternalBlue,MS17010漏洞如今依然相关吗?摄像头安全:如何防止你的摄像头被黑?什么是Cryptojacking,如何保护自己免受cryptomining恶意软件?什么是DNS投毒,如何保护你的数据?下载免费的网络安全软件什么是恶作剧事件,恶作剧如何执行?如何确保孩子在网上安全我的推特账户是否被黑?APKP的指南:它是否合法、安全吗?网络战争:类型、实例及如何避免受害什么是去中心化自治组织DAO?如何找到一个未知呼叫者的号码如何冻结或解冻信用每个人的网络安全顶级提示如何识别USPS短信骗局美国国税局身份保护PIN:它是什么,如何获取?什么是NFT,它是如何工作的?什么是钓鱼,如何识别钓鱼者?如果你的Instagram账户被黑该怎么做如何避免糖爹骗局什么是安全漏洞?Paypal安全吗?如何识别和避免9种Paypal骗局什么是网络跟踪,如何停止?什么是网络犯罪,如何预防?暴力破解攻击基本指南:定义、类型及预防网络欺凌:你需要了解的事情网络钓鱼的基本指南:如何运作,如何防御?双因素认证(2FA)是如何工作的?在Windows中为文件或文件夹设置密码保护的逐步指南如何选择最佳密码管理器如何创建强密码Windows密码恢复:如何重置遗忘的Windows密码什么是网络安全?IT灾难恢复计划什么是通配符证书,如何工作?业务连续性计划BCP:它是什么,该如何制定?OPSEC:它是什么,如何运作?什么是网络杀伤链,它如何运作?如何确保你的Facebook商业主页是安全的什么是数据泄露?什么是云安全?什么是服务器安全,为什么它重要?如何检查你的信用评分TLS解析:什么是运输层安全,它如何工作?NFTs初学者:如何制作自己的NFT什么是Rooting?Root Android设备的风险什么是越狱?是否安全?如何找到丢失或被盗的Android手机2024年最佳网络安全软件什么是防火墙,为什么你需要一个?网络安全:它是什么,如何在网上保护自己什么是渗透测试?阶段、方法和工具什么是加密,如何工作?什么是远程桌面?2024年Kaspersky防病毒软件的最佳替代品什么是端点检测和响应,它如何工作?Kaspersky在2024年是否安全?2024年最佳免费防病毒软件什么是MD5哈希算法,它如何工作?如何检测和移除键盘记录器如何从Mac上移除SpigotiPhone的最佳隐私和安全应用。如何检测和移除Android手机中的间谍软件如何使用Remove Viruses和其他恶意软件清除计算机如何从PC中删除间谍软件Windows Defender足够好吗?Mac安全:要点指南假应用:如何在为时已晚之前识别冒名顶替者

最新安全文章

[ ![](https//4650993fs1hubspotusercontentna1net/hubfs/4650993/NewAvastAcademy/What20is20Ransomware/WhatisRansomware