超 20 亿美元,这是 2024 年一场勒索攻击企业带来的直接经济损失。然而,这场攻击的“代价”远不止于此。
这是真实发生在美国的事件。据安全内参消息,去年 2 月,美国医疗IT公司Change Healthcare遭受了勒索攻击,导致数字服务中断整整 9 个月,直至 2024 年 12 月,仍然有少量业务功能未恢复。
作为美国最 大的医疗支付处理公司之一,Change Healthcare每年处理约 150 亿笔交易,此次攻击不仅对其自身造成严重影响,还波及整个医疗行业,导致 1 亿人的数据泄露。公司CEO因此受到美国相关部门的质询。
事实上,类似的案例并不少见,以下是 2024 年相当代表性的六大勒索攻击事件。这些事件不仅揭示了勒索攻击的演变趋势和破坏力,也为企业和组织提供了警示:以古鉴今,防范于未然,通过总结教训,构建更强大的防御体系,才能在未来的网络威胁中立于不败之地。
2024 年六大勒索攻击事件盘点
1、“破纪录”的巨额赎金
2024 年初,一家全球财富 50 强的企业遭到了Dark Angels勒索软件团伙的攻击,并被迫支付了 7500 万美元(约合人民币5. 4 亿元)的巨额赎金。据悉,Dark Angels通过入侵企业网络,窃取了大量数据(有报道称为100TB1),并以此作为勒索筹码。他们要求该企业支付高额赎金以换取数据的安全。在面临数据泄露和可能造成的业务中断等严重后果的压力下,这家企业最终选择了支付赎金。据Zscaler ThreatLabz的报告以及加密情报公司Chainalysis的证实,这笔赎金高达 7500 万美元,创下了全球勒索赎金支付的历史纪录。
2 、重创金融机构
2024 年 1 月 8 日,美国最 大的零售抵押贷款机构之一LoanDepot遭遇了重大勒索软件攻击。此次攻击导致该机构的部分系统被迫下线,进而造成约 1660 万客户的敏感个人信息被盗,这些信息包括社会保障号码和金融账户号码等关键数据。攻击不仅使LoanDepot遭受了重大的数据泄露风险,还迫使其支付了高达 2690 万美元的补救、客户通知和法律费用。
3、零日漏洞被大规模利用
2024 年初,Ivanti产品中的一个关键零日漏洞被黑客组织大规模利用,这一漏洞影响了政府、军 事、电信、科技、金融等多个行业的客户。由于该漏洞的存在,黑客能够轻易地入侵受影响的系统,窃取敏感信息或进行破坏活动。对此,美国网络安全与基础设施安全局(CISA)紧急发布了指令,要求所有政府民用联邦机构立即修复这些漏洞,以防止进一步的攻击。
4、渗透关键基础设施
2024 年 1 月 31 日,美国司法部宣布禁用了数百个路由器,以遏制Volt Typhoon在通信、能源、交通和水务等关键部门的网络间谍活动。Volt Typhoon是一个高度隐蔽且破坏力极强的网络威胁组织,其通过渗透关键基础设施系统,窃取敏感信息并进行破坏活动。
5、带来的数据泄露风险
2024 年 5 月,澳大利亚医疗处方提供商MediSecure遭受了勒索软件攻击,导致 1290 万人的个人和健康数据被泄露。这次攻击不仅使MediSecure遭受了重大的数据泄露风险,还迫使其因未能获得政府资助应对此次事件而宣布进入自愿管理程序。
6、扰乱医疗服务
2024 年 6 月 3 日,英国NHS医院关键病理服务供应商Synnovis遭受了勒索软件攻击,导致数千次手术和预约被取消。攻击者Qilin团伙据称窃取了400GB的患者数据,影响了多个NHS信托基金的关键医疗服务。经过数月的恢复工作,NHS系统才于 10 月 11 日恢复正常。此次攻击不仅使NHS遭受了重大的业务中断风险,还对患者的健康和安全造成了潜在威胁。
勒索攻击的共同特点
这几起重大勒索攻击事件,尽管目标不同、手法各异,但展现出一些显著的共同点,尤其是在影响范围和行业冲击方面:
· 巨额经济损失:勒索攻击带来的直接和间接经济损失巨大。
· 关键行业成为主要目标:医疗、金融、能源、通信和制造业等关键行业频繁遭受攻击。
· 大规模数据泄露:几乎所有攻击都伴随着大规模数据泄露,加剧了数据泄露风险。
· 攻击手段复杂化:攻击手段越来越复杂、高 级,勒索组织如Dark Angels、Qilin等呈现出高度组织化和专业化的特点。
· 全球化趋势:勒索攻击的范围已扩大至全球。
反勒索思维:化被动为主动
面对日益复杂的勒索攻击,企业不仅需要加强防护措施,更需要具备“反制”思维。瑞数信息强调,建立一套完整的“反勒索体系”比单纯建设防护措施更为重要。需要公司由上而下对勒索攻击有抵御能力,对勒索攻击有及时认知和应对能力。
一、反勒索体系构建:反制思维+技术联防
1、建立反勒索思维
在网络安全领域,有一个说法是“三分靠技术,七分靠管理。”而这里的管理,其实就是强调企业在组织架构层面就需要建立“反制“思维,从策略层面构建多层次的防御体系。
●建立反勒索思维:企业应从组织架构层面建立“反制”思维,构建多层次的防御体系。定期进行安全意识培训和模拟演练,帮助员工识别钓鱼邮件、虚假消息等常见攻击手段,减少人为失误。
●制定应急响应计划:基于企业原有的业务连续性计划(BCP)或业务连续性管理体系(BCM),将勒索事件的管理纳入体系框架中,明确各部门的职责和应对流程,确保在遭受攻击时能够快速响应,最 大限度地减少业务中断和数据损失。
2、建立“有韧性”的技术防线
· 全面防护:安全防护需要从边界到内部核心的全面覆盖。在构建全面、立体的勒索事件管理体系,同步构建反制能力,即从技术层面提升防御能力,这也是反勒索解决方案的核心所在。瑞数信息的数据安全检测与应急响应系统(DDR)通过行为分析与AI检测,实时监控用户行为,识别异常操作,动态调整防护策略,应对不断变化的攻击手段。
· 数据备份与加密:DDR通过定期备份关键数据,并将备份数据存储在隔离的环境中,企业可以在遭受攻击时快速恢复业务。同时对敏感数据进行加密,即使数据被窃取,攻击者也无法轻易解密,从而降低数据泄露的风险。
· 威胁情报共享:瑞数信息帮助企业及时获取最 新的攻击手法和漏洞信息,提前部署防护措施。这种基于行业情报的预警机制,能够有效提升企业的主动防御能力。
瑞数数据安全检测与应急响应系统(DDR)通过事前、事中和事后的数据安全闭环防护体系,可对结构化数据和非结构化数据实现细粒度勒索加密检测,及时识别勒索事件,准确定位被加密数据,快速响应恢复,并确保恢复数据的完整性,缩小勒索事件的影响范围,确保企业数据安全。
二、“反勒索”化被动为主动,让“黑手”无处遁逃
瑞数信息反勒索方案的核心价值在于通过有效、完善的方案,企业能够实现实时监测、准确识别和防御,让隐藏的攻击“黑手”无所遁形,确保在攻击发生前有效遏制威胁,大幅降低业务损失,帮助企业从被动响应转向主动防御。
展望未来
勒索攻击手段仍将持续演变,攻击者将不断寻找新的突破口。企业若想在这样复杂的网络环境中保持安全,必须持续更新安全策略,构建动态适应、智能进化的防御体系。
而未来的企业安全体系,不仅需要具备检测和防御能力,更需要自适应学习和自动响应能力,以应对更加复杂的威胁模式。
可以预见,反勒索体系将成为企业安全战略的核心基石,为数字化业务的持续发展提供坚实支撑。