华清信安枢密院丨2022重大勒索攻击事件汇总！

近期勒索事件

意大利巴勒莫市遭勒索攻击

6月，Vice Society勒索软件组织声称对袭击意大利南部巴勒莫市的网络攻击负责，团伙声称从巴勒莫市窃取了数据，并威胁如果不支付赎金，将在周日之前公布这些数据。目前尚不清楚勒索软件团伙窃取了哪些数据，Vice Society 尚未发布任何此类数据的样本。为应对安全漏洞，该市的 IT 基础设施被迫关闭，给当地市民以及游客带来了巨大的影响。

Sispi (Palermo Innovazione System) 是负责巴勒莫市市政 IT 和远程信息处理系统技术管理的市政公司，几天后确认了勒索软件攻击，但此时并未确认数据泄露。这次袭击影响了市政警察、监控摄像头和 ZTL 交通控制系统，当局证实这些问题可能会持续数天。但该市政府宣布，人口服务会得到保障。

Vice Society 勒索软件自 2021 年 6 月以来一直活跃，研究人员认为它是HelloKitty 勒索软件的衍生产品 ，该恶意软件主要针对中小型受害者的 Windows 和 Linux 系统。

美林肯学院遭遇勒索攻击后关闭

据CNN报道，位于美国伊利诺伊州的林肯学院表示，在其成立157年之后，受新冠疫情和勒索软件攻击影响，学院决定将永久关闭。

林肯学院近年来遭受了财务困境，包括因新冠疫情而导致的捐赠基金缩水和入学率下降。然而，去年12月勒索软件团伙的网络攻击给学校带来了最后一击 。

该团伙的攻击加密了重要数据，限制了对学校数据的访问，使得2022年秋季入学变得非常困难，招聘和筹款工作所需的所有系统都无法运行。在不可避免的情况下，林肯学院决定于2022年5月13日关闭。

哥斯达黎加宣布进入国家网络安全紧急状态

2022年4月，哥斯达黎加遭 Conti 勒索攻击，政府和经济遭遇打击，其新任总统 Rodrigo Chaves 宣布进入国家网络安全紧急状态。

4月18日，哥斯达黎加金融部成为首个遭攻击目标，之后多个其它政府机构如劳工和社会保障部，科学、创新、技术和电信部，以及国家气象学院也遭攻击。财政部继攻击开始后就无法使用数字化服务。

据称，勒索团伙要求支付1000万美元，但哥斯达黎加并未同意。

英伟达遭黑客勒索，涉及1T机密数据

根据南美黑客组织LAPSU$表示，他们在对正式攻击英伟达之前已经在内部系统潜伏了一周之久，也已经获取了1TB的机密数据，包括未发布的40系列显卡的设计蓝图，驱动，固件，各类机密文档，SDK开发包，并对所有数据进行了备份。如果英伟达拒绝支付100万美元的赎金和一定比例的未指明费用，他们将在线泄露这些数据。

随后，LAPSU$泄露了英伟达71335名员工的电子邮箱和密码哈希值。据网站HIBP表示，其中不少内容已经被破解并在黑客社区内大肆传播。

印度航空公司SpiceJet遭勒索导致乘客滞留

据印度亚洲新闻国际通讯社25日报道，当地时间5月24日晚上，印度航空公司系统遭到勒索软件攻击，导致25日上午多个航班延误，数百名旅客滞留机场。

25日中午，该航空公司通过社交媒体账号发布通告，技术团队对系统进行了修复，航班已正常运转。不过，机场滞留旅客表示，机场地面工作人员告知服务器仍处于停用状态。一名机场滞留旅客说，其搭乘的航班原定于上午6时许起飞，但直到该航空公司发布通告后仍没收到起飞通知，等待的旅客们都十分煎熬。

普利司通公司遭受勒索软件攻击

2022 年 3 月 18 日星期五，普利司通报告称，其美国子公司之一已成功成为勒索软件的目标。该事件导致受影响设施的网络范围内关闭，并导致生产线停顿。

这次袭击的影响如此之大，以至于普利司通位于美国的制造工厂不得不停工近一周。

值得注意的是，这是一次具有针对性的攻击，在短时间内连续第三次攻击，目标是与丰田合作的子公司或供应商。在之前的两次袭击导致其他供应商的设施中断后，这家亚洲最大的汽车制造商遭受了供应链挫折。首先是对与丰田合作的零部件供应商 Kojima Industries 的袭击。仅仅几天后，另一家丰田供应商 Denso 遭到袭击。

勒索攻击防范手段

加强关键基础设施网络安全保护

近年来，勒索攻击的对象已由无差别攻击转为具有针对性的攻击基础设施、大型企业，大多数勒索攻击具有一定时间的潜伏期，最终通过企业薄弱网络发动攻击。企业可以通过完善网络安全建设，加强反勒索技术的研发与应用，进行反勒索专业培训提升企业网络安全能力。

加强人员防范意识

内部人员也是网络安全不稳定的主要因素之一，需要进行人员安全培训，提升网络攻击防范意识，尤其是针对勒索攻击的专业安全培训。

1）不要随意点击来源不明的网站和链接

2）不要随意点击未知邮件，不要随意点击未知邮件中的未知链接，不要随意下载未知邮件中的附件。

3）养成重要资料备份的习惯，一旦资料损坏可以及时找回。

4）U盘、硬盘等存储设备在使用时应先检测安全性。

5）企业安全防护软件的病毒库需要及时升级和定期更新，常用软件做好补丁。

6）在远程办公场景下，不要将桌面服务权限开放给公共网络。

重要数据定期备份

重要的企业文件、业务系统数据需要定期进行备份，并采取隔离措施，严格限制对备份设备和备份数据的访问权限，防止勒索攻击横移对备份数据进行加密。

定期进行对企业安全进行评估

可以通过渗透测试和漏洞扫描的手段对企业系统安全进行评估，及时修复企业存在的漏洞。

同时还需要对远程访问服务，关闭不必要的135、139、445等局域网共享端口。内部严格执行访问控制策略，限制远程访问管理，尤其是重要系统或数据的访问。

系统和安全设备及时升级更新

企业内部使用的重要系统及个人办公电脑系统，需要及时升级最新版本。防火墙、堡垒机等安全设备也需要及时升级更新。

TDR智能安全运营服务

华清信安TDR智能安全运营服务可以帮助企业实现网络安全建设降本增效。

安全提升 一站式安全能力

TDR智能安全运营服务整合多功能纵深安全防护体系、SOP安全运营中心和SRC安全响应中心，在提供NGFW、IPS、DDoS、WAF多重安全防护能力的基础上，支持集中安全审计和管控及全局安全态势感知，支持威胁情报预警，整合全流量分析和用户行为分析等技术，可以帮助企业快速建立检测-防护-监测-响应-管理的闭环安全运营体系，保障企业重要系统安全，解决企业的安全问题。

成本降低 节约部署和人力成本

TDR可以实现分钟级接入为企业提供一站式安全能力，企业无需花费大量时间进行部署。

TDR智能安全运营服务服提供7*24小时的安全专家人工监控服务。远程办公场景下，出现安全事件时，应急响应解决方案帮助企业有效应对突发攻击事件，安全专家进行专业处置。