2020国内外重大网络攻击及敲诈勒索事件一览
更新时间:2020-05-06
浏览量:610

随着我国云计算、大数据、物联网、工业互联网、人工智能等新技术新应用大规模发展,极大便利生活的同时,受黑产利益驱使的黑客也将魔爪伸向了这里,网络空间威胁和风险日益增多。

 

根据《2019威胁态势分析》报告,到2021年,全球因为勒索攻击造成的损失将达到200亿美元,是2015年3.25亿美元的61倍之多,2019年中国的勒索病毒感染量已经跃居全球榜首,占总数的20%。此外,勒索病毒的发展将呈现多平台感染、产业化、针对性、创新性等特征,勒索软件即服务(Ransomware as a Service)正在成为黑产的重要模式之一。

 

可以说,网络攻击、黑客组织将会一直存在于网络世界中。下面,我们来看看近期国内外发生的网络攻击和勒索事件。

 

国内网络攻击事件

 

B站知名UP主“党妹”遭勒索攻击,数百G视频素材丢失损失惨重

4月27日,哔哩哔哩视频网站拥有五百万粉丝的UP主“机智的党妹”发布消息称,自己被黑客勒索了,根据她的介绍是因为自己的视频素材被黑客盗取,对方要求支付“赎金”才愿意将素材还回来。
 
在被攻击之前,公司的杀毒软件没有预警,黑客通过穷举法就轻松破译了他们的密码来获取权限,可以说公司的安全意识非常薄弱,没有任何安全防护措施,连IT人员都是现招的,这才给黑客有了可乘之机。
 
在勒索事件发生后,他们第一时间报警,但是因为视频素材的经济价值很难评估,最终无法立案。除非交够一定数额的赎金恢复数据,黑客还放狠话建议不要找数据恢复公司,否则有可能继续被勒索。据悉,2019年国外论坛某用户遭到此勒索病毒攻击花了3000美元才恢复了所有数据。
 

A股惊现庄家“盗号接盘”:多位股民账户异地清空

4月2日,多地投资者在同花顺的股票账户集体被盗,持仓股被清空后全仓买入了济民制药。第二天(4月3日),济民制药一字跌停,投资者蒙受了损失。
 
多个投资者表示,同花顺软件存在漏洞,异常登录未尽到核实、提醒义务。同花顺近日午间回复记者表示,与同花顺相关的内容完全与事实不符,部分投资者因为在炒股微信群里被骗或其他各种原因泄露了证券公司的交易账号和密码,导致盗买盗卖的发生,建议立即报警。
 

国内部分地区网络出现中间人攻击:GitHub、京东等被劫持

3月26日,据网友反馈有攻击者正在大规模的发起中间人攻击劫持京东和 GitHub 等网站,目前受影响的主要是部分地区用户,但涉及所有运营商。
 
此次攻击似乎与路由广播有关,通过骨干网络进行劫持 443端口,目前经测试 DNS 系统解析是完全正常的。
 
例如中国移动、中国联通、中国电信以及教育网均可复现劫持问题,而国外网络访问这些站点并未出现异常情况。
 
由于攻击者使用的自签名证书不被所有操作系统以及浏览器信任,因此用户访问这些网站时可能会出现安全警告。
 
从目前攻击情况来看此次发起攻击的黑客很可能是初学者,而攻击目的很有可能只是在测试但没想到规模如此大。
 

中毒新闻行动:黑客利用后门对香港iOS用户发起水坑攻击

 2月19日,安全研究人员发现了一个针对iOS用户的水坑攻击。其URL指向一个恶意网站,该网站具有指向不同站点的三个iframe。其中一个iframe可见,并指向合法的新闻网站,另一个iframe用于网站分析,而第三个则指向托管iOS漏洞利用主要脚本的网站。
 
攻击者通过在香港流行的论坛上发布诱饵式的头条新闻以传播恶意链接,这些链接会将用户引导到真实的新闻网站,但这些网站因为被注入了隐藏的iframe,用户访问后会加载并运行恶意软件。
 
此外,还发现了第二种水坑攻击:复制合法站点并注入iframe。该攻击似乎已于1月2日开始,持续到3月20日。但目前无法确定到这些网站的链接的分发位置。
 

新型“智能”僵尸网络已经入侵上千台华硕、D-Link路由器

近日,安全研究人员透露,在过去的三个月中,一个新的僵尸网络已经破坏了上千台ASUS、D-Link和Dasan Zhone路由器,以及诸如录像机和热像仪之类的物联网(IoT)设备。
 
该僵尸网络称为Dark_nexus,其技术和战术类似于以前的危险IoT威胁,例如Qbot银行恶意软件和Mirai僵尸网络。但是,Dark_nexus还配备了一个创新模块,用于实现持久性和检测逃避,研究人员说“该技术使其他[僵尸网络]感到羞耻”。
 

国外网络攻击事件

 

AMD下一代旗舰GPU源代码被盗,攻击者威胁索要1亿美元

近期,AMD芯片设计师透露,黑客窃取了即将推出的GPU源码,其中一些文件已经在网上发布。入侵者称已经拿到了包括Navi 10、Navi 21和Xbox Series X内的Arden GPU的源代码。GitHub已将文件撤下,嚣张黑客仍在叫卖源码。
 
黑客盗取源码后联系AMD,索要1亿美元赎金,扬言称如果不给钱,就“免费帮你给这三款GPU开源”。
 
这事儿发生在去年年底,AMD自然是不能答应的。黑客也是红脸儿女(汉)子,当即履行承诺,真就在GitHub上公布了部分代码,颇有点杀鸡儆猴的意味。AMD这才赶紧出来澄清说这都是些无关痛痒的代码呀,已经报警啦,并通过法律手段迫使GitHub紧急删掉了泄露的代码。
 

欧洲能源巨头遭勒索,用1000万欧元换10TB数据

近日,攻击者利用Ragnar Locker勒索软件袭击了葡萄牙跨国能源公司EDP(Energias de Portugal),并且索要1580的比特币赎金(折合约1090万美元/990万欧元)。对此,EDP尚未作出回复。
 
在这次攻击过程中,Ragnar Locker勒索软件的幕后黑手声称已经获取了公司10TB的敏感数据文件,如果EDP不支付赎金,那么他们将在公开泄露这些数据。
 

DarkHotel重现江湖,世界卫生组织遭遇黑客攻击

近日,据路透社报道,一个黑客组织于本月初袭击了WHO,试图从工作人员那里窃取密码。
 
WHO首席信息安全官弗拉维奥·阿吉奥(Flavio Aggio)告诉路透社,这项工作没有成功,黑客的身份未知。追踪可疑互联网域名注册活动的黑石法律集团网络安全专家兼律师亚历山大·乌贝利斯(Alexander Urbelis)向路透社报道了这种未遂黑客行为。
 
Urbelis表示,他是在3月13日前后发现这个活动的,当时他一直关注的一个黑客组织设置了一个模仿WHO内部电子邮件系统的恶意站点。
 

世卫组织疫情期间遭受五倍网络攻击,457个邮箱泄露已重置密码

当地时间4月23日,世界卫生组织(WHO)在官网发表声明,称疫情期间受到的网络攻击数量急剧增加,为去年同期的五倍。本周内,约有450个世卫组织及数千名相关工作人员的邮箱、密码遭到泄露。
 
SITE情报小组(一家专门监视在线极端主义和恐怖组织的机构) 最早发现了这些泄露数据。尽管无法验证真伪,但他们称,这批数据是上周日和周一放出的,并且几乎立刻就被黑客和极端分子利用了。
 
经过世卫组织核查,6835对邮箱和密码中,只有457对正在使用,暂时未被侵入。而且由于数据不是最近的,为旧系统中的数据,因此只会影响部分在职人员、退休人员和合作伙伴。
 

冠状病毒疫情爆发期间,黑客持续攻击美国公共卫生部门

据外媒报道,近日新型冠状病毒(COVID-19)在美国大爆发,美国公共卫生服务部(HHS)对冠状病毒的快速传播做出了部分关键应对措施。但在近日,美国重要公共卫生部门遭遇严重网络攻击,这促使国家安全委员会做出快速反应。
 
三名知情人士在接受彭博社采访时表示,截至目前出现了多起黑客事件,旨在减慢该部门网络系统应对疫情的运行速度。
 

德国政府遭COVID-19钓鱼攻击损失数千万欧元

近日据外媒报道,德国西部北莱茵威斯特法伦州政府在未能建立安全的网站分发冠状病毒紧急援助资金后遭遇钓鱼攻击,损失了数千万欧元。
 
据悉,网络犯罪分子创建了北威州经济事务部官方网站副本,随后他们使用电子邮件活动分发了指向该虚假网站的链接,吸引用户后并在用户注册时收集详细信息。随后,黑客代表真实用户向政府提出援助请求,但他们替换了要汇入资金的银行帐户。
 

欧洲刑警逮捕数个SIM交换黑客组织:涉嫌盗窃数百万欧元

据外媒报道,近日欧洲刑警在当地执法部门协同帮助下,于欧洲各地进行了一系列黑客逮捕行动,以打击流行的SIM卡交换攻击。
 
欧洲刑警主管的欧洲网络犯罪中心(EC3)联合西班牙国家警察和西班牙国民警卫队以“ Operation Quinientos Dusim”行动的名义在贝尼多姆、格拉纳达和巴利亚多利德逮捕了12名犯罪嫌疑人。同时,罗马尼亚和奥地利的执法部门在“Operation Smart Cash”行动下也逮捕了另外一个类似犯罪团伙的14名成员。
 
据悉,此次事件中的第一起黑客袭击是造成一系列SIM交换攻击中盗窃额超过300万欧元的罪魁祸首。随着人们的移动设备成为从社交媒体到银行帐户的所有内容中心枢纽,SIM卡交换攻击正在变得越来越普遍。
 

特斯拉、波音、SpaceX供应商遭勒索软件攻击

近日据外媒报道,总部位于科罗拉多州丹佛的精密零件制造商Visser Precision遭受勒索软件攻击。由于是特斯拉、波音、洛克希德·马丁公司和SpaceX等行业巨头的零件供应商,因此该事件引发了不小的震动。
 
黑客威胁说,如果Visser不支付赎金,它们就会泄漏与这些公司有关的敏感文件,并且已经泄漏了Visser Precision与特斯拉和SpaceX签署的保密协议。
 
Visser官方确认发生了“刑事网络安全事件”,可能导致未授权访问和盗窃公司敏感数据。Visser表示在公司业务正常运行的同时,已经开始进行全面的调查,以找出导致攻击的安全漏洞。
 
目前,尚不清楚黑客如何设法渗透到Visser的计算机网络,但据推测,他们窃取了Visser数据并加密了计算机以索取赎金。
 

写在最后

如今,地下网络犯罪经济正在经历工业化浪潮,前所未有地蓬勃发展。
 
网络犯罪已经成为一个巨大的“产业”,随着公司和消费者在数字世界投入数万亿美元,全球的犯罪分子都在积极进军网络。
 
世界经济论坛(WEF)的《2020年全球风险报告》指出,网络犯罪将是未来十年(至2030年)全球商业中第二大最受关注的风险。它也是最有可能发生的第七大、第八大风险,网络安全的赌注从未如此高。企业的收入、利润和品牌声誉都已“在线”;关键任务基础架构正面临威胁;各国之间正在相互进行网络战和网络间谍活动。
 
网络犯罪正在经历一次全球范围的工业化“革命”,网络犯罪组织们开始提供“正规”公司所做的一切:产品开发、技术支持、分销、质量保证甚至客户服务。网络犯罪分子抢劫然后出售新技术或秘密战略计划,这将使他们的买家在竞争者中占优势。黑客窃取军事机密、可再生能源创新知识产权等高价值信息。
 
英国国家网络安全中心(NCSC)强调指出,有组织的网络犯罪分子通过分工合作来实现平稳运营。有“团队负责人”负责协调工作,并负责保持法律上领先一步。他们拥有大数据专家来处理被盗数据,开发者负责编写和更改恶意代码,以及“入侵专家”负责感染并渗透目标公司。此外,“呼叫中心专员”冒充技术支持人员打电话给受害者,在受害者的计算机上安装恶意软件,此外还有“财务专家”帮助洗钱。
 
此外,网络犯罪比诸如抢劫银行等传统犯罪的风险更低。实际上,根据世界经济论坛的数据,在美国,逮捕网络犯罪分子并将其递交法庭的可能性低至0.05%。
 
最后,世界经济论坛指出,面对网络犯罪经济的“蓬勃发展”,组织的网络安全支出大大落后于网络威胁的增长速度。

随着我国云计算、大数据、物联网、工业互联网、人工智能等新技术新应用大规模发展,极大便利生活的同时,受黑产利益驱使的黑客也将魔爪伸向了这里,网络空间威胁和风险日益增多。

 

根据《2019威胁态势分析》报告,到2021年,全球因为勒索攻击造成的损失将达到200亿美元,是2015年3.25亿美元的61倍之多,2019年中国的勒索病毒感染量已经跃居全球榜首,占总数的20%。此外,勒索病毒的发展将呈现多平台感染、产业化、针对性、创新性等特征,勒索软件即服务(Ransomware as a Service)正在成为黑产的重要模式之一。

 

可以说,网络攻击、黑客组织将会一直存在于网络世界中。下面,我们来看看近期国内外发生的网络攻击和勒索事件。

 

国内网络攻击事件

 

B站知名UP主“党妹”遭勒索攻击,数百G视频素材丢失损失惨重

4月27日,哔哩哔哩视频网站拥有五百万粉丝的UP主“机智的党妹”发布消息称,自己被黑客勒索了,根据她的介绍是因为自己的视频素材被黑客盗取,对方要求支付“赎金”才愿意将素材还回来。
 
在被攻击之前,公司的杀毒软件没有预警,黑客通过穷举法就轻松破译了他们的密码来获取权限,可以说公司的安全意识非常薄弱,没有任何安全防护措施,连IT人员都是现招的,这才给黑客有了可乘之机。
 
在勒索事件发生后,他们第一时间报警,但是因为视频素材的经济价值很难评估,最终无法立案。除非交够一定数额的赎金恢复数据,黑客还放狠话建议不要找数据恢复公司,否则有可能继续被勒索。据悉,2019年国外论坛某用户遭到此勒索病毒攻击花了3000美元才恢复了所有数据。
 

A股惊现庄家“盗号接盘”:多位股民账户异地清空

4月2日,多地投资者在同花顺的股票账户集体被盗,持仓股被清空后全仓买入了济民制药。第二天(4月3日),济民制药一字跌停,投资者蒙受了损失。
 
多个投资者表示,同花顺软件存在漏洞,异常登录未尽到核实、提醒义务。同花顺近日午间回复记者表示,与同花顺相关的内容完全与事实不符,部分投资者因为在炒股微信群里被骗或其他各种原因泄露了证券公司的交易账号和密码,导致盗买盗卖的发生,建议立即报警。
 

国内部分地区网络出现中间人攻击:GitHub、京东等被劫持

3月26日,据网友反馈有攻击者正在大规模的发起中间人攻击劫持京东和 GitHub 等网站,目前受影响的主要是部分地区用户,但涉及所有运营商。
 
此次攻击似乎与路由广播有关,通过骨干网络进行劫持 443端口,目前经测试 DNS 系统解析是完全正常的。
 
例如中国移动、中国联通、中国电信以及教育网均可复现劫持问题,而国外网络访问这些站点并未出现异常情况。
 
由于攻击者使用的自签名证书不被所有操作系统以及浏览器信任,因此用户访问这些网站时可能会出现安全警告。
 
从目前攻击情况来看此次发起攻击的黑客很可能是初学者,而攻击目的很有可能只是在测试但没想到规模如此大。
 

中毒新闻行动:黑客利用后门对香港iOS用户发起水坑攻击

 2月19日,安全研究人员发现了一个针对iOS用户的水坑攻击。其URL指向一个恶意网站,该网站具有指向不同站点的三个iframe。其中一个iframe可见,并指向合法的新闻网站,另一个iframe用于网站分析,而第三个则指向托管iOS漏洞利用主要脚本的网站。
 
攻击者通过在香港流行的论坛上发布诱饵式的头条新闻以传播恶意链接,这些链接会将用户引导到真实的新闻网站,但这些网站因为被注入了隐藏的iframe,用户访问后会加载并运行恶意软件。
 
此外,还发现了第二种水坑攻击:复制合法站点并注入iframe。该攻击似乎已于1月2日开始,持续到3月20日。但目前无法确定到这些网站的链接的分发位置。
 

新型“智能”僵尸网络已经入侵上千台华硕、D-Link路由器

近日,安全研究人员透露,在过去的三个月中,一个新的僵尸网络已经破坏了上千台ASUS、D-Link和Dasan Zhone路由器,以及诸如录像机和热像仪之类的物联网(IoT)设备。
 
该僵尸网络称为Dark_nexus,其技术和战术类似于以前的危险IoT威胁,例如Qbot银行恶意软件和Mirai僵尸网络。但是,Dark_nexus还配备了一个创新模块,用于实现持久性和检测逃避,研究人员说“该技术使其他[僵尸网络]感到羞耻”。
 

国外网络攻击事件

 

AMD下一代旗舰GPU源代码被盗,攻击者威胁索要1亿美元

近期,AMD芯片设计师透露,黑客窃取了即将推出的GPU源码,其中一些文件已经在网上发布。入侵者称已经拿到了包括Navi 10、Navi 21和Xbox Series X内的Arden GPU的源代码。GitHub已将文件撤下,嚣张黑客仍在叫卖源码。
 
黑客盗取源码后联系AMD,索要1亿美元赎金,扬言称如果不给钱,就“免费帮你给这三款GPU开源”。
 
这事儿发生在去年年底,AMD自然是不能答应的。黑客也是红脸儿女(汉)子,当即履行承诺,真就在GitHub上公布了部分代码,颇有点杀鸡儆猴的意味。AMD这才赶紧出来澄清说这都是些无关痛痒的代码呀,已经报警啦,并通过法律手段迫使GitHub紧急删掉了泄露的代码。
 

欧洲能源巨头遭勒索,用1000万欧元换10TB数据

近日,攻击者利用Ragnar Locker勒索软件袭击了葡萄牙跨国能源公司EDP(Energias de Portugal),并且索要1580的比特币赎金(折合约1090万美元/990万欧元)。对此,EDP尚未作出回复。
 
在这次攻击过程中,Ragnar Locker勒索软件的幕后黑手声称已经获取了公司10TB的敏感数据文件,如果EDP不支付赎金,那么他们将在公开泄露这些数据。
 

DarkHotel重现江湖,世界卫生组织遭遇黑客攻击

近日,据路透社报道,一个黑客组织于本月初袭击了WHO,试图从工作人员那里窃取密码。
 
WHO首席信息安全官弗拉维奥·阿吉奥(Flavio Aggio)告诉路透社,这项工作没有成功,黑客的身份未知。追踪可疑互联网域名注册活动的黑石法律集团网络安全专家兼律师亚历山大·乌贝利斯(Alexander Urbelis)向路透社报道了这种未遂黑客行为。
 
Urbelis表示,他是在3月13日前后发现这个活动的,当时他一直关注的一个黑客组织设置了一个模仿WHO内部电子邮件系统的恶意站点。
 

世卫组织疫情期间遭受五倍网络攻击,457个邮箱泄露已重置密码

当地时间4月23日,世界卫生组织(WHO)在官网发表声明,称疫情期间受到的网络攻击数量急剧增加,为去年同期的五倍。本周内,约有450个世卫组织及数千名相关工作人员的邮箱、密码遭到泄露。
 
SITE情报小组(一家专门监视在线极端主义和恐怖组织的机构) 最早发现了这些泄露数据。尽管无法验证真伪,但他们称,这批数据是上周日和周一放出的,并且几乎立刻就被黑客和极端分子利用了。
 
经过世卫组织核查,6835对邮箱和密码中,只有457对正在使用,暂时未被侵入。而且由于数据不是最近的,为旧系统中的数据,因此只会影响部分在职人员、退休人员和合作伙伴。
 

冠状病毒疫情爆发期间,黑客持续攻击美国公共卫生部门

据外媒报道,近日新型冠状病毒(COVID-19)在美国大爆发,美国公共卫生服务部(HHS)对冠状病毒的快速传播做出了部分关键应对措施。但在近日,美国重要公共卫生部门遭遇严重网络攻击,这促使国家安全委员会做出快速反应。
 
三名知情人士在接受彭博社采访时表示,截至目前出现了多起黑客事件,旨在减慢该部门网络系统应对疫情的运行速度。
 

德国政府遭COVID-19钓鱼攻击损失数千万欧元

近日据外媒报道,德国西部北莱茵威斯特法伦州政府在未能建立安全的网站分发冠状病毒紧急援助资金后遭遇钓鱼攻击,损失了数千万欧元。
 
据悉,网络犯罪分子创建了北威州经济事务部官方网站副本,随后他们使用电子邮件活动分发了指向该虚假网站的链接,吸引用户后并在用户注册时收集详细信息。随后,黑客代表真实用户向政府提出援助请求,但他们替换了要汇入资金的银行帐户。
 

欧洲刑警逮捕数个SIM交换黑客组织:涉嫌盗窃数百万欧元

据外媒报道,近日欧洲刑警在当地执法部门协同帮助下,于欧洲各地进行了一系列黑客逮捕行动,以打击流行的SIM卡交换攻击。
 
欧洲刑警主管的欧洲网络犯罪中心(EC3)联合西班牙国家警察和西班牙国民警卫队以“ Operation Quinientos Dusim”行动的名义在贝尼多姆、格拉纳达和巴利亚多利德逮捕了12名犯罪嫌疑人。同时,罗马尼亚和奥地利的执法部门在“Operation Smart Cash”行动下也逮捕了另外一个类似犯罪团伙的14名成员。
 
据悉,此次事件中的第一起黑客袭击是造成一系列SIM交换攻击中盗窃额超过300万欧元的罪魁祸首。随着人们的移动设备成为从社交媒体到银行帐户的所有内容中心枢纽,SIM卡交换攻击正在变得越来越普遍。
 

特斯拉、波音、SpaceX供应商遭勒索软件攻击

近日据外媒报道,总部位于科罗拉多州丹佛的精密零件制造商Visser Precision遭受勒索软件攻击。由于是特斯拉、波音、洛克希德·马丁公司和SpaceX等行业巨头的零件供应商,因此该事件引发了不小的震动。
 
黑客威胁说,如果Visser不支付赎金,它们就会泄漏与这些公司有关的敏感文件,并且已经泄漏了Visser Precision与特斯拉和SpaceX签署的保密协议。
 
Visser官方确认发生了“刑事网络安全事件”,可能导致未授权访问和盗窃公司敏感数据。Visser表示在公司业务正常运行的同时,已经开始进行全面的调查,以找出导致攻击的安全漏洞。
 
目前,尚不清楚黑客如何设法渗透到Visser的计算机网络,但据推测,他们窃取了Visser数据并加密了计算机以索取赎金。
 

写在最后

如今,地下网络犯罪经济正在经历工业化浪潮,前所未有地蓬勃发展。
 
网络犯罪已经成为一个巨大的“产业”,随着公司和消费者在数字世界投入数万亿美元,全球的犯罪分子都在积极进军网络。
 
世界经济论坛(WEF)的《2020年全球风险报告》指出,网络犯罪将是未来十年(至2030年)全球商业中第二大最受关注的风险。它也是最有可能发生的第七大、第八大风险,网络安全的赌注从未如此高。企业的收入、利润和品牌声誉都已“在线”;关键任务基础架构正面临威胁;各国之间正在相互进行网络战和网络间谍活动。
 
网络犯罪正在经历一次全球范围的工业化“革命”,网络犯罪组织们开始提供“正规”公司所做的一切:产品开发、技术支持、分销、质量保证甚至客户服务。网络犯罪分子抢劫然后出售新技术或秘密战略计划,这将使他们的买家在竞争者中占优势。黑客窃取军事机密、可再生能源创新知识产权等高价值信息。
 
英国国家网络安全中心(NCSC)强调指出,有组织的网络犯罪分子通过分工合作来实现平稳运营。有“团队负责人”负责协调工作,并负责保持法律上领先一步。他们拥有大数据专家来处理被盗数据,开发者负责编写和更改恶意代码,以及“入侵专家”负责感染并渗透目标公司。此外,“呼叫中心专员”冒充技术支持人员打电话给受害者,在受害者的计算机上安装恶意软件,此外还有“财务专家”帮助洗钱。
 
此外,网络犯罪比诸如抢劫银行等传统犯罪的风险更低。实际上,根据世界经济论坛的数据,在美国,逮捕网络犯罪分子并将其递交法庭的可能性低至0.05%。
 
最后,世界经济论坛指出,面对网络犯罪经济的“蓬勃发展”,组织的网络安全支出大大落后于网络威胁的增长速度。