港口被黑、财政数据失窃…2022年全球关基设施屡遭勒索软件蹂躏

美国国土安全部部长表示，勒索软件攻击将继续增加，因为网络犯罪分子已经建立起有效的商业模式。

1月5日消息，全球超级港口之一、葡萄牙最大港口里斯本港当地官员确认，由于遭受网络攻击，港口网站一周后仍无法正常访问。大约在同一时间，LockBit团伙将里斯本港列入其网站已勒索名单，声称发动了勒索软件攻击。

新闻报道称，里斯本港务局（APL）证实，本次攻击并未损害其关键基础设施的运营。攻击发生后，港务局已将事件上报至国家网络安全中心和司法警察局。

港口官员在采访中表示，“针对此类事件规划的各项安全协议和响应措施都已迅速启动。里斯本港务局与各主管部门长期保持密切合作，共同保障系统和相关数据的安全。”

LockBit勒索软件团伙声称，窃取到了财务报告、审计、预算、合同、货物信息、船舶日志、船员详细信息、客户PII（个人身份信息）、港口文件、往来邮件等数据。该团伙还公布了被盗数据样本，但披露数据的合法性无法得到验证和证实。

LockBit威胁称，若里斯本港不满足赎金要求，他们将在2023年1月18日公布入侵期间窃取到的所有数据。该团伙提出的赎金数额为150万美元，并表示受害者可以先支付1000美元，将数据发布时间延后24小时。

 年底勒索软件团伙愈加猖獗

上个月，LockBit勒索软件团伙袭击了美国加利福尼亚州财政部，并窃取到76 Gb数据。该团伙威胁称，如果受害者不在2022年12月24日前支付赎金，将泄露窃取数据内容。根据声明，LockBit在此次攻击中窃取到数据库、机密数据、财务文件、认证、法庭与性诉讼资料、IT文件等信息。

加州财政部在声明中确认了此次攻击事件，称“加利福尼亚州网络安全集成中心（Cal-CSIC）正积极应对涉及州财政部的网络安全事件。通过与州及联邦安全合作伙伴共同协调，已主动发现了入侵行为。在识别出威胁后，已迅速部署数字安全与在线威胁搜寻专家以评估入侵程度，同时检查、遏制和缓解未来漏洞。”

以往，黑客团伙曾多次在勒索要求未得到满足下公开数据内容。2022年10月，新闻报道称Hive勒索软件的勒索即服务（RaaS）团伙就泄露了从印度塔塔电力能源公司窃取到的数据。两周前，该黑客团伙对外声称对塔塔电力网络攻击事件负责，塔塔电力也做出证实。

已有研究表明，LockBit 3.0似乎采用（或大量借鉴）了BlackMatter勒索软件家族提出的概念和技术。研究人员从二者间发现了诸多相似之处，有强烈迹象表明LockBit 3.0复用了BlackMatter的代码。

 过去一年全球关基设施屡遭勒索攻击蹂躏

里斯本港勒索攻击事件是针对欧洲港口一系列严重网络攻击的又一起事件。

2022年2月，网络攻击影响到整个欧洲的多家石油运输和储存企业，当局确认这波大规模网络攻击还波及到比利时、德国和荷兰的港口设施。比利时SEA-Invest和荷兰Evos的IT系统遭到破坏；与此同时，有未经证实的报道称，BlackCat勒索软件可能已破坏了德国石油供应商Oiltanking GmbH Group和Mabanaft Group的系统。

2022年11月，美国国土安全部部长Alejandro N. Mayorkas在参议院国土安全和政府事务委员会就“对国土的威胁”问题作证时称，截至2022年2月，网络安全与基础设施安全局、联邦调查局和国家安全局发现，美国16大关键基础设施行业中有14个都曾遭受勒索软件事件影响。受害者在2021年上半年共支付约5.9亿美元赎金，远高于2020年全年的4.16亿美元。

Mayorkas表示，“我们认为对于勒索软件事件的报告仍严重不足。根据评估，我们认为针对美国网络的勒索软件攻击在短期和长期内还将继续增加，因为网络犯罪分子已经建立起有效的商业模式，能够提高攻击活动的经济收益、成功几率和匿名性。”

近年来，勒索攻击事件在美国各州、地方、部落和领土（SLTT）政府机构及关键基础设施组织层面已愈发普遍。2020年，全美勒索攻击提出的赎金总额超过14亿美元。

参考资料：

industrialcyber.co

原文来源：安全内参

“投稿联系方式：孙中豪 010-82992251 sunzhonghao@cert.org.cn”