二十一世纪的第一个十年即将过去,在过去十年里有哪些重要网络安全事件发生,小编带大家一起来回顾一下。
我们见证了过去十年,大量的数据泄露、黑客攻击、民族国家之间的间谍行动、几乎不间断的金钱利益网络犯罪以及让系统崩溃的恶意软件,这些安全事件不绝于耳。下文按时间顺序列举了2010年以来的重大网络安全事件。以史为镜可以知兴替,我们不必沉溺于过去重大的数据泄露事件或者黑客行动,而是更应该专注他们的技术,从这些技术中去预见未来网络安全趋势,让专家对网络安全领域范式转变有所了解。
“震网”是一种由美国和以色列联合研发的计算机蠕虫病毒,目的在于破坏伊朗的核武器计划。
该蠕虫病毒专门用于销毁伊朗在其核燃料浓缩过程中使用的SCADA设备。此次攻击成功破坏了伊朗多地的SCADA设备。尽管在2010年以前国家之间会采取其他手段进行相互的网络攻击,但“震网”是第一个震惊世界的网络安全事件,从单一的信息数据窃取到实际的物理设施的破坏,这标志着进入了网络战的新阶段。
鲜为人知的是,即使是网络巨头的Google也曾遭遇后端基础设施的网络攻击。这是后来被称为 “极光行动”的网络安全事件,遭受攻击的除了Google外,还有20多家公司,其中包括Adobe Systems、Juniper Networks、Rackspace、雅虎、赛门铁克、诺斯洛普·格鲁门和陶氏化工等。“极光行动”攻击实际发生在2000年代,但是在2010年初才被发现。
在2010年至2015年之间,一组织五名东欧男子入侵了几家新闻通讯社并窃取了即将发布的新闻稿。该组织利用他们获得的内幕信息来预测股市的变化,并进行了净赚超过1亿美元的交易。美国司法部(DOJ)和美国证券交易委员会(SEC)得知后于2016年开始严厉打击该组织成员。
LulzSec组织对如今黑客活动的影响不容忽视。该组织喜欢入侵知名公司,然后在互联网上炫耀自己的成就。他们开展 “LulzSec的50天”活动以及进行其他攻击行为,如今也有一群模仿LulzSec吸引眼球的的黑客团体,例如蜥蜴队,新世界黑客,TeaMp0isoN,CWA等。但是,LulzSec仍然是其他人中的佼佼者,这主要是因为它们攻击的对象较为知名,比如Fox,HBGary,PBS,CIA和Sony等。
DigiNotar黑客事件是2011年以来鲜为人知的事件,最终改善了浏览器、证书颁发机构(CA)和互联网的工作方式。
2011年,人们发现伊朗黑客入侵了荷兰CA供应商DigiNotar,并使用其设备来发行SSL伪造证书,包括Google和Gmail在内的流行网站。然后,伊朗黑客利用证书拦截了加密的HTTPS流量,并监视了30多万名伊朗人。
一项调查揭露了这家荷兰公司的令人震惊的安全事件和商业行为,它发行的证书被众多浏览器开发商和操作系统开发商宣布为“不受信任”。这次黑客攻击使Google,浏览器制造商和其他科技巨头更为警惕,随后对颁发SSL / TLS证书的整个过程进行了全面改革。DigiNotar黑客事件之后制定的许多程序沿用至今。
在2011年春季,索尼宣布黑客窃取了7700万PlayStation 网络用户的详细信息,其中包括个人身份信息和财务详细信息。如今,这个数字似乎微不足道,但是在当时这是世界上最大的黑客事件之一。
对于索尼来说,这次事件是灾难性事件。为了工程师能够修复安全漏洞,该公司不得不关闭PlayStation网络,时长达23天。迄今为止,这仍然是PSN历史上最长的一次修复期。该公司由于断网而亏损。但安全事件接踵而来,一些用户开始注意到信用卡欺诈之后,提起了集体诉讼。然后,该公司为用户提供大量免费的PlayStation 3游戏重新吸引客户,但这让他们损失更多。
索尼PSN 2011黑客事件引人注目,是因为它表明,如果一家公司没有适当的安全投资,黑客可能造成的损失远远是你所无法想象的。另外一个原因在于,从它之后开始出现一种趋势,即公司开始新增服务条款,迫使用户在安全事件后放弃其提起诉讼的权利。索尼并不是第一个使用这样的条款的人,但是从那之后开始流行起来,许多其他公司也添加了类似的条款。
Shamoon(也称为DistTrack)源自伊朗,是一种恶意软件,可以认为是两年前震网攻击的直接结果。伊朗掌握了破坏性恶意软件的第一手资料后,创建了自己的“网络武器”,该网络武器于2012年首次部署。
该恶意软件主要用于清除数据,Shamoon摧毁了沙特阿拉伯国家石油公司沙特阿美网络上的35,000多个工作站,使该公司瘫痪了数周之久。当时有报道称,沙特阿美尽可能地购买了世界上大部分硬盘,用来替换被感染的PC机群。尽管供应商努力满足市场需求,但这依然导致了硬盘驱动的价格上涨。
随后几年发现了该恶意软件的变体,主要部署在活跃的或与石油和天然气行业相关的公司中。
卡巴斯基(Kaspersky)发现了Flame恶意软件,与Equation Group(美国国家安全局的代号)有关。Flame被认为是有史以来最先进、最复杂的恶意软件。
当卡巴斯基在2014年两年后找到Regin(恶意软件)时,虽然更复杂的恶意软件已经出现,但Flame的发现揭示了美国网络武库与其他国家组织使用的工具之间的技术和能力差距。
《华盛顿时报》随后的报道称,Flame和震网一样,属于同一批黑客工具,主要是针对伊朗部署的。此后一直未发现该恶意软件,但它仍被认为是当今世界范围内网络间谍活动的重点防范对象。
斯诺登泄密事件可能是十年来最重要的网络安全事件。该事件暴露了美国及其“五眼联盟”在911袭击后建立的全球监视网络。
斯诺登事件使俄罗斯和伊朗等国家纷纷成立自己的监视部门,并加强了外国情报收集工作,从而导致整个网络间谍活动的增加。
目前,许多国家乐于吹捧诸如“国家互联网”或“互联网主权”之类的概念,以合理化对其公民的监视和网络的审查。这一切都始于2013年斯诺登向全世界揭露了国家安全局的黑幕。
2013年12月,零售业巨头Target承认POS系统中植入的恶意软件已帮助黑客收集了大约4000万用户的支付卡详细信息,这使得POS恶意软件一词为人知晓。
以前曾发生过POS恶意软件的事件,但这是大型零售商首次数据泄露规模如此之大。其他零售商将在接下来的几年中紧随其后,通过持续的报道,全世界将发现黑客如何在称为“卡店”的网站上交易被盗卡,以创建克隆卡和空用户的银行帐户。
2013年11月,Adobe承认黑客窃取了超过1.53亿用户的数据。数据被在线转储,用户密码几乎被立即破解并恢复为纯文本格式。多年来,此事件敦促着人们采用强密码哈希功能。
由Tor托管的用于销售非法产品的暗网市场“丝绸之路”于2013年被取缔,这是对暗网市场的首次打击案例。这向世界证明了法网恢恢,疏而不漏。 “丝绸之路”倒台后,其他暗网市场如雨后春笋般冒出,但都存活不长。他们中的大多数要么自动消失(管理员卷钱跑路),要么就是被执法部门取缔。
“Have I Been Pwned?”网站于2013年12月启动,其成立理念是为用户提供一种简单的方法来检查他们是否受Adobe数据泄露的影响,如今它已成为一个自己的品牌。
该网站允许用户查看其用户名或电子邮件是否包含在泄露的数据中。目前,该网站包含来自410多个被黑客入侵过的网站的数据库,以及超过90亿个帐户的信息。这个网站部署在Firefox,密码管理器、公司后端,甚至某些政府系统中。该网站由澳大利亚安全专家Troy Hunt管理,为改善全球组织的安全状况做出了巨大贡献。
2014年索尼影视娱乐公司被黑客入侵,朝鲜黑客首次曝光,而且为人所知的是,他们还很擅长黑客入侵技术。发动此次攻击的黑客自称“和平卫士”(后来被称为Lazarus Squad),他们与朝鲜的情报机构有关。
黑客入侵的目的是迫使制公司放弃发行一部名为《面试》的电影,这部喜剧片讲述了对朝鲜领导人金正恩的暗杀阴谋。黑客破坏了公司的内部网络,并在网上泄露了数据和私人电子邮件。
索尼事件仅仅是由小规模的黑客发起的,但这让世界上的网络安全公司了解到朝鲜的黑客能力,并在接下来的几年中针对许多其他安全事件提倡学习朝鲜黑客的洞察力来做好网络安全防护。
在此事件发生之前,朝鲜黑客主要入侵其南部居民。继奥巴马总统实施黑客攻击和制裁之后,他们的黑客攻击活动遍及全球,朝鲜成为当今最活跃的网络间谍和网络犯罪参与者之一。
迄今为止,网络安全公司以Celebgate(也称为The Fappening)为例进行鱼叉式网络钓鱼的课程训练,并且告诉员工当用户不注意密码重置电子邮件的有效性时产生的后果。
早在2014年,少数黑客发送了针对名人的虚假密码重置电子邮件,诱骗明星在钓鱼网站上输入Gmail或iCloud密码。黑客使用这些凭据访问帐户,查找色情或裸露的图片和视频,然后在网上传播。其他“ Fappening”浪潮在之后的几年也有发生,但是首次事件发生在2014年夏天。
多年来,专家和用户都认为,寻求金钱的黑客通常会盯着消费者、商店零售商或公司。然而,关于Carbanak(也称为Anunak或FIN7)的报告表明首次发现直接从银行盗取金钱的黑客组织。
卡巴斯基实验室(Kaspersky Lab),Fox-IT和Group-IB的报告显示, Carbanak组织非常先进,它可以渗透银行的内部网络,隐藏数周或数月,然后通过SWIFT银行交易或协调的ATM提款。据统计,该组织总共从被黑的银行中窃取超过10亿美元,是迄今为止窃取金额数量最高的黑客组织。
Mt. Gox并不是世界上第一个被黑客入侵的加密货币交易所,但它至今仍是加密货币生态系统中最大的网络攻击受害者。然而,发动攻击的黑客却依然是个谜,在2014年初,85万个比特币被盗,如今价值已超过63亿美元。当时,Mt. Gox是世界上最大的加密货币交易所。
发生此事件后,黑客意识到他们可以通过交易平台来赚取巨额利润,因为和传统的银行相比,其安全保护能力较弱。在随后的几年中,又发生了数以百计的类似的黑客事件,但Mt. Gox仍旧是引发此类事件大幅增加的主因。
2014年夏天,黑客主义者Phineas Fisher首次曝光,他喜欢入侵从事间谍软件和监视工具生产的公司。他在2014年入侵了Ghack Group,在2015年入侵了Gamma Group。他还在网上公布了从这两家公司获取的间谍软件工具的内部文档和源代码,甚至是一些0day漏洞。
Phineas公布的文件和代码暴露了公司向世界各国政府出售间谍软件和监视工具的黑幕。虽然说有一些工具可以用来抓捕罪犯,但其中有一些是与专制政权有关的,这些专制政权领袖用间谍软件来监视持不同政见者、新闻记者和政治反对派。
OpenSSL中的Heartbleed漏洞是罕见的安全漏洞之一。攻击者可以利用该漏洞从公共服务器检索加密密钥,这些密钥可用于解密流量或在安全性差的系统上进行身份验证。
该漏洞在公开披露后的几天内就被利用,并从2014年以后引发了一系列黑客攻击。尽管反复警告,一些服务器运营商仍未及时修补其OpenSSL漏洞。在公开披露之时,约有50万台互联网服务器易受攻击,而有些一旦遭到入侵则需要花费数年来修复。
在过去的十年中,有成千上万的数据泄露事件,若提及最为重要的数据泄露事件,当选Ashley Madison数据泄露事件。
该事件发生在2015年7月,当时一个自称为Impact团队的黑客组织发布了Ashley Madison的内部数据库,Ashley Madison是一家专门为已婚人士提供交友、约会服务的社交网站。
如今,大多数泄露的是用户在二十一世纪初注册的用户名和密码,用户自己甚至都已经不记得了。但Ashley Madison数据泄露事件的影响却远不止于此,该事件泄露了很多人的隐私。
在该网站上注册的用户面临勒索威胁,甚至有用户因为数据被公开后自杀。这是少数直接导致人们死亡的网络安全事件之一。
两种黑客入侵事件均在2015年曝光,Anthem发生在2月,美国人事管理办公室(OPM)事件发生在6月。黑客从Anthem窃取了7880万条医疗记录,窃取了美国政府工作人员的2150万条记录。
SIM交换是一种策略,在这种策略中,黑客致电移动电信公司并诱使移动运营商将受害者的电话号码转移到攻击者控制的SIM卡上。关于首次使用SIM交换的攻击报道可追溯到2015年。最初,黑客利用SIM交换攻击重置社交媒体帐户上的密码,劫持受欢迎的用户名并在网上转售。
后来黑客逐渐意识到,他们还可以使用该技术来访问加密货币或银行帐户,从而从中窃取大量资金,SIM卡交换攻击变得越来越流行。从那时起,这项技术变得越来越普遍,由于美国电信公司同意用户在不亲自到店的情况下迁移用户的电话号码,因此相比于世界上大部分地区而言,最容易受到攻击。
2015年也是DDoS勒索流行的一年。该技术是由DD4BC小组首创并广泛传播,该组织将电子邮件发送给以比特币付款的公司,否则他们将通过DDoS攻击来攻击公司的基础设施并破坏关键服务。
欧洲刑警于2016年初逮捕了这个组织的成员,但是DD4BC的作案手法被一个自称为Armada Collective的组织抄袭,于是这种做法传播得更为普遍。DD4BC和Armada Collective在2015和2016年首次使用的策略至今仍在使用,这是当今许多DDoS攻击的核心,并且让某些攻击目标进入修复期。
2015年12月,黑客对乌克兰电网的网络攻击造成了乌克兰西部大规模停电,这是有史以来首次成功利用网络操控电网的案例。
在此次攻击中,黑客使用了一种名为Black Energy的恶意软件,第二年(2016年12月)又进行了类似的攻击。甚至在第二次攻击中使用了一种更复杂的恶意软件,称为Industroyer,使乌克兰首都五分之一居民缺乏电源供应。
虽然震网和Shamoon是针对工业目标的首批网络攻击,但乌克兰的两起事件却是影响普通大众的首例,使人们了解到网络攻击可能对一个国家的关键基础设施构成的危险。
在俄罗斯于2014年初入侵克里米亚半岛之后,这两次攻击只是俄罗斯黑客针对乌克兰进行一系列黑客攻击的序幕。其他网络安全事件包括2017年的NotPetya和Bad Rabbit勒索软件逐渐爆发。
攻击背后的组织被称为“沙虫”,被认为是俄罗斯军事情报机构的一部分。由在线安全编辑Andy Greenberg撰写的《Sandworm》一书详细地介绍了该组织的黑客行为。
2016年2月,黑客企图从孟加拉国一家银行窃取10亿美元,但因打字错误,最终只窃取8100万美元。
最初,大家以为这是一个入侵技术较为拙劣的黑客,但后来发现,这是朝鲜的精英黑客发动的,他们是企图进行网络抢劫的幕后黑手。总体而言,孟加拉银行的黑客活动对银行业产生了巨大影响。黑客入侵导致SWIFT(用于在不同银行之间转移资金的国际交易系统)进行了全面的安全更新。其次,SWIFT组织还禁止朝鲜使用其系统,这一决定影响深远。
这两个决定共同推动平壤的黑客们将目标转向加密货币交易所,据称他们从那里窃取了数亿美元的资金,随后朝鲜政府用这笔钱来筹备其核武器计划。
2016年4月,一个知名调查记者团队发布了名为《巴拿马文件》的广泛大篇幅报道,这些报道揭露了包括商人,名人和政治人物在内的世界上的富人们如何利用避税港的特权来逃税。
此次报道被认为在同类事件中影响最大,而文章素材主要来自巴拿马的Mossack Fonseca律师事务所。虽然记者说他们收到的是匿名数据,但许多人认为是黑客利用WordPress和Drupal网站中的漏洞访问事务所内部网络而窃取的数据。
在2016年春季,民主党全国委员会承认遭受黑客入侵,因自称为Guccifer 2.0开始发布从该组织服务器窃取的电子邮件和文档。通过电子取证,后来发现DNC不仅只被一个黑客入侵,而是两个俄罗斯网络间谍组织,即Fancy Bear(APT28)和Cozy Bear(APT29)。
黑客入侵期间窃取的数据是用于精心策划的情报行动,目的是影响即将举行的美国总统大选。很难判定整个事情成功与否,但也有人认为是成功的。黑客入侵时常发生,常常是一波未平一波又起。
2016年对雅虎来说是极其糟糕的一年。该公司在四个月的时间里宣布了两起数据泄露事件,包括后来证明是互联网历史上最大的一起数据泄露事件。
两起事件以一种奇怪的方式相互关联。以下是事件发生的时间线:
2016年7月,一名黑客开始在暗网上出售Yahoo用户数据。
2016年9月,雅虎在调查黑客售卖用户数据是否属实时,发现并披露了2014年发生的一起数据泄露事件,该事件波及了5亿用户。
雅虎将这一泄密行为归咎于“国家黑客”,最终证明确实如此。 2017年,美国当局指控是俄罗斯政府要求黑客入侵了雅虎的网络。
具有讽刺意味的是,在调查2014年的数据泄露事件时,雅虎还追踪到在暗网上出售的用户数据的来源。
这可以追溯到2013年的一次安全漏洞,最初雅虎表示该漏洞影响了10亿用户。 2017年,雅虎将数据更新为30亿,成为有史以来影响范围最大的数据泄露事件。
雅虎的两次泄密事件只是2016年公开的少数泄密事件中的一部分,但是2016年却可以被称为“数据泄露年”。在这一年,受到新旧漏洞影响的公司包括:Twitter,LinkedIn,Dropbox,MySpace,Tumblr,Fling.com,VK.com,OK.ru,Rambler.ru,AdultFriendFinder,Badoo,QIP等。
暴露了超过22亿条用户记录,并且大多数记录都在黑客论坛和黑暗的网络市场上出售。大多数泄密是因为Peace_of_Mind,Tessa88和LeakedSource等数据贩子才被发现的。
在2016年8月至2017年4月之间,一群自称“影子经纪人”的黑客在网上调侃,拍卖甚至公布了由Equation Group(美国国家安全局(NSA)的代号)开发的网络攻击工具。
这些网络攻击工具极其先进,一经公布便掀起轩然大波。最后一次影子经纪人泄漏工具后的一个月,其中一种工具(利用Microsoft SMB协议漏洞,称为永恒之蓝)成为驱动WannaCry全球勒索软件爆发的主要引擎。时至今日,影子经纪人的幕后黑手依然没有找到。
2016年9月上旬一篇博客文章介绍了Mirai,这是一种Linux恶意软件,用于入侵路由器和智能物联网设备。在未来三个月内,黑客利用Mirai发起一些大规模的DDoS攻击后,它成为世界上最著名的恶意软件之一。
Mirai的源代码在网上公开,是当今最广泛的恶意软件家族之一。大多数IoT / DDoS僵尸网络是基于Mirai的源代码开发出来的。Mirai让人们开始关注物联网安全。
提及2017年的勒索软件爆发事件,其中三起不得不提,包括五月中旬爆发的WannaCry,六月下旬爆发的NotPetya和十月下旬爆发的Bad Rabbit。这三种勒索软件都是政府支持黑客开发的,却是出于不同的原因。
WannaCry由朝鲜黑客开发,旨在感染公司并勒索赎金,这是为受制裁的平壤政权筹集资金做准备,而NotPetya和Bad Rabbit是被用来破坏乌克兰业务的网络武器,是俄罗斯和乌克兰之间冲突下的成果。
这些组织并没有料想到会引发全球勒索软件的爆发。但问题在于,他们利用影子经纪人之前公布的永恒之蓝,在当时他们并不是非常了解这个漏洞,而这种勒索软件的危害也让开发者始料未及。
具有讽刺意味的是,尽管NotPetya和Bad Rabbit是由俄罗斯开发,但最终给俄罗斯企业造成的损失是最大的。
Vault7事件是维基解密较为正面的一次数据泄露。它是一批描述中央情报局网络武器的文件。Vault7从未包含任何源代码。但是,这次泄漏使人们对CIA的技术能力有所了解,其中包括用于入侵iPhone、计算机操作系统、主流浏览器、甚至是智能电视的工具。当时,维基解密表示它从举报人那里收到了Vault7数据宝库,后来披露该举报人名为Joshua Adam Schulte。
往常来说,系统管理员对于暴露在网上的数据库不设密码。在2017年黑客开始将目光转向这样的公司了。MongoDB 启示录,始于2016年12月下旬,但于次年一月开始激增,黑客访问数据库,删除内容并留下赎金记录,要求使用加密货币才返还(不存在)数据。
第一波攻击针对的是MongoDB服务器,但后来黑客又扩展到其他数据库技术,例如MySQL,Cassandra,Hadoop,Elasticsearch,PostgreSQL等。到年底,攻击逐渐减少,但新的问题接踵而至,即配置错误的数据库依然在网上不受保护。
2017年年底,一类新的安全研究人员产生,称为“漏洞搜寻者”,即那些寻找开放数据库并联系泄密企业的群体,让企业知道他们的敏感信息已经被泄露了。在随后的几年中,大多数安全漏洞和数据泄露事件是由 “漏洞搜寻者”发现的,而不是黑客在入侵后将其数据公开而得知。
2017年的黑客从Equifax公司的系统中窃取了超过1.455亿美国人,英国人和加拿大人的个人详细信息。但至今Equifax黑客仍然是个谜。
尽管进行了事后调查,并且知道是因为公司未能修复服务器严重漏洞引起的,但仍然不可知的是入侵的幕后黑手及其动机。无论是谁攻击了美国三大消费者信用报告机构之一的都可以跻身十年榜单。
加密劫持的兴衰可以直接与Coinhive相关联。Coinhive是一项网络服务,可以通过JavaScript挖掘加密货币,并可以作为一个文件添加到任何网站。
黑客组织将密码劫持脚本放置在可以运行JavaScript的任何位置,比如感染网站、视频游戏模块、路由器控制面板、浏览器扩展等。
从2017年9月到2019年3月, Coinhive关闭,加密劫持(也称为偷渡挖矿)依然是互联网用户的祸害,减慢了浏览器的速度,并导致了CPU使用率的增长,即使该技术并非特别有利可图。
2018年之前,大多数对Facebook有意见的人经常抱怨其时间轴算法会将朋友的帖子埋在无用的信息堆里或缓慢加载的UI之下。Cambridge Analytica事件发生在2018年初,这也揭露了人们讨厌社交网络及其囤积数据做法的真实原因。这起丑闻只是未来几个月内发生的众多丑闻之一,揭露了数据分析公司如何滥用Facebook容易获取的用户数据来创建个人资料,然后将其出售给政党,以影响公众舆论和操纵选举。
在许多人看来,Facebook已经从和朋友保持联系的地方变成了充斥着伪装成互联网模因的政治宣传和伪装成新闻报道的虚假信息的地方。
Meltdown和Spectre漏洞的详细信息于2018年1月2日首次公开,它们暴露了大多数CPU的硬件中存在的一个问题,该问题可能使黑客能够窃取CPU内部当前正在运行的数据。
尽管这两个漏洞并不是最容易利用的漏洞,也没有任何攻击报告,但Meltdown&Spectre暴露了一个事实,即许多CPU制造商以数据安全换取速度和性能。即使有人仍然将这两个漏洞称为“特技黑客”,他们从根本上改变了如今的CPU设计和制造方式。
自2016年以来就发生了Magecart攻击(也称为网络掠夺或电子掠夺),但到2018年,攻击愈演愈烈,英国航空公司、Newegg、Inbenta等纷纷报告了Magecart引人注目的黑客攻击。
这些攻击背后的原理很简单,但费解的是为何花了这么多年才流行。黑客会破坏网上商店,并留下记录支付卡信息的恶意代码,然后将这些信息发送回攻击者的服务器。
最初的Magecart攻击已经出现了几种变体,但自2018年初以来,Magecart攻击无疑是当今最严重的网络威胁之一,并一直在困扰网购者,许多人无法辨别网店安全与否。
除了ATM分离 和POS恶意软件外,Magecart攻击是当今网络犯罪分子获取人们财务数据的主要方法。
虽然不及雅虎的30亿美元那么大,但由于其庞大的规模,万豪数据泄露事件也受到了人们的关注。该漏洞于2018年11月披露,影响了超过5亿客户,该公司在完成调查后的几个月后将这一数字降低到3.83亿。就像在大多数情况下一样,事后分析显示,用普通的技术和工具就破坏了公司的网络,而这些手段本来可以很容易地发现和预防的。
尽管勒索软件在2010年以来一直存在,但新型勒索软件”Big game hunting”在2019年尤其活跃。
“Big game hunting”是指攻击者仅针对大型目标(例如公司网络)而不是针对像家庭用户那样小规模群体研发的勒索软件。黑客可以向目标企业索取更多资金,而不仅是损失用户信息。
“Big game hunting”一词是CrowdStrike在2018年提出的,用于描述几个勒索软件帮派的策略,目前从事该策略的团体数量已超过十个。
“Big game hunting”勒索软件攻击在2019年激增,攻击最多的是托管服务提供商,美国学校,美国地方政府,最近又转移到了欧洲的大型公司。
在2019年成名的黑客是Gnosticplayers,他模仿2016年的Peace_of_Mind和Tessa88的作案手法,入侵了公司,并开始在黑暗的网络市场上出售其数据。
Gnosticplayers影响的公司包括Canva,Gfycat,500px,Evite等。黑客声称总共为超过45起入侵事件和数据泄露负责,影响了超过10亿用户。
2019年7月披露的Capital One事件影响超过1亿的美国人和600万的加拿大人。
通过该漏洞泄露的数据并未在网上公开共享,因此,大多数数据被盗的用户很可能是安全的,但是该事件依然为人关注。一项调查显示,事件背后的黑客嫌疑人是一名前Amazon Web Services员工,被指控非法访问Capital One的AWS服务器检索数据以及其他30家公司的数据。
调查仍在进行中,如果事实确实如此,则会为组织引入新的威胁类别,即为供应链提供商工作的恶意内部人员。
*参考来源:ZDnet,Sandra1432编译,转载请注明来自FreeBuf.COM