2022上半年十大网络攻击事件

01 勒索凶猛！美国数千家公司工资难以发放

1月，专门提供劳动力与人力资本管理解决方案的美国克罗诺斯（Kronos）公司私有云平台遭勒索软件攻击至今已一月有余，但混乱仍在数百万人中蔓延。美国纽约城区超过两万名公共交通从业人员、克里夫兰市公共服务部门工作人员、联邦快递和全食超市员工以及全美各地大量医疗人员等均未能逃脱。

克罗诺斯母公司UKG集团（Ultimate Kronos Group）宣称，受攻击系统有望于1月底恢复正常运营，但客户却对此信心不足。有客户表示，即使系统按时恢复，公司面临的繁重工作也不会随之结束——在服务中断的一个月甚至更长时间里，账务和人事部门均积累了大量记录和报告，必须以手工形式录入克罗诺斯系统。此举甚至有可能导致W-2及其他税务信息的延迟发布。

克利夫兰市首席人力资源官保罗・帕顿（Paul Patton）无奈地表示，“我只能说勒索软件攻击的时间点选择非常敏感。年终岁尾，税务部门和普通民众都非常关心他们的账单，但（克罗诺斯）却瘫痪了。”为纠正本市8000余名公务人员的薪酬差错，克利夫兰专门设立了一间由行政工作人员组成的“作战室”。但帕顿认为效果并不明显，因为要做的工作太多了。

02 葡萄牙全国大面积断网：因沃达丰遭破坏性攻击

2月8日，国际电信巨头沃达丰的葡萄牙公司表示，由于遭受了一大波“以损害与破坏为目的的蓄意网络攻击”，其大部分客户数据服务被迫下线。

该公司的4G与5G移动网络、固话语音、电视、短信及语音/数字应答服务目前仍处于离线状态。

这是沃达丰葡萄牙公司迄今为止处理过的最大规模网络安全事件。沃达丰在葡萄牙拥有超过400万手机用户、340万家庭和企业互联网用户，此次网络攻击造成了大规模的网络中断问题。

03 乌克兰政府和银行网站又遭大规模网络攻击被迫关闭

2月23日，乌克兰境内多个政府机构（包括外交部、国防部、内政部、安全局及内阁等）以及两家大型银行的网站再次沦为DDoS攻击的受害者。

专注监测国际互联网状态的民间组织NetBlocks还证实，乌克兰最大银行Privatbank、国家储蓄银行（Oschadbank）的网站也在攻击中遭受重创，目前与政府网站一同陷入瘫痪状态。

乌克兰国家特殊通信与信息保护局（SSCIP）表示，“部分政府与银行机构网站再度遭受大规模DDoS攻击，部分受到攻击的信息系统已经宕机，或处于间歇性不可用状态。”

目前，该部门与他国家网络安全机构“正在努力应对攻击，收集并分析相关信息。”

04 南非公民征信数据全泄露

3月，美国征信巨头TransUnion的南非公司遭巴西黑客团伙袭击，5400万消费者征信数据泄露，绝大多数为南非公民，据了解南非总人口约6060万人；

黑客团伙透露，通过暴力破解入侵了一台存有大量消费者数据的SFTP服务器，该服务器的密码为“Password”。

05 勒索软件攻击已造成国家危机

自4月17日Conti勒索软件攻击爆发以来，已至少影响了哥斯达黎加27个政府机构，其中9个受到严重影响，如征税工作受阻碍、公务员工资发放金额错乱等；

哥国新任总统日前表示，有证据显示，国内有内鬼配合勒索软件团队敲诈政府，这场危机是政府多年未投资网络安全的苦果；

安全专家称，这些犯罪团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。

06 意大利多个重要政府网站遭新型DDoS攻击瘫痪

意大利安莎通讯社报道称，当地时间5月11日，意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击，网站无法访问至少1个小时，受影响的还有国际空间站、国家卫生研究所、意大利 汽车 俱乐部等机构的网站。

亲俄黑客团伙Killnet声称对本次攻击负责。此前，他们还曾先后对罗马尼亚门户网站、美国布拉德利国际机场发动过类似攻击。

作为对意大利DDoS攻击新闻报道的回应，Killnet团伙在Telegram频道上发布消息称，未来可能将出现进一步攻击。

07 亲俄黑客组织Killnet宣布对美欧十国政府发动网络战

亲俄罗斯黑客组织Killnet于5月16日宣布，该组织并未对欧洲歌唱大赛发起网络攻击，意大利警方宣称成功阻止网络攻击的说法是错误的。该组织同时宣布将对美国、英国、德国、意大利、拉脱维亚、罗马尼亚、立陶宛、爱沙尼亚、波兰和乌克兰政府发起网络战，声称选择上述国家的原因是其支持“纳粹”和“俄罗斯恐惧症”。

Killnet专门从事分布式拒绝服务（DDoS）攻击，通过大量请求来瘫痪服务器。该黑客组织近期多次对意大利、罗马尼亚、波兰、德国、捷克、拉脱维亚等国政府和其他网站发起网络攻击。

08 俄最大银行遭到最严重DDoS攻击

5月19日，俄罗斯最大银行Sberbank（联邦储蓄银行）官网披露，在5月6日成功击退了有史以来规模最大的DDoS攻击，峰值流量高达450 GB/秒。

次日，普京召开俄罗斯联邦安全会议，称正经历“信息空间战争”。他提出了三项关键任务，以确保俄关键信息基础设施安全。

此次攻击Sberbank主要网站的恶意流量是由一个僵尸网络所生成，该网络包含来自美国、英国、日本和中国台湾的27000台被感染设备。

Sberbank副总裁兼网络安全主管Sergei Lebed称，网络犯罪分子利用各种策略实施网络攻击，包括将代码注入广告脚本、恶意Chrome扩展程序，以及被DDoS工具武器化的Docker容器等。

Lebed表示，他们在过去几个月内检测到超过10万名网络犯罪分子对其展开攻击。仅在3月，他们就记录到46次针对Sberbank不同服务同步发动的攻击活动，其中相当一部分攻击利用到在线流媒体与观影网站的流量。

09 最强间谍软件：难以防范的国家安全威胁

接连曝光的事件引发对监控软件使用的广泛争议。在全球开展的飞马项目调查显示，目前已在世界各地发现超过 450 起疑似飞马入侵事件，受害者分布普及世界各地，包括不少国家的领导人。

目前飞马软件已被美国商务部列入黑名单，正在接受欧洲议会委员会的调查。频发曝光的飞马入侵事件突显出间谍软件构成的国家安全威胁。

10 网络攻击致使 汽车 租赁巨头全球系统中断，业务陷入混乱

5月5日Sixt公司表示，他们4月29日（周五）在IT系统上检测到可疑活动，并很快确认自己遭受到网络攻击。部分业务系统被迫中断，运营出现大量技术问题；公司的客户服务中心和部分分支机构受影响较大，大多数 汽车 预定都是通过笔和纸进行的，服务热线短时离线后恢复，业务陷入混乱。

总部宣称“根据公司的标准防范措施，我们立即限制了对IT系统的访问，同时启动了预先规划好的恢复流程。”但IT系统被限制访问，导致了Sixt公司的客户、代理和业务点发生业务中断。

公司称，此次攻击对公司运营与服务的影响已经被降至最低。据猜测，此次攻击可能属于勒索软件攻击，目前暂时没有相关组织表示负责。

勒索病毒对手机上网有没有什么影响9669手游网

wanacry”勒索病毒主要针对Windows操作系统的用户(包含家庭电脑)主要感染以学校，机场，企业，医疗机构等大型用户。全球范围内尚未出现手机系统遭受感染的案例，手机用户避免高危操作即可。同时Apple针对本次勒索病毒推出了iOS10.3.2加固iOS系统。iPhone/iPad用户可选择性更新。

因为:

腾讯安全反病毒实验室负责人马劲松表示，手机上确实也出现过类似勒索病毒，但并没有证据证实跟这次勒索病毒事件有关系。也就是说，WannaCry病毒基于Windows系统传播，智能手机并不会受到影响。不过，如果把手机当作存储器去连接了感染此次勒索病毒的电脑，那可能会造成手机内SD卡的损坏。

敲诈者木马本身没什么不一样，但是Wana系列敲诈者木马的传播渠道是利用了445端口传播扩散的SMB漏洞MS17-101，微软在17年3月发布了该漏洞的补丁。2017年4月，黑客组织Shadow Brokers公布的Equation Group（方程式组织）使用的“网络军火库”中包含了该漏洞的利用程序，而该勒索软件的攻击者或者攻击组织就是在借鉴了“网络军火库”后进行了这次全球大规模的攻击，主要影响校园网，医院、事业单位等内网用户。

wanacry勒索软件主要针对Windows PC用户。

勒索软件入侵什么系统

自2005年以来，勒索软件已经成为最普遍的网络威胁。根据资料显示，在过去11年间，勒索软件感染已经涉及超过7694到6013起数据泄露事故。多年来，主要有两种勒索软件：基于加密和基于locker的勒索软件。加密勒索软件通常会加密文件和文件夹、硬盘驱动器等。而Locker勒索软件则会锁定用户设备，通常是基于Android的勒索软件。新时代勒索软件结合了高级分发技术(例如预先建立基础设施用于快速广泛地分发勒索软件)以及高级开发技术(例如使用crypter以确保逆向工程极其困难)。此外，离线加密方法正越来越流行，其中勒索软件利用合法系统功能(例如微软的CryptoAPI)以消除命令控制通信的需要。Solutionary公司安全工程及研究小组(SERT)的Terrance DeJesus探讨了这些年以来勒索软件的发展史以及亮点。AIDS Trojan第一个勒索软件病毒AIDS Trojan由哈佛大学毕业的Joseph L.Popp在1989年创建。2万张受感染的软盘被分发给国际卫生组织国际艾滋病大会的与会者。该木马的主要武器是对称加密，解密工具很快可恢复文件名称，但这开启了近30年的勒索软件攻击。Archievus在第一款勒索恶意软件出现的近二十年(17年)后，另一种勒索软件出现。不同的是，这个勒索软件更加难以移除，并在勒索软件历史上首次使用RSA加密。这个Archiveus Trojan会对系统中“我的文档”目录中所有内容进行加密，并要求用户从特定网站来购买以获取密码解密文件。Archiveus也是第一个使用非对称加密的勒索软件辩题。2011年无名木马在五年后，主流匿名支付服务让攻击者更容易使用勒索软件来从受害者收钱，而不会暴露自己身份。在同一年，与勒索软件木马有关的产品开始流行。一款木马勒索软件模拟用户的Windows产品激活通知，告知用户其系统的安装因为欺诈需要重新激活，并定向用户到假的在线激活选项，要求用户拨打国际长途。该恶意软件声称这个呼叫为免费，但实际呼叫被路由到假冒的接线员，并被搁置通话，导致用户需要承担高额国际长途电话费。Reveton名为Reveton的主要勒索木马软件开始在整个欧洲蔓延。这个软件是基于Citadel Trojan，该勒索软件会声称计算机受到攻击，并被用于非法活动，用户需要使用预付现金支付服务来支付罚款以解锁系统。在某些情况下，计算机屏幕会显示计算机摄像头记录的画面，让用户感觉非法行为已被记录。此事件发生后不久，涌现很多基于警察的勒索软件，例如Urausy和Tohfy。研究人员在美国发现Reveton的新变种，声称需要使用MoneyPak卡向FBI支付200元罚款。Cryptolocker2013年9月是勒索软件历史的关键时刻，因为CryptoLocker诞生了。CryptoLocker是第一款通过受感染网站下载或者发送给商务人士的电子邮件附件形式的加密恶意软件。CryptoLocker感染快速蔓延，因为威胁着利用了现有的GameOver Zeus僵尸网络基础设施。在2014年的Operation Tovar终止了GameOver Zeus Trojan和CryptoLocker活动。CryptoLocker利用AES-256lai加密特定扩展名的文件，然后使用命令控制服务器生成的2048位RSA密钥来加密AES-256位密钥。C2服务器位于Tor网络，这让解密很困难，因为攻击者将RSA公钥放在其C2服务器。攻击者威胁称如果在三天内没有收到钱他们将删除私钥。Cryptodefense在2014年，CryptoDefense开始出现，这个勒索软件利用Tor和Bitcoin来保持匿名，并使用2048位RSA加密。CryptoDefense使用Windows内置加密CryptoAPI，私钥以纯文本格式保存在受感染计算机—这个漏洞当时没有立即发现。CryptoDefense的创造者很快推出改名版CrytoWall。与CryptoDefense不同，CryptoWall不会存储加密密钥在用户可获取的地方。CryptoWall很快广泛传播，因为它利用了Cutwail电子邮件活动，该活动主要针对美国地区。CryptoWall也通过漏洞利用工具包来传播，并被发现是Upatre活动中下载的最后有效载荷。CryptoWall有过多次有效的活动，都是由相同的攻击者执行。CryptoWall展现出恶意软件开发的进步，它可通过添加额外的注册表项以及复制自身到启动文件夹来保持持续能力。在2015年，网络威胁联盟公布覆盖全球的CryptoWall活动，金额达到3.25亿美元。Sypeng和KolerSypeng可被认为是第一款锁定用户屏幕并显示FBI处罚警告消息的基于Android的勒索软件。Sypeng通过短消息中假的Adobe Flash更新来传播，需要支付MonkeyPak 200美元。Koler勒索软件与Sypeng非常类似，它也是用假冒警察处罚，并要求MoneyPak支付赎金。Koler被认为是第一个Lockerworm，因为它包含自我繁殖技术，它可发送自定义消息到每个人的联系人列表，指引他们到特定网址再次下载勒索软件，然后锁定其系统。CTB-Locker和SimplLocker与过去其他变体不同，CTB-Locker直接与Tor中C2服务器通信，而不是具有多层基础设施。它也是第一个开始删除windows中Shadow Volume副本的勒索软件变体。在2016年，CTB-Locker更新为针对目标网站。SimplLocker也在2014年被发现，它被认为是第一款针对Android移动设备的基于Crypto的勒索软件，它会简单地加密文件和文件夹，而不是锁定用户手机。LockerPin在去年9月，一款侵略性Android勒索软件开始在美国各地蔓延。ESET安全研究人员发现第一个可重置手机PIN以永久锁定设备的真实恶意软件，被称为LockerPin，该恶意软件会修改受感染设备的锁屏Pin码，让受害者无法进入屏幕。LockerPin随后需要500美元来解锁设备。勒索软件即服务(RaaS)在2015年开始出现，这些服务通常包含用户友好型勒索软件工具包，这可在黑市购买，售价通常为1000到3000美元，购买者还需要与卖方分享10%到20%的利润。Tox通常被认为是第一款以及最广泛分布的RaaS工具包/勒索软件。TeslaCryptTeslaCrypt也出现在2015年，这可能将是持续威胁，因为开发人员制作出四个版本。它首先通过Angler漏洞利用工具包来分发，随后通过其他来分发。TeslaCrypt利用AES-256来加密文件，然后使用RSA-4096来加密AES私钥。Tor内的C2域被用于支付和分发。在其基础设施内包含多层，包括代理服务器。TeslaCrypt本身非常先进，其包含的功能可允许在受害者机器保持灵活性和持久性。在2016年，TeslaCrypt编写者将其主解密没有交给ESET。LowLevel04和ChimeraLowLevel04勒索软件在2015年被发现，主要瞄准远程桌面和终端服务。与其他勒索软件活动不同，攻击者通过远程手动进行，他们远程进入服务器、绘制内部系统。在这种情况下，攻击者被发现会删除应用、安全和系统日志。Chimera勒索软件在2015年年底被发现，它被认为是第一款doxing勒索软件，它会威胁称在网上公开发布敏感或私人文件。Chimera使用BitMessage的P2P协议用于进行C2通信，这些C2只是Bitmessage节点。Ransom32和7ev3nRansom32被认为是第一个使用JavaScript编写的勒索软件。该恶意软件本身比其他软件要大，达到22MB，它使用NW.js，这允许它处理和执行与其他C++或Delphi编写的勒索软件相类似的操作。Ransom32被认为具有革命性，因为它理论上可在多个平台运行，例如Linux、Mac OSX以及windows。7ev3n勒索软件在过去几个月中开始引起大家关注。在13 bitcoin，它可能是索要赎金最高的勒索软件。7ev3n勒索软件不仅执行典型的加密再勒索，它还会破坏windows系统。该恶意软件开发人员似乎很大程度侧重于确保7ev3n可破坏任何恢复加密文件的方法。7ev3n-HONE$T随后被发布，降低了赎金要求并增加了一些有效的功能。Locky在2016年，EDA2和Hidden Tear的恶意软件编写者在GitHub公开发布了源代码，并声称这样做是出于研究目的，而那些很快复制改代码并做出自定义更改的攻击者导致大量随机变体出现。臭名昭著的Locky勒索软件也在2016年被发现，Locky快速通过网络钓鱼活动以及利用Dridex基础设施传播。Locky也因为感染美国多个地区的医院而登上新闻头条。攻击者很快发现受感染医疗机构快速支付赎金，从而导致包含勒索软件下载的网络钓鱼电子邮件在医疗行业广泛传播。SamSamSamSam或者SAMAS勒索软件被发现专门分发给易受攻击的JBoss服务器。起初，攻击者会通过JexBoss工具对JBoss服务器执行侦查，随后利用漏洞并安装SamSam。与其他勒索软件不同，SamSam包含一个通道，让攻击者可实时通过.onion网站与受害者通信。KeRanger第一个正式基于Mac OSX的勒索软件KeRanger在2016年被发现，它通过针对OSX的Transmission BitTorrent客户端来交付。该勒索软件使用MAC开发证书签名，让其可绕过苹果公司的GateKeeper安全软件。PetyaPetya在2016年开始流行，它通过Drop-Box来交付，并改写受感染机器的主启动记录(MBR)，然后加密物理驱动器本身。它在加密驱动器时还是用假冒的CHKDISK提示。如果在7天内没有支付431美元赎金，支付费用将会翻一倍。Petya更新包含第二个有效载荷，这是Mischa勒索软件变体，而它没有加密硬盘驱动器。MaktubMaktub也是在2016年被发现，它表明勒索软件开发人员在试图创建非常先进的变体。Maktub是第一个使用Crypter的勒索软件，这是用来隐藏或加密恶意软件源代码的软件。Maktub利用windows CryptoAPI执行离线加密，而不是使用C2来检索和存储加密密钥。JigsawJigsaw勒索软件在勒索信息中包含SAW电影系列中流行的Jigsaw人物，它还威胁称如果没有支付150美元的赎金将会每隔60分钟删除一个文件。此外，如果受害者试图阻止进程或重启电脑，将删除1000个文件。CryptXXX在2016年5月底，CryptXXX是被广泛分发的最新勒索软件辩题。研究人员认为它与Reveton勒索软件变体有关，因为在感染阶段有着类似的足迹。CryptXXX通过多种漏洞利用工具包传播，主要是Angler，并通常在bedep感染后被观察到。它的功能包含但不限于：反沙箱检测、鼠标活动监控能力、定制C2通信协议以及通过TOR付款。ZCryptor微软发表文章详细介绍了一种新型勒索软件变体ZCryptoer。除了调整的功能(例如加密文件、添加注册表项等)，Zcryptoer还被认为是第一个Crypto蠕虫病毒。它通过垃圾邮件分发，它有自我繁殖技术来感染外部设备以及其他系统，同时加密每台机器和共享驱动器。勒索软件的未来?专家预测我们在2016年还将继续观测到多个新变种，在这些变种中，可能只有少数会带来很大影响—这取决于恶意软件编写者以及涉及的网络团伙。现在勒索软件编写者还在继续其开发工作，更新预先存在的勒索软件或者制造新的勒索软件，我们预测，增强灵活性和持久性将会成为勒索软件标准。如果勒索软件具有这种能力，这将会是全球性的噩梦。根据最近使用crypter的勒索软件表明，勒索软件编写者知道很多研究人员试图逆向工程其软件，这种逆向工程和分析可能导致勒索软件开发人员改进其勒索软件变体。

勒索病毒会攻击哪些系统

只要是win系统都有可能被感染，windows用户不幸遭受wanacry勒索病毒攻击目前解决办法如下:(无论如何切勿支付赎金，有大量证据表明即使支付赎金文件也无法解密。)

windows用户可以通过格式化所有硬盘从而彻底在设备上消除wanacry勒索病毒。

个人用户可以联系国内外安全厂商例如:奇虎360，金山毒霸，卡巴斯基，麦克菲尔，腾讯安全管家等安全中心寻求协助恢复重要数据。

利用“勒索病毒免疫工具”进行修复。用户通过其勒索软件攻击对系统的影响他电脑下载腾讯电脑管家“勒索病毒免疫工具”离线版，并将文件拷贝至安全、无毒勒索软件攻击对系统的影响的u盘勒索软件攻击对系统的影响；再将指定电脑在关闭wifi，拔掉网线，断网状态下开机，并尽快备份重要文件勒索软件攻击对系统的影响；然后通过u盘使用“勒索病毒免疫工具”离线版，进行一键修复漏洞；联网即可正常使用电脑。

利用“文件恢复工具”进行恢复。已经中了病毒的用户，可以使用电脑管家-文件恢复工具进行文件恢复，有一定概率恢复您的文档。

注意:也可持续关注相关安全厂商的处理办法，等待更加优越的完美解锁。

深度解读“勒索病毒”到底是什么？有什么危害？怎么防御

WannaCry（又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播  。

说白了这个病的就是利用Win7的445端口的漏洞攻击你的电脑，危害就是：当用户主机系统被该勒索软件入侵后，弹出如下勒索对话框，提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名被统一修改为“.WNCRY”。目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

防御很简单：

打上微软2017年3月份出的补丁

不打开来历不明的文件和上不明的网站

勒索软件影响多个国家，它到底是怎样的一种病毒

勒索软件：是一种特殊的恶意软件，又被人归类为“阻断访问式攻击”（denial-of-access attack），其与其他病毒最大的不同在于手法以及中毒方式。其中一种勒索软件仅是单纯地将受害者的电脑锁起来，而另一种则系统性地加密受害者硬盘上的文件。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权，或是取回受害者根本无从自行获取的解密密钥以便解密档案。勒索软件通常通过木马病毒的形式传播，将自身为掩盖为看似无害的文件，通常会通过假冒成普通的电子邮件等社会工程学方法欺骗受害者点击链接下载，但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在联网的电脑间传播。你可以360卫士进行防御，有专门针对他的方法