年复一年,日复一日,不仅威胁的总数在增加,威胁态势也变得更加多样化,攻击者也在不断开发新的攻击途径并尽力在攻击过程中掩盖踪迹。从Facebook数据泄露和万豪酒店5亿用户开房信息挂在暗网销售、“老当益壮”的WannaCry继续作恶并且传播速度更快的Satan等勒索软件大肆传播,到花样百出的APT攻击行为迅速增长,2018年给我们敲响了另一记警钟,即数字安全威胁可能来自意想不到的新途径。

2018安全事件盘点:数据泄露史无前例,勒索软件改行挖矿!-浩海云安全中心

纵观去年的网络安全整体态势,数据泄露事件最为触目惊心,全年的漏洞采集数量也达到历年的高峰,勒索软件也大有向挖矿的转型之势。

数据泄露事件爆炸式上升

数字化变革技术正在重塑组织机构的经营方式,并将它们带入一个数据驱动的世界,但是企业急于拥抱数字化新环境的做法也带来了更多被攻击的新风险,需要企业采取数据安全控制措施来加以防范。

经Verizo调查,今年已经发生了5.3万多起安全事件,其中2216起被确认为数据泄漏事件。另外,在这5万多起安全事件中,有4.3万起(81.1%)都是黑客通过窃取身份凭证来实现的。这也证实了一个普遍的观点:盗用身份凭证仍然是黑客最常用、也是最有效的攻击和破坏手段。

年度数据泄露事件盘点

1. Facebook数据泄露

事件回顾:虽然Facebook数据泄露量不如后面的那些公司高,但其次数和影响非常深远。一家第三方公司通过一个应用程序收集了5000万Facebook用户的个人信息,由于5000万的用户数据接近Facebook美国活跃用户总数的三分之一,美国选民人数的四分之一,波及的范围非常大。后来,5000万用户数量上升至8700万。今年9月,Facebook爆出,因安全系统漏洞而遭受黑客攻击,导致3000万用户信息泄露。其中,有1400万人用户的敏感信息被黑客获取。这些敏感信息包括:姓名、联系方式、搜索记录、登陆位置等。

12月14日,又再次爆出,Facebook因软件漏洞可能导致6800万用户的私人照片泄露。具体来说,在9月13日至9月25日期间,其照片API中的漏洞使得约1500个App获得了用户私人照片得访问权限。一般来说获得用户授权的App只能访问共享照片,但这个漏洞导致用户没有公开的照片也照样能被被读取。

结果:Facebook CEO数据泄露道歉,并多次出席听证会。一系列事件影响,Facebook股价已较年初跌了29.70%(12月25日)。而12月份的这次泄露,欧洲隐私管制机构爱尔兰数据保护委员会已着手调查,Facebook或因此被罚款超过16亿美元。

2. 上市公司数据堂被公安一锅端

事件回顾:据新华社新媒体2018年7月8日报道,大数据行业知名企业数据堂(831428.OC)在8个月时间内,日均传输公民个人信息1.3亿余条,累计传输数据压缩后约为4000GB左右,公民个人信息达数百亿条,数据量特别巨大。

结果:除了数据堂外,山东警方共抓获犯罪嫌疑人57名,打掉涉案公司11家。

3. 新三板公司涉窃取30亿条个人信息

事件回顾:今年8月份,澎湃新闻从绍兴市越城区公安分局获悉,该局日前侦破一起特大流量劫持案,涉案的新三板挂牌公司北京瑞智华胜科技股份有限公司,涉嫌非法窃取用户个人信息30亿条,涉及百度、腾讯、阿里、京东等全国96家互联网公司产品,目前警方已从该公司及其关联公司抓获6名犯罪嫌疑人。案件仍在进一步侦办中。

结果:目前警方已从该公司及其关联公司抓获6名犯罪嫌疑人。

4. 圆通10亿快递信息泄露

事件回顾:六月份,暗网一位ID“f666666”的用户开始兜售圆通10亿条快递数据,该用户表示售卖的数据为2014年下旬的数据,数据信息包括寄(收)件人姓名,电话,地址等信息,10亿条数据已经经过去重处理,数据重复率低于20%,数据被该用户以1比特币打包出售。

结果:有网友验证了其中一部分数据,发现所购“单号”中,姓名、电话、住址等信息均属实。

5. 万豪酒店5亿用户开房信息

事件回顾:万豪国际集团11月30日发布公告称,旗下喜达屋酒店客房预订数据库遭黑客入侵,最多约5亿名客人的信息可能被泄露。万豪酒店在随后的调查中发现,有第三方对喜达屋的网络进行未经授权的访问。目前,未经授权的第三方已复制并加密了某些信息,且采取措施试图将该信息移出。

万豪披露,已知的是,大约3.27亿客人的个人姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋SPG俱乐部账户信息、出生日期、性别等信息都已经可能全部泄漏。

结果:消息公布后,万豪国际的股价在当天的盘前下跌5.6%,报115.02美元。事件曝光后,万豪采取了各种措施去补救。

6. 华住酒店5亿条用户数据疑泄露

事件回顾:华住酒店集团旗下酒店用户信息在“暗网”售卖,售卖者称数据已在8月14日脱库。身份证号、手机号,一应俱全,共涉及5亿条公民信息。涉及酒店范围包括:汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。此次泄露的数据数量则总计达5亿条,全部信息的打包价为8比特币,或者520门罗币(约合人民币38万元)。卖家还称,以上数据信息的截止时间为2018年8月14日。

结果:随后,华住集团酒店官方微博回应此事称,“已经报警了。真实性目前无法查证,我们信息安全部门在紧急处理中”。同时官方微博也呼吁,请相关网络用户、网络平台立即删除并停止传播上述信息,保留追究相关侵权人法律责任的权利。

7. 瑞士Veeam公司 泄露 4.45 亿条用户数据

事件回顾:2018年9月份,研究人员在一个配置错误的服务器上发现了存储有超过200GB数据的数据库。据悉,该服务器处于完全无防御的状态,且面向公众开放,任何人都能够公开查询和访问其数据。研究人员介绍称,该数据库中存储有来自Veeam公司的约4.45亿客户记录,其中包含客户的个人信息,如姓名、电子邮件地址以及居住地、国家等。此外,该服务器上提供的其他详细信息还包括部分营销数据,例如客户类型和组织规模、IP 地址、referrerURL 以及用户代理等。

结果:信息在网上挂了4天后,就全部无法访问,想必公司已经采取了措施。对于该起事件有安全专家建议,所有数据库管理员考虑MongoDB在一年前发布其数据库产品的安全指南,同时添加新的内置安全功能,如加密,访问控制和详细审计等。

8. Exactis大数据公司失误泄露2TB隐私信息

事件回顾:据Wired报道,六月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实,涉及大约3.4亿条记录,容量接近2TB,据说涵盖2.3亿人。这些数据包含的隐私深度超乎想象,包括一个人是否吸烟、宗教信仰、养狗或养猫以及各种兴趣等。

结果:Exactis事后对数据进行了加密防护,以避免信息的进一步泄露。

9. 美国运动品牌Under Armour 1.5亿用户信息泄露

事件回顾:美国功能性运动品牌Under Armour(安德玛)旗下饮食和营养管理App及网站MyFitnessPal大规模的数据泄露,多达1.5亿用户的信息被盗。此次数据泄露事件影响到的用户数据包括用户名、邮箱地址、和加密的密码。安德玛表示,该数据泄露事件并没有涉及到用户的社会安全号码、驾驶证号、和银行卡号等隐私信息。

结果:Under Armour通过电邮和App消息提醒用户立刻更改密码,当晚其股票市值下跌了4.6%。

10. 问答网站 Quora户数据遭泄露1个亿

事件回顾:12月4日,据纽约时报报道,问答网站鼻祖Quora称,该公司的计算机系统遭到恶意第三方的未授权访问,大约有1亿用户的账户及私人信息可能已经泄露,包括姓名、邮箱地址和加密处理的密码。

结果:Quora CEO发布博文致歉。官方称,第一时间雇佣网络安全专家进行调查,同时也联系了执法部门。

11. 今年的数据泄露事件还有:

1.国泰航空数据泄露,940万乘客受影响

2.MongoDB 数据库被入侵, 1100 万份邮件记录遭泄露

3.SHEIN 数据泄露影响 642 万用户

4.http://HealthCare.gov注册系统被黑客入侵,75000人数据遭泄露

5.GovPayNet凭证系统存在漏洞,1400万交易记录被曝光

6.瑞士电信(Swisscom)证实80万数据被盗,涉全国1/10公民信息

7.英国航空公司数据泄露事件:38万人受影响

8.小米有品平台泄露个人隐私 约2000万用户数据遭泄露

9.美国23州连锁餐馆出现数据泄露,超过50万信用卡数据存在安全风险

10.Atlas Quantum数字货币投资平台数据泄露,影响约26.1万名客户

11.知名OCR软件ABBYY FineReader被曝泄露超过20万份客户文件

12.Instagram平台被黑 已超百万用户信息泄露

13.乘客航班信息泄露链条曝光,近500万条信息被卖

14.医疗软件公司MedEvolve因服务器漏洞致20多万患者信息泄露

15.Robocall公司泄露了美国数十万选民个人信息

16.Adidas数百万用户数据泄漏

17.顺丰快递3亿用户信息外泄(顺丰官方否认,表示非顺丰数据)

18.陌陌数据外泄3000万(陌陌官方后来回应:跟用户匹配度极低)

19.AcFun受黑客攻击,近千万条用户数据外泄

20.前程无忧用户信息在暗网上被公开销售

21.加拿大两大银行遭黑客攻击 近9万名客户数据被窃

22.私人情报机构 LocalBlox 泄露 4800 万份个人数据记录

23.中东打车巨头Careem遭遇网络攻击 1400万乘客信息失窃

24.央视曝光偷密码的“万能钥匙”,9亿人个人信息存风险

25.旅游网站Orbitz 88万份信用卡信息遭泄露

勒索软件业务经历市场调整

如果将勒索软件看作一项生意的话,从2016年开始到2017年勒索软件的高额利润吸引大批攻击者蜂涌而至,赎金更是漫天要价。2018年,勒索软件“市场”就有点不景气了,勒索软件家族的总数下降,赎金要求也下降了,这表明勒索软件已经成为了商品。许多网络犯罪分子可能已经将注意力转移到加密电子货币挖矿上,因为作为现金的替代品,加密电子货币的价值非常高。

网上银行交易威胁也有死灰复燃的趋势,某些臭名昭著的勒索软件集团正试图增加威胁的种类。尽管勒索软件变种数量较去年有所上升,表明那些臭名昭著的犯罪集团仍然相当高产,但勒索软件家族的数量有所下降,这表明他们的创新力出现了下降,也可能已将注意力转向了更高价值的新目标。

2018年新兴的勒索软件家族摘录

1. 2018年1月,GandGrab勒索家族首次出现

应该算是勒索病毒家族中的最年轻,但是最流行的一个勒索病毒家族,短短几个月的时候内,就出现了多个此勒索病毒家族的变种,而且此勒索病毒使用的感染方式也不断发生变化,使用的技术也不断在更新,此勒索病毒主要通过邮件进行传播,采用RSA+ASE加密的方式进行加密,文件无法还原。

2. 2018年2月,多家安全企业截获Mind Lost病毒

该勒索软件采用C#语言开发,其主要功能是采用AES加密方式加密本地文件,之后引导受害者至指定的网页要求付费解密文件,与以往勒索软件不同的是,此次勒索软件并没有要求受害者支付比特币等数字货币进行付费解密操作,而是直接要求用户使用信用卡或借记卡支付赎金,以此来套取银行卡信息,进而将此信息出售给不法分子从而牟取更大利益。加密样本账户的电脑的Users目录下的文件,如果后缀为”.txt”,”.jpg”,”.png”,”.pdf”,”.mp4″,”.mp3″,”.c”,”.py”的文件就直接加密,且解密赎金达到200美元。

3. 2018年3月,GlobeImposter勒索病毒家族

GlobeImposter勒索病毒家族是从2017年5月开始出现,并在2017年11月和2018年3月有两次较大范围的疫情爆发,在2017年11月前的GlobeImposter勒索病毒大部分被称为GlobeImposter1.0,此时的病毒样本加密后缀名以“.CHAK”较为常见,在2018年3月时出现了GlobeImposter2.0,此时的病毒样本加密后缀名以“.TRUE”,“.doc”较为常见,GlobeImposter也增加了很多新型的技术进行免杀等操作。

4. 2018年3月,麒麟2.1的勒索病毒

2018年3月1日,监测到了“麒麟2.1”的勒索病毒。通过QQ等聊天工具传文件方式传播,一旦中招就会锁定电脑文件,登录后会转走支付宝所有余额。中招后,它会锁定电脑文件,表面上要求扫码用支付宝付款3元,但实际上扫码是登录支付宝,登录后会转走支付宝所有余额。

5. 2018年3月,CrySiS勒索病毒爆发

服务器文件被加密为.java后缀的文件,采用RSA+AES加密算法,主要运用了Mimikatz、IP扫描等黑客工具,进行RDP爆破,利用统一密码特性,使用相同密码对全网业务进行集中攻击,通过RDP爆破的方式植入,同时此勒索病毒在最近也不断出现它的新的变种,其加密后缀也不断变化之中。

6. 2018年12月,微信支付手段的勒索病毒在国内爆发

几日内,该勒索病毒至少感染了10万台电脑,通过加密受害者文件的手段,已达到勒索赎金的目的,而受害者必需通过微信扫一扫支付110元赎金才能解密。

2018年6月,罗某某自主研发出病毒“cheat”,用于盗取他人支付宝的账号密码,进而以转账方式盗取资金。

同时制作内含“cheat”木马病毒代码的某开发软件模块,在互联网上发布,任何通过该开发软件编写的应用软件均包含木马病毒代码,代码在后台自动运行,记录用户淘宝、支付宝等账号密码,以及键盘操作,上传至服务器。此外,嫌疑人通过执行命令对感染病毒的计算机除系统文件、执行类文件以外的所有文件进行加密,随后弹出包含解密字样和预置微信收款二维码的勒索界面,解密程序标题显示“你的电脑已被加密,请执行以下操作,扫一扫二维码,你需要支付110进行解密”。

挖矿攻击迭起,花样不断翻新

2018年全球爆发了恶意加密货币挖掘,因此产生的恶意软件攻击次数增加了83%以上。今年前三个季度有超过500万用户被恶意软件攻击,而2017年同期为270万。根据卡巴斯基实验室的说法,在加密淘金热背后的主要驱动因素是安装和使用未经许可的软件和内容。在2018年,恶意加密货币开采战胜了过去几年的主要威胁:勒索软件。

受恶意加密货币挖掘软件攻击的互联网用户数量在今年上半年稳步增长,遭遇挖矿攻击的用户数量从2016年-2017年度的1,899,236人次,增长为2017-2018年度的 2,735,611人次。挖矿攻击出现频率越来越高,对受害者造成的危害也日益严重,而且目前已经转向企业目标。

多家互联网企业和网络安全企业分析认为,非法“挖矿”已成为严重的网络安全问题。其中,腾讯云监测发现,随着“云挖矿”的兴起,云主机成为挖取门罗币、以利币等数字货币的主要利用对象,而盗用云主机计算资源进行“挖矿”的情况也显著增多;知道创宇安全团队监测发现,“争夺矿机”已成为僵尸网络扩展的重要目的之一.

360企业安全技术团队监测发现一种新型“挖矿”病毒(挖取XMR/门罗币),该病毒在两个月内疯狂传播,非法“挖矿”获利近百万元人民币。由于入口门槛低,只需要几行代码就可以执行,网络犯罪分子大肆利用挖矿软件盗用消费者和企业的计算机处理能力以及占用云端 CPU,为其达到挖掘电子加密货币的目的。随着挖矿软件在企业环境中逐步蔓延,企业网络面临着彻底瘫痪的风险。它可能还会给企业带来财务上的影响,例如为挖矿软件所占用的云CPU 买单。随着恶意挖矿软件的不断升级,物联网设备将仍然是这类攻击的绝佳目标。