在巴拉圭各地,黑客破坏了外交部和公司提供的在线服务,在瑞典,它们使100多个政府机构的薪资和人力资源系统陷入瘫痪,其中包括中央银行和议会,以及医院、零售商和其他机构。
在美国,入侵者破坏了大型银行用来处理交易的一个软件系统,并瘫痪了一个连接医疗服务提供商、药房和保险公司的网络,这些针对平等贷款和联合健康集团旗下的Change Healthcare部门的攻击,对华尔街和美国医疗体系造成了严重破坏。
这些事件都发生在今年,他们是日益增长的现象的一部分,在这种现象中,出于经济动机的网络犯罪分子攻击了全球IT供应链中的关键环节 - 互联网的管道工,这些人可能是你最不怀疑的目标,导致整个国家的行业和政府随之而来。
受害者往往在他们的利基市场之外鲜为人知,但他们提供的后台软件和服务为数字经济的很大一部分提供了动力。
网络安全专家表示,黑客正在云计算的演变中找到机会,云计算从根本上改变了企业处理IT事务的方式,现在,越来越多的关键服务通过云中的软件应用程序交付,并交付给第三方拥有和运营的服务器,这种安排增加了一旦外部提供商之一落入黑客手中,就会出现连锁停机的风险。
苏格兰爱丁堡网络安全公司Quorum Cyber的创始人兼首席执行官Federico Charosky表示,最新的攻击表明,许多行业不了解自己网络中可能使自己陷入瘫痪的弱点,以及它们对脆弱的第三方的依赖程度。
“不幸的是,我们生活在整个事物的底层基础设施中——互联世界——我们不理解它,”他说,“它很复杂,技术发展很快,攻击我们建造的这个东西的能力增长得比防御它的能力快得多。”
试图计算出金融等特定行业存在多少单点故障是一项挑战。
例如,尽管金融监管机构多年来一直试图支撑那些如果银行倒闭可能给市场带来系统性风险的银行,但几乎没有公开信息表明,如果银行遭到黑客攻击,支持它们的软件公司的数量可能会影响运营。
在过去的一年里,华尔街已经了解了这种颠覆是什么样子的,三个单独的勒索软件攻击暴露了金融体系技术基础中不同且鲜为人知的弱点。
今年1月,总部位于纽约的金融科技公司EquiLend的软件每月处理数万亿美元的交易,该公司的关键服务被关闭,导致全球一些最大银行的交易部门恢复到手动输入交易。
两个月前,全球最大的银行中国的工商银行美国分行遭到攻击,颠覆了26万亿美元的美国国债交易市场,该银行为华尔街许多最大的公司提供国债交易清算服务。
去年年初,针对衍生品交易自动化软件制造商ION Trading UK的入侵,波及到该公司40多个客户的业务。
在这三起案件中,被入侵公司的客户不得不恢复到人工处理交易的方式,恢复了电子交易兴起之前的做法,与俄罗斯有关的多产勒索软件团伙LockBit声称对这些入侵负责,该团伙本身在2月份的一次多国执法行动中遭到破坏。
网络安全专家表示,EquiLend、工商银行和ION Trading不太可能成为攻击目标,因为它们在金融体系中扮演着独特的角色。专家们表示,这些公司更有可能成为黑客组织的受害者,这些组织比以往任何时候都更快地夺走了更多的受害者,这种风格被LockBit改进到了毁灭性的效果。
专家们说,网络犯罪分子经常使用自动程序扫描互联网,识别存在已知安全漏洞的系统,并大规模感染这些网络,这基本上是一种不分青红皂白的黑客风格,目的是制造最大限度的混乱,并增加他们可以从勒索受害者那里勒索的金额。
荷兰国家警察高科技犯罪调查前主管John Fokker现在是总部位于加利福尼亚州米尔皮塔斯的网络安全公司Trellix Corp.的威胁情报主管,他说:“这些都是对一个供应商的依赖——这是全球化,我们无法阻止它,我们总是希望更有效率,我们希望节省成本,变得更快,但本质上是这样做的,所以你放弃了你的备份系统,你开始信任你的供应商,没有人会问,如果供应商被黑客入侵了怎么办?”
IT公司此前曾成为情报机构间谍活动的目标,因为它们提供了一个单一入口点,可以悄悄感染多个客户网络。IT管理软件提供商SolarWinds Corp.遭到黑客攻击的事件就是一例,该事件于2020年被披露,导致九家联邦机构和大约100家公司受到攻击,据称是由俄罗斯外国情报局(Foreign Intelligence Service,简称SVR)入侵的。
专家们表示,现在发生的变化是,网络犯罪分子正在采取类似的手段牟利。专家们表示,黑客利用广泛使用的软件中的已知漏洞的速度越来越快,他们甚至正在试验生成式人工智能来改进他们的方法,这一发人深省的想法表明问题可能会变得更糟。
加州反勒索软件制造商Halcyon的联合创始人兼首席执行官Jon Miller说,“在过去的12到18个月里,不仅有新的勒索软件集团上线,而且实施的攻击的复杂程度也大幅上升,新攻击者增加的原因很简单:勒索软件为数小时的努力支付数百万美元,越多的人发现这有多么容易,就越多的人想要做这件事,而且,你对企业运营的妥协和破坏程度越深,他们付出的代价就越大。”
今年到目前为止的三起黑客攻击表明,最有可能导致跨行业 - 甚至整个国家 -的连锁停机的实体是履行后台职能的IT公司。
今年2月,针对联合健康集团的Change Healthcare部门的勒索软件攻击导致该国最大的处理保险索赔的电子网络中断,这一漏洞导致医疗机构延迟了数周才能获得他们提供的治疗费用,当药房无法核实他们的保险时,它迫使一些患者自掏腰包支付药物费用。
美国最大的健康保险公司联合健康集团在3月8日表示,一些服务已经开始恢复,但没有给出其服务何时重新全面运营的估计,该公司表示,网络中处理支付和医疗索赔的一些部分将在3月中旬恢复在线,而电子处方服务现在已经恢复。黑猫勒索软件组织被指责为此次黑客攻击的罪魁祸首。
据5Días报道,今年1月,南美最大的电信服务提供商巴拉圭猛虎遭受了网络攻击,政府证实,这次攻击影响了外交部提供的一项服务,可能影响了300多家公司。
Tigo Paraguay总部设在卢森堡的母公司Millicom International Ccell SA在一份声明中证实,这一事件影响了“有限的企业部门客户群”该公司没有透露有多少公司受到影响,也没有透露此次攻击的技术细节。
事件发生两周后,黑客侵入了芬兰信息技术公司蒂埃夫里·奥伊在瑞典的一个数据中心,导致瑞典政府和工业界使用的一个薪资和人力资源系统中断。
瑞典国家政府服务中心发言人罗伯特·加卢森表示,共有120个政府机构和6万多名员工受到影响。国家政府服务中心负责协调瑞典政府机构的工资和财务管理。其中包括瑞典议会瑞典央行和央行瑞典央行,这两家机构都证实了这对他们的工资系统的影响。
在一份声明中,Tietoevry表示,在攻击发生后,该公司“立即隔离了受影响的平台”这一攻击花了数周时间才解决,该公司将此归咎于Akira勒索软件集团。
瑞典网络安全公司Truesec的威胁情报专家Mattias Wåhlén表示,此类黑客攻击突显出企业迫切需要制定战略,了解其IT服务提供商的风险。
他说:“外包IT的组织不应该只确保他们的IT提供商为他们建立的环境遵守网络安全标准,他们需要确保提供商自己的后端也是安全的。”
