【編者按】2020年1月至4月，基于云的攻擊增加了630%。到目前為止，2020年已發生的大量網絡攻擊，暴露了數以百萬計的數據記錄，并對個人和組織實施了最危險的網絡犯罪。在今年迄今為止發生的數千起網絡攻擊中，我們精心挑選了20起最值得關注的網絡攻擊事件，包括了數據泄露、DDOS攻擊、勒索攻擊、網站攻擊等不同類型事件。對于每個組織、企業和政府實體而言，知道如何預防和降低網絡安全風險都是至關重要的。網絡安全是基本安全活動和策略的組合，要防止、檢測或減輕網絡攻擊，網絡安全最佳實踐和基礎必須發揮作用。

　　本文首先分享針對人員、企業和其他實體的網絡攻擊案例，以及由此引發的數據泄露。其中包括有關攻擊者使用泄漏的數據進行財務欺詐、身份盜用、勒索軟件攻擊、暴力攻擊以及未經授權訪問用戶賬戶的信息。其次探討一些網絡安全緩解建議，可以通過實施這些安全緩解建議來保護網絡安全。

　　一、2020年到目前為止的20個網絡攻擊案例

　　這些是2020年過去僅半年時間最嚴峻的網絡攻擊事件。為了便于追蹤，按時間順序(從1月到8月)整理了2020年值得關注的網絡攻擊事件清單。

　　1、伊朗黑客攻擊美國政府圖書館計劃網站

　　聯邦儲備圖書館計劃(FDLP)網站在2020年1月6日遭到黑客破壞，黑客在該網站上張貼了一張圖片，該圖像內容包括：

　　l 向伊朗已故少將Qassim Soleimani致敬;

　　l 一份為指揮官之死報仇的宣言;

　　l 一張被篡改的手臂和拳頭被貼上“伊朗”標簽的照片，打在美國總統唐納德·特朗普的臉上;

　　l 一條信息稱“這只是伊朗網絡能力的一小部分!”。

　　攻擊者利用錯誤配置的內容管理系統(CMS)插入圖像和消息。雖然這次網絡攻擊沒有涉及數據泄露，但此事件讓人們看到了政府擁有網站的面臨的網絡威脅。攻擊者不斷搜索可以利用的網站安全狀態中的錯誤配置和小漏洞。

　　2、黑客組織從數學應用Mathway數據庫中竊取2500萬學生數據

　　2020年1月，一個名為Siny Hunters的黑客組織從數學解題應用程序Mathway中竊取了2500萬名學生的電子郵件地址和口令。報告顯示攻擊者于2020年5月18日在暗網上以4000美元的價格出售這些數據。

　　口令是加密的，解密的責任落在了買家身上。即使數據的購買者無法解密口令，擁有2500萬個電子郵件地址的列表對于向學生發送帶有惡意軟件的網絡釣魚或垃圾郵件仍然很有用。

　　3、暗網論壇中出售368萬MobiFriends用戶敏感數據

　　根據Risk Based Security的報告，2020年1月12日，一個名為“DonJuji”的黑客試圖在暗網黑客論壇上出售近400萬MobiFriends用戶的敏感數據。2020年4月12日，另一個人在同一網站上沒有限制地發布了同樣的數據。

　　MobiFriends是一家總部位于巴塞羅那的頗受歡迎的交友網站。該數據庫包括3688060個用戶的以下信息：

　　l 電子郵件地址;

　　l 用戶名;

　　l 加密口令;

　　l 手機號碼;

　　l 出生日期;

　　l 性別;

　　l 網站活動。

　　這些數據包括財富1000強公司的企業電子郵件地址，包括美國國際集團(AIG)、益百利(Experian)、沃爾瑪(Walmart)和維珍傳媒(Virgin Media)。如果用戶使用相同的口令登錄他們的公司電子郵件地址，這些公司可能面臨與商業電子郵件泄露(BEC)相關的網絡犯罪的風險。盡管Risk Based Security報告口令是用MD5算法加密的，但它不被認為是非常強大的哈希算法。

　　4、攻擊者對亞馬遜發動大規模DDoS攻擊

　　2020年2月，亞馬遜網絡服務(AWS)成為大規模分布式拒絕服務(DDoS)攻擊的目標。該公司經歷并緩解了DDoS攻擊，其規模為每秒2.3兆比特(Tbps)。它的數據包轉發速率為293.1 Mpps，每秒請求速率為694201(rps)。DDoS攻擊在一周內造成了三天的威脅加劇，被認為是歷史上最大的DDoS攻擊之一。

　　5、黑客訪問GoDaddy的服務器并竊取用戶登錄憑據

　　全球最大的托管服務提供商之一GoDaddy通知其一些客戶，GoDaddy托管環境中的SSH文件被更改，導致了2020年4月23日的數據泄露事件。該信通知用戶，一個未經授權的人試圖使用公開的憑據訪問用戶的托管賬戶。

　　GoDaddy重置了托管賬戶的用戶登錄憑據，以防止進一步損壞。他們還向受影響的客戶免費提供了為期一年的網站惡意軟件清除工具訂閱，以彌補此事件。

　　此事件最令人不安的是時間間隔。雖然這件事發生在2019年10月19日，但GoDaddy直到2020年4月23日才注意到這一點。根據IBM的《2020年數據泄露成本報告》，2020年識別和遏制數據泄露平均需要280天。在這段時間內，攻擊者不僅可以利用系統，還可以在暗網上將被攻破的憑據出售給其他網絡罪犯。

　　6、勒索軟件攻擊從W&T Offshore竊取800 GB敏感數據

　　安全研究公司Cyble Inc.于2020年4月28日發表了一份關于W&T Offshore遭受勒索軟件攻擊的報告。報道稱，Netfilim勒索軟件運營商從這家總部位于德克薩斯州的石油和天然氣公司竊取了800G的敏感數據。

　　報告進一步指出，該公司與攻擊者的贖金談判失敗，導致網絡罪犯在暗網上泄露了10 GB的數據。泄露的數據包括以下敏感的財務文件：

　　l 銀行對賬單;

　　l 日志條目;

　　l 公司的風險分析模型;

　　l 長期債務報告。

　　7、哥斯達黎加銀行1100萬信用卡憑證被盜

　　2020年5月1日勒索軟件Maze聲稱對從哥斯達黎加銀行(BCR)網絡竊取1100萬張信用卡憑證負責。Banco BCR是一家國有商業銀行，該銀行的網絡在2019年8月和2020年2月分別被攻擊，但攻擊者聲稱竊取了“幾年的數據，其中包括1100萬張信用卡”。在這1100萬條記錄中，400萬條是唯一的，有14萬條屬于美國居民。作為證據，黑客發布了以下信息：

　　l 240個信用卡號(沒有透露最后四位數字);

　　l 卡片到期日;

　　l 卡片驗證碼(CVV)。

　　攻擊者表示，他們無法聯系銀行相關部門協商贖金。2020年5月22日，Cyble Inc.發布了一份報告，稱勒索軟件Maze運營商已經開始在暗網上發布Banco客戶的信用卡詳細信息。攻擊者發布了一個2 GB的CSV文件，其中包含各種萬事達卡、Visa信用卡和借記卡信息，因為銀行沒有認真對待他們的泄密勒索。

　　8、黑客在暗網上出售1500萬Tokopedia用戶數據

　　該事件源自于數據泄露監測和防范服務下的漏洞。2020年5月2日一條推文分享了一名黑客將1500萬Tokopedia客戶的個人數據在黑暗網絡上出售的消息。這些數據來自3月份發生的一次黑客攻擊。5月3日，該公司發布了最新消息，稱攻擊者擁有9100萬條受害者記錄，他們以5000美元的價格出售。這些數據包括：

　　l 全名;

　　l 電子郵件地址;

　　l 電話號碼;

　　l 口令哈希;

　　l 出生日期;

　　l Tokopedia配置文件相關詳細信息。

　　幸運的是，口令是使用SHA2-384哈希算法加密的，因此黑客無法解密口令HASH。該公司發言人表示，他們已經采取措施保護客戶的數據，但仍建議用戶更改口令，以防萬一。

　　9、澳大利亞內政部泄露774000名移民數據

　　媒體《衛報》在2020年5月2日發表了一篇報道，指出澳大利亞民政事務總署存在數據庫泄漏，該數據庫在網上暴露了77.4萬名現有和潛在移民的個人詳細信息。該數據庫泄露了移民的信息，例如：

　　l 774326個稱為ADUserID的唯一標識符;

　　l 189426份已填寫完成的意向書;

　　l 申請結果;

　　l 申請人的出生國國家、年齡、資歷和婚姻狀況。

　　在《衛報》發表報道之后，澳大利亞政府將該信息下線。

　　10、黑客在暗網出售Unacademy的21909709名注冊用戶數據

　　2020年5月8日一名黑客在暗網上出售印度最大的教育平臺Unacademy近2200萬用戶的數據。安全公司Cyble報告稱，黑客以2,000美元的價格出售了整個Unacademy數據庫，這些數據包含：

　　l 姓名;

　　l 用戶名;

　　l 加密口令;

　　l 電子郵件地址。

　　它還包括與Unacademy的用戶個人資料及其角色和狀態相關的詳細信息。泄露的數據庫還包含屬于Wipro、Reliance Industries、TCS、Google和Facebook等知名組織的公司電子郵件地址。如果用戶對其公司電子郵件賬戶使用相同的口令，攻擊者也可以侵入這些公司的電子郵件網絡。

　　當被問及Mint為保護數據而采取的安全措施時，Unacademy的聯合創始人Hemesh Singh回應說，濫用泄露的數據獲取口令是“極不可能的”。因為他們使用SHA256算法來保護自己的口令，并使用基于一次性口令(OTP)的登錄系統來提供雙重身份驗證(2FA)。

　　11、網絡釣魚郵件導致超過12000名Nikkei員工數據泄漏

　　日本著名報紙出版商日經公司(Nikkei Inc.)宣布。其發生了數據泄漏事件，涉及12514名合同工的個人數據。造成該事件的原因是一封來自日經內部網絡的釣魚電子郵件中含有病毒。

　　該病毒感染了日經內部電子郵件系統的一部分，竊取了12514名合同工的詳細信息，包括姓名、隸屬關系和電子郵件地址。這些數據是在2020年5月8日泄露的。

　　12、黑客組織ShinyHunters出售7320萬條用戶記錄

　　黑客組織ShinyHunters列出了包含來自10家公司的總計7320萬條記錄的個人數據庫，在暗網上以1.8萬美元的價格出售。2020年5月9日報告中稱，ShinyHunters與3月份發生的Tokopedia數據泄露事件是同一個組織。數據被泄露的10家公司名單包括：

　　13、航空公司EasyJet遭受網絡攻擊 900萬客戶信息被盜

　　英國BBC報道稱，廉價航空公司易捷航空(EasyJet)是一場高度復雜的網絡攻擊的受害者，其中900萬客戶的電子郵件地址和旅行詳細信息被盜。報告稱，攻擊者還可以通過CVV訪問2208個客戶的信用卡/借記卡號。

　　盡管EasyJet從1月份就知道了數據泄露事件，但直到5月19日才向公眾披露此事。然而，該航空公司確實在4月份通知了支付卡詳細信息被盜的客戶。易捷航空已經向英國信息專員辦公室(ICO)通報了這起入侵事件，以幫助他們進一步調查。

　　14、黑客在暗網上公開230萬印尼選民數據

　　據路透社報道，2020年5月20日一名黑客在黑客論壇RaidForum上公布了230萬印尼選民數據。這些數據包含敏感信息，如選民的家庭地址和國民身份證號碼。攻擊者還威脅要公布其他2億選民的數據。印尼大選委員會證實了選民數據的真實性。

　　15、Bigfooty.com的泄漏數據庫包含132GB客戶數據

　　2020年5月29日，安全研究員Anurag Sen和他的團隊在Bigfooty的母公司Big Interest Group LLC的服務器上發現了一個泄露的bigfoy.com數據庫。Bigfoy.com是澳大利亞著名的球迷論壇，擁有超過10萬會員。

　　泄漏的Elasticsearch數據庫有132 GB的數據，其中包含大約7000萬條用戶記錄。此泄漏影響了多達100000個用戶，其中包括以下數據：

　　l 用戶名;

　　l 口令;

　　l 電子郵件地址;

　　l 手機號碼;

　　l 與行為和活動有關的個人信息和數據。

　　在Bigfooty中，用戶可以選擇匿名。然而，有了上述細節，就有可能追蹤到匿名用戶的身份，包括那些在私人消息中發送個人威脅和種族主義材料的用戶。澳大利亞警察和政府雇員等知名用戶發布的評論也可以追蹤到。攻擊者可以很容易地利用這些細節進行勒索軟件攻擊、勒索、個人報復以及破壞個人和組織的形象或聲譽。

　　泄露的數據還包括與IP地址和GPS位置相關的網站內部技術信息、操作系統和服務器數據、訪問和錯誤日志等，這些信息可能被黑客用來對網站實施其他嚴重犯罪。

　　16、加州大學舊金山分校支付114萬美元勒索贖金

　　2020年6月1日，加州大學舊金山分校(UCSF)遭到勒索軟件攻擊。Netwalker勒索軟件運營商對大學醫學研究機構的一些重要服務器進行了加密，該機構正在研究新冠肺炎的治療方法。

　　盡管該大學的工作人員將被惡意軟件感染的服務器與加州大學舊金山分校的核心網絡隔離開來，但他們沒有任何計劃去解鎖被黑客入侵的服務器并解密數據。因此，加州大學舊金山分校與黑客進行了談判，并于2020年6月26日向Netwalker運營商支付了114萬美元(116.4比特幣)。作為回報，黑客將解密密鑰發送給UCSF，他們用來重新訪問服務器和丟失的數據。

　　17、Cloudflare成為大規模DDoS攻擊目標

　　2020年6月18日，攻擊者對美國領先的網絡基礎設施和安全公司Cloudflare發動了大規模DDoS攻擊。攻擊持續了四天，直到6月21日結束。以下是Cloudflare分享的有關攻擊嚴重程度的詳細信息：

　　l 2020年6月的DDoS網絡攻擊持續了幾個小時，攻擊速率超過每秒4-6億個數據包(PPS)。它的峰值數次超過每秒7億個數據包;

　　l 在攻擊的高峰期，超過316,000個不同的IP地址發出了7.54億個PPS;

　　l 使用了三種類型的TCP攻擊向量的組合：SYN洪水、SYN-ACK洪水和ACK洪水。

　　攻擊者的目標是一個特定的Cloudflare IP地址，該地址主要用于免費訂閱計劃中的網站。

　　幸運的是，Cloudflare的DDoS檢測和緩解工具Gatebot檢測和處理了該攻擊?？蛻魶]有感受到停機時間和服務差異。雖然Cloudflare能夠成功緩解DDoS攻擊，但并不是所有公司都能夠做到。對于其他公司，特別是初創公司和小公司來說，幾乎毫發無損地逃脫如此大規模的DDoS攻擊是一項巨大的壯舉。

　　18、130位名人Twitter賬戶發布比特幣詐騙信息

　　2020年7月15日，幾名攻擊者侵入了130個知名Twitter賬戶，并從他們的個人資料中發布了加密貨幣詐騙信息。Twitter數據顯示，這些帖子是遭受社會工程攻擊的結果，導致45個賬戶發表了推文，訪問了36個賬戶的直接消息收件箱，并下載了另外7個賬戶的Twitter數據。例如，使用喬·拜登(Joe Biden)賬戶發布的欺詐信息如下：“我在回報社會。所有發送到以下地址的比特幣將被加倍退回!如果你轉1000美元，我就返2000美元。只有30分鐘?！?/p>

　　受害名人名單包括巴拉克·奧巴馬(Barack Obama)、喬·拜登(Joe Biden)、埃隆·馬斯克(Elon Musk)、坎耶·韋斯特Kanye West)和比爾·蓋茨(Bill Gates)，這些人都擁有數百萬粉絲。黑客通過這次社會工程攻擊獲得了Twitter自身內部管理工具的訪問權限。Twitter立即暫停所有已驗證的用戶發布他們賬戶中的任何內容。然而，攻擊者能夠欺騙一些人上當，并獲得了價值超過10萬美元的比特幣。

　　19、雅芳泄漏1900萬條客戶及員工數據

　　安全檢測小組在2020年7月28日揭露了化妝品巨頭雅芳服務器中的一些重大漏洞。他們發現一個包含7 GB客戶和員工數據的泄漏數據庫。這些數據，任何擁有服務器IP地址的人都可以訪問，包括姓名、GPS坐標、電子郵件地址、電話號碼等所有內容。這些詳細信息可用于網絡釣魚攻擊和與身份盜竊相關的犯罪。該數據庫還包括雅芳內部技術組件的詳細信息，例如：

　　l 安全令牌、SMS驗證服務日志;

　　l OAuth tokens;

　　l 300萬條技術日志條目;

　　l 賬戶設置信息;

　　l 11,000多個標記為“ salesLeadMap”的條目;

　　l 技術服務器信息。

　　攻擊者可以輕松地利用這些詳細信息對網站進行大規模網絡攻擊，或者將數據出售給競爭對手或營銷商。

　　安全偵探團隊自己在2020年6月3日發現了泄露的數據庫。在向公眾公布信息之前，他們聯系了雅芳，該公司采取了措施確保信息的安全。

　　20、新西蘭各類網站遭受網絡攻擊

　　新西蘭的各類服務和網站發現其在8月份成為了2020年各種網絡攻擊的目標。例如Westpac銀行、MetService氣象新聞網站、Kiwibank和TSB銀行之類的實體由于網絡攻擊而遭受服務中斷和問題。

　　然而，最大的目標之一是新西蘭股市(NZX)。8月24日起由于遭受持續五天的嚴重DDoS攻擊，NZX不得不暫停交易。攻擊的強度最高時超過每秒1太比特(Tbps)。在受到攻擊之前，黑客向NZX發送了一封電子郵件，并就潛在的網絡攻擊發出了警告。根據Stuff.co.nz的說法，攻擊者可能一直在尋求勒索比特幣贖金，以阻止攻擊。

　　二、緩解網絡攻擊措施及安全建議

　　從上述2020年的網絡攻擊事件中可以看到，即使在大型知名組織和政府機構數據也不安全。網絡安全是一個持續的過程，因此所有大型組織都有一支致力于數據保護和防止各種類型的網絡攻擊的網絡安全團隊。但初創企業、小企業和中小企業通常預算緊張，不一定負擔得起聘請網絡安全專家的費用。但是，可以遵循一些網絡安全技巧來加強公司的網絡安全態勢。

　　1、加強安全意識培訓和教育。員工安全意識淡漠，是一個重要問題。必須經常提供網絡安全培訓，以確保員工可以發現并避免潛在的網絡釣魚電子郵件，這是勒索軟件的主要入口之一。將該培訓與網絡釣魚演練結合使用，以掌握員工的脆弱點。確定最脆弱的員工，并為他們提供更多的支持或安全措施，以降低風險。

　　2、強化端點防護。及時加固終端、服務器，所有服務器、終端應強行實施復雜口令策略，杜絕弱口令;安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫;及時安裝漏洞補丁;服務器開啟關鍵日志收集功能，為安全事件的追溯提供基礎。

　　3、關閉不需要的端口和服務。嚴格控制端口管理，盡量關閉不必要的文件共享權限以及關閉不必要的端口(RDP服務的3389端口)，同時使用適用的防惡意代碼軟件進行安全防護。

　　4、采用多因素認證。利用被盜的員工憑據來進入網絡并分發勒索軟件是一種常見的攻擊方式。這些憑據通常是通過網絡釣魚收集的，或者是從過去的入侵活動中獲取的。為了減少攻擊的可能性，務必在所有技術解決方案中采用多因素身份驗證(MFA)。

　　5、全面強化資產細粒度訪問。增強資產可見性，細化資產訪問控制。員工、合作伙伴和客戶均遵循身份和訪問管理為中心。合理劃分安全域，采取必要的微隔離。落實好最小權限原則。

　　6、深入掌控威脅態勢。持續加強威脅監測和檢測能力，依托資產可見能力、威脅情報共享和態勢感知能力，形成有效的威脅早發現、早隔離、早處置的機制。

　　7、制定業務連續性計劃。強化業務數據備份，對業務系統及數據進行及時備份，并驗證備份系統及備份數據的可用性;建立安全災備預案。同時，做好備份系統與主系統的安全隔離，避免主系統和備份系統同時被攻擊，影響業務連續性。業務連續性和災難恢復(BCDR)解決方案應成為在發生攻擊時維持運營的策略的一部分。

　　8、定期檢查。每三到六個月對網絡衛生習慣、威脅狀況、業務連續性計劃以及關鍵資產訪問日志進行一次審核。通過這些措施不斷改善安全計劃。及時了解風險，主動防御勒索軟件攻擊并減輕其影響。

　　此外，遭到勒索攻擊后，無論是企業還是個人受害者，都不建議支付贖金。支付贖金不僅變相鼓勵了網絡攻擊行為，而且解密的過程還可能會帶來新的安全風險。

　　參考資源：

　　【1】https://sectigostore.com/blog/cyber-attacks-2020-notable-2020-cyber-attacks/

　　【2】天地和興，2020上半年典型勒索軟件，2020.07

　　【3】https://sectigostore.com/blog/how-to-prevent-malware-risks-in-9-ways/

　　【4】https://sectigostore.com/blog/5-best-ransomware-protection-tips-to-protect-your-organization/

　　【5】https://sectigostore.com/blog/top-25-recommendations-for-small-business-cyber-security/