2024年初，Dark Angels勒索软件团伙入侵了一家大型美国上市公司，窃取了高达100TB的企业数据，并向该公司勒索创纪录的7500万美元赎金。然而，一年多过去了，我们对这起世纪网络勒索案的了解仍然有限。

支付赎金的到底是哪家公司？被窃取的 100TB 数据都包含了哪些内容？为什么这家公司愿意支付如此高昂的赎金？这一系列问题的背后，是对勒索软件攻击发展趋势的忧思。

拨不开的受害者迷雾

网络安全厂商Zscaler在2024年7月29日发布的”2024年勒索软件威胁报告”中首次披露了这起高达7500万美元的赎金支付事件。报告称，Zscaler在2024年初发现有一家机构向Dark Angels勒索软件团伙支付了”前所未有”的赎金。区块链分析公司Chainalysis后来证实，已支付给Dark Angels的7500万美元，是有记录以来最大的一笔赎金。

第二天，Zscaler在X(前Twitter)上发布了更多信息，称”ThreatLabz发现一家财富50强公司向Dark Angels勒索软件团伙支付了创纪录的7500万美元赎金”，增加了这一事件的神秘色彩。

Zscaler当时并没有透露该公司的名称，后来也一直拒绝明确该受害者。但BleepingComputer的一篇报道推测，该公司可能是制药巨头Cencora(前身为AmerisourceBergen)。

报道指出，Cencora目前在2024年《财富》全球500强公司排名第18位，年收入2620亿美元，该公司在2024年2月遭遇了网络攻击，并在2月27日向美国证券交易委员会提交了8-K文件进行披露。文件显示，Cencora于2月21日发现”其信息系统中的部分数据被窃取，其中可能包含个人信息”，并已在执法部门、网络安全专家和外部律师的协助下，对此次入侵事件展开调查。

Cencora在7月31日对8-K文件的修正中透露，发现攻击者窃取了更多数据，包括客户患者的个人身份信息和受保护的健康信息，同时强调没有证据显示公司的数据”已被或将被公开披露”。

值得注意的是，Cencora表示，此次攻击没有对其公司运营产生重大影响，其IT系统运行正常，”此次事件不太可能对公司的财务状况或经营业绩产生重大影响”。

彭博社9月18日的报道更加确定了受害者是Cencora。报道称，据知情人士透露，Dark Angels勒索软件团伙因攻击Cencora而获得了7500万美元赎金，最初的勒索金要求是1.5亿美元。Cencora的一名代表拒绝对此报道置评，并表示公司不对谣言或猜测做出回应。

另一个线索是，匿名加密货币研究员和调查人员”ZachXBT”在X上发布了Cencora于3月7日和8日向Dark Angels支付的三笔比特币交易详情。

Cencora的代表告诉彭博社，公司将坚持公开披露，包括在7月份的季度收益报告中详细说明了与2月份入侵事件相关的费用。在Cencora截至6月30日的前九个月财务季度报告中，有3140万美元的”其他”费用，其中大部分与此次入侵事件有关。

Zscaler威胁情报主管Brett Stone-Gross分析，由于网络保险的介入，证交会文件中的数字可能会产生误导。他表示，他见过多家上市公司支付了大笔赎金，但是他们向证交会提交的文件显示入侵事件的成本远低于他们实际支付的赎金。

值得一提的是，Cencora在其网站上透露已经购买网络保险，虽然未说明保险公司和保单细节。

赎金背后的不安趋势

此前，对于这笔创纪录的勒索软件付款及其背后的故事，Zscaler几乎可以说是守口如瓶，没有透露任何信息。在”2024年勒索软件威胁报告”中，只有几句简短的描述，对包括Zscaler是如何最初发现这笔付款在内的许多细节，Zscaler缄口不语。

“如果我们透露获取某些信息的方式，我们可能就失去收集这些信息的能力。” Stone-Gross解释说。

这一缺乏透明度的事件让人看到了一些令人不安的趋势。尽管Zscaler拒绝透露支付7500万美元赎金的受害者身份，但是提供了一些关于此次攻击和付款的洞察。

令人震惊的数据量

其中最值得注意的是，Dark Angels从被害者那里窃取了约100TB的数据，数据之大令人震惊。

Stone-Gross表示：”窃取这么大量数据需要很长时间。在正常情况下，你很少会看到这么多数据离开你的网络。这意味着这些大公司未能对网络进行有效监控。”

Stone-Gross指出，Dark Angels团伙擅长从受害者那里窃取大量敏感数据。例如，2023年，该勒索软件团伙加密了楼宇自动化系统提供商Johnson Controls International的VMware ESXi虚拟机，并声称已窃取超过27TB的敏感数据。

然而，100TB的数字还是骇人听闻的。Stone-Gross指出，此前网络犯罪团伙窃取的数据通常只有50GB，只有在某些罕见情况下达到100GB；而现在开始看到很多团伙窃取TB级别的数据。

与LockBit和RansomHub等更知名的勒索软件即服务(RaaS)团伙不同，Dark Angels并不是将攻击外包给附属黑客进行RaaS运作。Dark Angels在暗网上运营一个名为”Dunghill Leak”的网站，并使用Ragnar Locker等其他勒索软件变种。

ThreatLabz研究人员在2024年10月的一篇博文中指出，自2022年出现以来，Dark Angels团伙一直窃取大量数据，而且在7500万美元付款之前，他们与大多数勒索软件团伙一样，尽量避免引起关注。

免勒索软件“掠杀大鱼”

7500万美元赎金的数额之大也让业界感到震惊。Stone-Gross说：”我们看到赎金付款规模不断增加。正如报告所述，Dark Angels团伙在这方面取得了极大成功。他们在处理这些入侵事件和运作方式上有着独特的做法。”

该团伙的做法部分包括转向纯数据窃取和勒索，而不是传统的部署勒索软件。此外，Dark Angels专注于”猎杀大鱼”，即一次针对一个高价值目标，窃取大量敏感数据以勒索高额赎金。

安全牛《勒索攻击防护技术应用指南（2024版）》也验证了这一观点。报告调研发现，当前我国企业用户对勒索攻击威胁的关注点正在发生转变，已从原有的业务连续性担心转变为更加关注由勒索攻击引发的数据泄露风险。调研数据统计，89.74%的受访用户表示最担心勒索攻击导致的数据泄漏问题。

7500万美元的赎金付款就是这一趋势的绝佳注脚。Stone-Gross提醒，Dark Angels并未在受害机构的网络中部署勒索软件，可见这笔有史以来金额最大的赎金付款纯粹是为了防止Dark Angels运营商公布被窃数据。

这与过去一些备受瞩目的勒索软件事件形成鲜明对比，如臭名昭著的针对Colonial Pipeline Co. 的攻击，导致美国东部部分地区出现燃料短缺。该公司向已解体的DarkSide勒索软件团伙支付了440万美元赎金，但执法部门后来没收了其中的230万美元。

围绕这起Dark Angels攻击的最大疑问或许是，为什么受害机构会为一起没有对业务运营造成任何中断的攻击支付创纪录的赎金，以及被窃取的100TB数据中包含了哪些机密信息。

网络安全公司BlackFog的创始人兼首席执行官Darren Williams表示，如此高额的赎金付款意味着Dark Angels获取了受害者100TB被窃数据中的高度敏感信息，”看起来他们不只是获取了客户数据。”

但是一位匿名威胁分析师则认为：”这些勒索软件攻击中被窃取的数据并不像你想象的那么敏感。有时勒索软件团伙会大张旗鼓，在受害者确定被窃取了哪些数据之前，吓唬决策者支付赎金。”

因此，这位分析师说，被窃取数据的规模之大可能使得这家财富500强公司难以全面核实被窃取了哪些信息。Cencora可能只是为了保险起见，支付了7500万美元的赎金。

尽管许多细节仍是个谜，但Stone-Gross表示，其他勒索软件和网络犯罪团伙肯定已注意到了Dark Angels的成功，并可能试图效仿。“数据勒索和窃取威胁正在增加，因为很多团伙意识到，一些公司持有的数据极其宝贵，公司将不惜一切代价保护这些数据。”

如何突破透明度困境

7500万美元赎金付款细节信息缺乏，引发了人们对美国披露法规有效性的质疑，尤其是在美国证交会新的网络安全事件报告规则出台之际。根据这些规则(于2023年12月生效)，上市公司必须在确定事件可能对机构产生重大影响后的四个工作日内，通过8-K表格披露该事件。

MongoDB信任主管、IANS Research教员George Gerchow指出，新规则将有利于提高透明度，但是7500万美元赎金付款事件凸显了证交会新规则的几个弱点。比如说，确定事件的重大性并没有提出明确的指标，而且通过主观判断；机构可以认为，即使是发生严重的入侵事件也不会对其股价产生重大影响，因此不具有重大性。“大多数公司都利用了这种模糊性，将其转移到了有利于自己的方向。”。

Stone-Gross对此表示赞同，这导致很多上市公司虽然按要求对入侵事件进行了披露，但披露内容非常模糊。

总部位于洛杉矶的跨国律师事务所Paul Hastings上月发布了”证交会网络安全事件披露报告”，回顾了2023年12月18日至2024年10月31日期间48家上市公司发布的75份披露文件，发现不到10%的披露文件包含了对重大影响的描述。

更让人担忧的是，证交会的新规则可能会促使公司向攻击者支付赎金，以掩盖数据泄露事件。”如果你支付了赎金，你就几乎可以完全保证数据不会被曝光。那么这算不算重大入侵呢？你只需支付赎金就行了。” Gerchow说。

另一个问题是，公司无需披露赎金支付信息，尽管赎金支付通常被视为严重攻击的强有力指示。Stone-Gross，如果一个受害者支付了可观的赎金，那很可能是因为该攻击扰乱了业务运营，或者攻击者获取了一旦曝光将造成巨大损失的高度敏感数据。

他解释，假设被窃取的是健康信息，客户或患者就可能起诉，那么最终付出的成本可能远高于7500万美元；如果公司高管被证明存在疏忽，那么他们就可能面临被解雇。这就导致一些机构在8-K文件中使用了含糊的措辞来描述被窃取的数据。

例如，2023年，Dish Network披露了一起勒索软件攻击，攻击者加密了公司系统并窃取了机密数据。在一份信息泄露通知信中，Dish表示”我们没有发现您的信息被滥用的证据，并且我们已获得确认，被提取的数据已被删除”，但该公司并未证实支付了赎金。

Cencora在7月31日的8-K修正文件中包含了一段关于被攻击者窃取数据的含糊但值得注意的措辞。文件没有说被窃取的数据已被销毁，而是写道：”公司没有任何证据表明任何数据已被或将被公开披露。”

如果Dark Angels攻击的受害者不是Cencora，那么该匿名公司可能已逃过披露任何重大细节的困境。但如果真是Cencora，那就意味着一家主要的上市公司遭遇了灾难性的入侵，但在法律允许的范围内逃避了披露令人心痛的细节，如7500万美元的赎金支付和100TB被窃取数据。

对于信息安全专业人士来说，更令人担忧的是，美国证交会的新规定可能更有利于攻击者而非公众。例如，勒索软件团伙曾威胁要向证交会举报不愿支付赎金的受害机构；在某些情况下，他们确实这样做了。

随着关于7500万美元赎金付款的疑问持续存在，Gerchow表示，在证交会新的披露要求下，公司不太可能转向更大的透明度。他认为，目前大多数公司都没有透露全部细节，因为他们不需要这么做。这项规定确实没有什么约束力。

安全牛评

勒索软件，这个令人闻之色变的词汇，已经成为悬在每一个组织头上的数字达摩克利斯之剑。7500万美元赎金事件的诸多细节仍笼罩在迷雾之中，但根据公开报道所能了解到的有限信息，这场攻击不仅造成了大规模数据窃取，更凸显了企业在面对超高额勒索时的脆弱性。它敲响了一记警钟，提醒我们勒索软件攻击的威胁正变得越来越复杂和严峻。

攻击者窃取数据量之大、勒索赎金数额之高，都达到了前所未见的程度。同时，这起事件也暴露了现行网络安全事件披露规则的种种不足。目前，针对7500万美元赎金事件的官方披露仍然有限，外界难以全面获取核心信息；模糊的披露要求，可能无意中纵容了受害者隐瞒事件细节、向攻击者妥协的行为。面对不断演变的勒索软件威胁，我们需要采取更积极、更全面的防御措施，完善数据保护和网络监控机制，提高威胁情报分析和应急处置能力。

虽然美国证交会出台了新的披露规则,但仍存在一些漏洞,使得企业可以回避披露关键细节。可见，建立健全的网络安全事件报告制度,需要平衡信息披露、企业利益保护、保护商业机密、打击犯罪等多方面因素。

在我国，国家互联网信息办公室在2023年12月发布了《网络安全事件报告管理办法（征求意见稿）》，要求重要网络安全事件应当在发生或发现后 4小时内向有关主管部门报告,这有助于主管部门及时掌握情况,采取应对措施；同时还发布了《网络安全事件分级指南》，提供了良好的制度框架。相信随着《办法》在实践中在各方的协作配合下不断完善，将有效应对日益严峻的网络安全形势。

总体而言，勒索软件威胁日益加剧，除了健全的披露制度，还需在技术层面加强预防和防护：借助实时监测和威胁情报分析提升早期识别能力、完善离线备份策略、防范对抗性攻击与零信任架构升级，形成“监管+技术”双线并进的安全防护体系，才能在面对下一个高额勒索事件时，最大程度降低风险与损失。