纽约宣布与 PayPal 达成 200 万美元和解,起因是其未能遵守该州的网络安全法规,导致 2022 年数据泄露。纽约金融服务部 (DFS ) 称,威胁者利用 PayPal 系统中的安全漏洞进行撞库攻击,从而获取到了对敏感客户信息的访问权限。
2023 年,据PayPal 披露,威胁者在 2022 年 12 月 6 日至 8 日期间进行了大规模凭证填充攻击,导致 35,000 个账户遭到泄露。当时曝光的数据包括姓名,出生日期,邮政地址,社会保险号和个人税收标识号等重要数据信息。
据了解,在PayPal实施对现有数据流的更改之后,客户数据被暴露出来,以使IRS表格1099 ks可供更多客户使用。但是,负责实施这些更改的团队未经PayPal的系统和应用程序开发过程进行培训。因此,在更改进行之前,他们未能遵循适当的程序而使不法分子有机可乘。
持有PayPal帐户有效凭证的网络犯罪分子能够访问这些帐户及其1099-K表格后,造成许多敏感信息被泄露。这些“凭据填充”攻击的成功取决于缺乏多因素身份验证(MFA)保护,这在当时不是强制性的。
他们与较弱的访问控件相结合,允许在没有验证码或限制费率的情况下进行自动登录尝试,构成了PayPal的关键合规性失败。构成纽约网络安全法规23条NYCRR§500.3、500.10和500.12的违规行为。事件发生后,PayPal被要求实施适当的网络安全政策,人员培训和身份验证控制。
DFS 表示,尽管 PayPal 在发现漏洞后采取了多项补救措施,包括屏蔽 IRS 表格上的敏感数据、实施验证码和速率限制,以及对所有美国客户账户强制执行 MFA,但为时已晚。和解条款规定 PayPal 必须在 10 天内支付 200 万美元的罚款,与此同时,除非纽约 DFS 发现新的违规行为,否则不会对其采取进一步行动。
2024年,人们向勒索事件付款同比下降35%,总计8.135亿美元,整体低于2023年的12.5亿美元。此外,只有约30%的受害者与恶意分子进行了谈判并最终向他们支付了赎金。
每年向勒索软件团伙付款
2024年,一家《财富》50强公司向“黑暗天使”勒索软件组织支付了创纪录的7500万美元。此外,根据NCC集团的数据,2024年是勒索软件入侵数量最多的一年,共有5263次成功攻击。
chainanalysis的报告进一步证实了这一点,即数据泄露站点的披露数量增加,表明攻击者正在加大勒索力度,增加他们的活动进行填补。
勒索中与勒索完成比较图
赎金减少
尽管2024年的攻击事件有所增加,但勒索软件支付的下降可以用几个关键因素来解释,主要是受害者的抵抗力增强。
随着各行各业对勒索软件入侵风险的意识日益增强,企业在网络安全方面投入了更多资金,采取了更好的做法,并实施了更强有力的保护措施。
此外,威胁者删除被盗数据的承诺是不可信的,而且由于法律压力,越来越多的企业拒绝谈判。相反,他们宁愿承受声誉影响,并从备份中恢复数据/系统。
在这一下降中起关键作用的另一个方面,是去年针对勒索软件团伙的执法行动。最值得注意的是,“克罗诺斯行动”(Operation Cronos)摧毁了当时最臭名昭著、最多产的勒索软件组织LockBit。
每个威胁组织的赎金数额各不相同
洗钱逐渐复杂性
即使是进入勒索软件攻击者口袋的钱,情况也比过去几年复杂得多,当时网络犯罪分子有多种洗钱选择。现如今,执法部门对不遵守KYC法律的加密货币混合商和交易所的打击也迫使勒索软件攻击者将目光转向其他地方。
急速发展的赎金洗钱活动
Chainalysis称,如今人们已不再使用混币服务,转而采用跨链桥来模糊交易并逃避追踪。2024年,集中式交易所仍是勒索软件收益的主要提现渠道,有39%的勒索软件收益通过此类交易所流转。
最后,Chainalysis表示,越来越多的附属机构选择将勒索软件所得款项存放在个人钱包中,并且由于担心被追踪和逮捕而迟迟不愿提现。