【CSDN 編者按】在過去的網(wǎng)絡(luò)安全神話里，我們總以為“被黑”是科技巨頭才需要擔(dān)心的事情。但現(xiàn)實(shí)遠(yuǎn)比你想的更殘酷。如今，只要你的企業(yè)有聯(lián)網(wǎng)設(shè)備、有員工賬戶、有業(yè)務(wù)數(shù)據(jù)，就可能是下一個(gè)受害者——哪怕你是一家已經(jīng)經(jīng)營了158年的傳統(tǒng)公司。

　　整理 | 鄭麗媛

　　出品 | CSDN（ID：CSDNnews）

　　投稿或?qū)で髨?bào)道：zhanghy@csdn.net

　　“一個(gè)被猜中的密碼，摧毀了一家百年企業(yè)。”

　　這不是聳人聽聞的標(biāo)題黨，而是一起在英國真實(shí)發(fā)生的網(wǎng)絡(luò)安全事故——據(jù)BBC紀(jì)錄片《Panorama》披露，一家擁有 158年歷史的老牌運(yùn)輸企業(yè)KNP（Knights of Old），只因一個(gè)被猜中的員工密碼，慘遭黑客入侵，核心系統(tǒng)被加密鎖死。最終，700+名員工一夜之間失業(yè)，企業(yè)宣布破產(chǎn)，158年歷史至此終結(jié)。

　　頗為最諷刺的是，直到今天，那位設(shè)置了“弱密碼”的員工，還不知道自己是致使公司倒塌的導(dǎo)火索。

　　百年企業(yè)，一夜“數(shù)據(jù)歸零”

　　KNP，全稱 Knights of Old，是一家總部位于英國北安普敦郡的老牌運(yùn)輸公司，擁有超過500輛卡車，服務(wù)遍布全英國。它的歷史可以追溯到19世紀(jì)，一直是本地物流行業(yè)的重要支柱。

　　而就在2023年6月，這家百年企業(yè)遭遇了致命打擊：黑客組織 Akira 成功攻入了KNP內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

　　據(jù)了解，Akira是一個(gè)2023年迅速崛起的國際勒索團(tuán)伙，核心成員疑似來自已解體的Conti組織。據(jù)悉自2023年3月以來，Akira已在全球范圍內(nèi)攻擊超過250家機(jī)構(gòu)，成功勒索金額超 4200萬美元。他們的主要攻擊手法是“雙重勒索”：先竊取核心數(shù)據(jù)，再進(jìn)行全盤加密；如果不付款，就威脅公開數(shù)據(jù)。

　　據(jù)專家推測(cè)，Akira入侵KNP內(nèi)部系統(tǒng)的方式，并非高深復(fù)雜的零日漏洞或社會(huì)工程學(xué)等，而是一種最為基礎(chǔ)且粗暴的方式：純猜。具體來說，他們鎖定了一名KNP員工的賬戶，通過暴力破解、窮舉一些常見密碼（如12345678、welcome1、password123）或利用其泄露的其他密碼去“撞庫”，成功獲取了KNP內(nèi)部系統(tǒng)的訪問權(quán)限。

　　入侵KNP系統(tǒng)后，Akira第一時(shí)間部署了勒索軟件，將企業(yè)所有數(shù)據(jù)進(jìn)行加密，包括：客戶信息、車輛調(diào)度、送貨排期、會(huì)計(jì)與財(cái)務(wù)系統(tǒng)等等——短短數(shù)小時(shí)內(nèi)，KNP內(nèi)部系統(tǒng)全面癱瘓。所有員工被鎖在業(yè)務(wù)系統(tǒng)之外，無法調(diào)度卡車，無法收發(fā)訂單，甚至無法確認(rèn)已有客戶的運(yùn)輸狀態(tài)。

　　黑客勒索：一封冷血留言，和500萬英鎊的贖金

　　在加密完KNP的核心業(yè)務(wù)數(shù)據(jù)、并鎖死其全部內(nèi)部系統(tǒng)后，黑客組織Akira給KNP留下了一封“典型”的勒索信，語氣冷酷、譏諷意味十足：

“如果你正在閱讀這條信息，這就說明你們的內(nèi)部系統(tǒng)已經(jīng)完全或部分癱瘓……別急著哭，也別急著恨，先讓我們展開一個(gè)建設(shè)性的對(duì)話吧?！?/blockquote>

　　Akira在勒索信中，并未明確索要金額，但KNP隨后委托第三方勒索談判機(jī)構(gòu)進(jìn)行評(píng)估，結(jié)果顯示贖金可能高達(dá)500萬英鎊（約合人民幣4849萬元）。

　　而 KNP，作為一家傳統(tǒng)物流企業(yè)，根本拿不出這筆錢。

　　對(duì)外，KNP并沒有具體披露是哪個(gè)環(huán)節(jié)的安全設(shè)置出了問題，只表示他們“已采取了行業(yè)標(biāo)準(zhǔn)的 IT 防護(hù)措施”，并購買了網(wǎng)絡(luò)攻擊安全保險(xiǎn)?？蓡栴}在于：當(dāng)對(duì)方已經(jīng)掌握了你系統(tǒng)的鑰匙時(shí)，再多的防護(hù)措施，也只是裝飾。

　　據(jù)悉，當(dāng)時(shí)KNP的保險(xiǎn)方Solace Global緊急派出了“網(wǎng)絡(luò)危機(jī)”響應(yīng)小組趕赴現(xiàn)場?？筛鶕?jù)該公司顧問Paul Cashmore在紀(jì)錄片中的回憶，KNP已處于“最糟糕的情況”：

　　●所有業(yè)務(wù)數(shù)據(jù)均被加密

　　●所有服務(wù)器與備份系統(tǒng)均已損毀

　　●連災(zāi)備系統(tǒng)也未能幸免

　　●所有終端（包括PC、辦公設(shè)備）也被攻陷

　　換言之，KNP從IT系統(tǒng)到底層架構(gòu)，全線崩潰——Paul Cashmore感慨：“這幾乎是我們能想到的最壞的情況了?！?/p>

　　因此，盡管保險(xiǎn)方啟動(dòng)了危機(jī)響應(yīng)團(tuán)隊(duì)，但面對(duì)“服務(wù)器、備份、災(zāi)備系統(tǒng)全部損毀”的局面，也無能為力：KNP公司支付不起贖金，所有數(shù)據(jù)最終無法恢復(fù)，只能宣布破產(chǎn)，700多名員工被迫離職。

　　事件發(fā)生后，KNP管理層也并未將“密碼泄露”的責(zé)任推向員工。公司董事Paul Abbott坦言，他甚至都沒告訴那名涉事員工，是他的弱密碼導(dǎo)致了整場災(zāi)難：“如果是你，你會(huì)想知道嗎？”

　　

　　KNP的悲劇，并非個(gè)例

　　令人意外的是，KNP的悲劇還并非個(gè)例。

　　過去一年中，英國多家知名企業(yè)均遭遇類似攻擊，包括M&S、Co-op、Harrods等。其中，Co-op甚至確認(rèn)其650萬會(huì)員數(shù)據(jù)全部被盜。根據(jù)英國政府公開數(shù)據(jù)，2024年勒索攻擊在英企中發(fā)生約1.9萬起，數(shù)量驚人。英國國家打擊犯罪局（NCA）也披露，自2022年以來，每周的網(wǎng)絡(luò)攻擊事件已從20起飆升至35–40起。

　　全球安全公司Group-IB曾提到，目前全球最活躍的勒索團(tuán)伙背后，背后甚至有“售后客服”、“談判代表”、“數(shù)據(jù)公關(guān)”等完整鏈條。一些勒索組織甚至像創(chuàng)業(yè)公司一樣，開源勒索軟件供他人使用，從中抽取分成，形成所謂的 RaaS（勒索軟件即服務(wù)）模式，使得攻擊門檻大大降低。

　　甚至，隨著 AI 技術(shù)的日益演進(jìn)，如今的網(wǎng)絡(luò)攻擊手法都不需要太多技術(shù)能力：“有些攻擊者只需打個(gè)電話冒充員工，就能騙過 IT 客服拿到系統(tǒng)訪問權(quán)限?！?/p>

　　而對(duì)于被勒索的企業(yè)來說，盡管 NCA 等官方組織呼吁不要輕易支付贖金，但這卻是恢復(fù)數(shù)據(jù)最“快”的方式：一邊是上百萬英鎊的業(yè)務(wù)損失，一邊是“花幾萬英鎊贖回?cái)?shù)據(jù)”的權(quán)衡下，通常在金額不太過分的情況下，企業(yè)往往會(huì)選擇后者。

　　可正如 NCA 情報(bào)總監(jiān) James Babbage 所說：“正是一次次的支付，才養(yǎng)肥了這個(gè)犯罪生態(tài)?！?/p>

　　

　　由于IT安全是非“利潤中心”，因此選擇節(jié)省開支？

　　BBC對(duì)于KNP這一事件的報(bào)道，在各大開發(fā)者社區(qū)引起了不小的關(guān)注與討論。

　　

　　其中熱度最高、點(diǎn)贊最多的一個(gè)評(píng)論，是一個(gè)直擊重點(diǎn)的提問：“為什么明明是一家 158 歲的公司，其 IT 安全防護(hù)水平還停留在 158 年前？”

　　

　　對(duì)于這個(gè)疑問，多數(shù)程序員一言道出真相：因?yàn)镮T是企業(yè)中的“成本中心”，而非“利潤中心”——大多數(shù)公司根本不想對(duì)成本中心進(jìn)行投資。

　　“我從事的是非技術(shù)相關(guān)領(lǐng)域的工作，但我曾向 IT 團(tuán)隊(duì)和首席運(yùn)營官提到，公司系統(tǒng)太容易意外清除所有之前的流程/工單了，可以優(yōu)化一下。如果工作流程中的任何人不小心按了幾個(gè)按鈕，恢復(fù)起來就會(huì)非常麻煩，但他當(dāng)時(shí)回答我說‘誰會(huì)傻到按控制鍵給全刪除了？’結(jié)果，在我休假的時(shí)候，這件事真的發(fā)生了，最終導(dǎo)致了數(shù)百萬美元的訂單損失……”

　　“我有一個(gè)商業(yè)客戶，連續(xù)兩任都是非常聰明的 CFO。他們明白網(wǎng)絡(luò)安全很重要，也愿意為此付費(fèi)。我記得第一位 CFO 告訴我，如果他們的系統(tǒng)癱瘓，每小時(shí)將損失約 5 萬美元，所以他根本不會(huì)猶豫每月幾百美元的反病毒保護(hù)費(fèi)。”

　　“光是‘成本中心’這個(gè)詞，就足以讓大多數(shù) IT 工作者陷入痛苦回憶了。很多公司都在 IT 方面節(jié)省開支，因?yàn)楦吖芎?CEO 都是技術(shù)盲，對(duì)技術(shù)升級(jí)（他們不理解）沒有興趣進(jìn)行投資。”

　　值得一提的是，在KNP事件過后，其董事Paul Abbott開始面向各地企業(yè)分享自身教訓(xùn)。他提出了一個(gè)新概念：“Cyber MOT”——即仿照汽車年檢制度，強(qiáng)制企業(yè)每年對(duì)自身網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全體檢。

“我們必須制定一些硬性規(guī)則，讓企業(yè)的 IT 系統(tǒng)在應(yīng)對(duì)網(wǎng)絡(luò)犯罪時(shí)具備最基本的韌性?！?/blockquote>

　　簡單來說，可以包括啟用多因素認(rèn)證（MFA）、禁止使用重復(fù)密碼、嚴(yán)格限制員工權(quán)限、引入員工網(wǎng)絡(luò)安全培訓(xùn)、定期更新和清查賬號(hào)系統(tǒng)等。

　　對(duì)于開發(fā)者、IT人員、安全工程師而言，也許我們無法徹底阻止攻擊的發(fā)生，但至少應(yīng)該確保——密碼不是最先被攻破的那道門。而改變這一切的第一步，或許就是從改掉那個(gè)“123456”的密碼開始。

　　https://www.bbc.com/news/articles/cx2gx28815wo

　　https://www.tomshardware.com/tech-industry/cyber-security/158-year-old-company-forced-to-close-after-ransomware-attack-precipitated-by-a-single-guessed-password-700-jobs-lost-after-hackers-demand-unpayable-sum