2月初,针对瑞士国际空港服务有限公司(Swissport)的黑客攻击成为全球头条新闻。由于某些系统暂时无法使用,空中交通出现延误。
Swissport是全球最大的航空公司和机场服务提供商,总部位于苏黎世州的Opfikon。Swissport发言人Stefan Hartung上周四称:“初步分析表明,没有敏感数据泄露的可能性极高。”但这应该是一个错误。
攻击的背后是勒索软件团伙BlackCat,在现场也被称为ALPHVM。自周二以来,勒索黑客一直在他们的暗网网站上出售他们所有窃取的数据。根据他们自己的说法,1.6TB的内部数据落入了他们的手中。
作为数据泄露的证据并强调他们的威胁,他们公布了一小部分数据:包括不同国籍的护照副本、申请文件和机密审计报告的摘录。例如,在一个表格中,可以看到姓名、国籍、宗教、电话号码和工作面试时的评估。这些数据究竟是来自Swissport(这似乎很有可能),还是来自其他黑客,目前还不能确定。
黑客们威胁说,他们将很快公布更多的样本数据,以便对被黑公司施加进一步压力。该公司最新声明写道:
“对于Swissport,我们系统的数据安全性具有最高优先级。Swissport已对影响我们多个系统的网络攻击做出响应。作为我们分析的一部分,我们发现未经授权的人将据称从Swissport窃取的数据放到网上。我们认真对待这些说法,并正在分析已发布的数据,作为我们对该事件正在进行的调查的一部分。
得知事件后,我们立即关闭了受影响的系统,展开了调查,通知了执法当局,并请来了领先的网络安全专家来评估攻击的程度。目前,我们无法提供进一步的细节。
我们正在与客户、合作伙伴和员工进行对话。Swissport对这一事件给我们的客户、合作伙伴和员工造成的情况感到遗憾。”
Swissport
上周,Swissport表示:“尚未通知FDPIC(编者注:联邦数据保护和信息专员),因为IT安全事件没有导致数据外流,从而产生相应的告知义务。”
对行李处理商IT基础设施的勒索软件攻击始于两周前的星期四早上,据有关公司称,立即被发现。“我们的IT安全系统很早就发现了这一事件,因此我们能够立即采取有效且成功的防御措施。”一位媒体发言人说。
用于规划人员、飞机和货运的IT系统受到影响。Swissport能够相对较快地(部分)恢复系统,但与最初的假设相反,数据泄漏显然无法防止或无法完全防止。
2021年,Swissport负责约9700万乘客的地勤服务,并提供登机、货运服务和飞机加油等服务。
这个网络犯罪团伙是黑客的幕后黑手
Swissport正在与一个极其危险的勒索软件团伙打交道。BlackCat目前针对来自美国、乌克兰和瑞士等国的公司,并正在攻击广泛使用的Windows和Linux系统的公司。
例如,在德国,勒索软件组织在年初引起了轰动,当时黑客瘫痪了全国的Oiltank-ing油库,该油库为大型公司壳牌等公司供货。
BlackCat只活跃了很短的时间,并以一种显然非常复杂和先进的加密软件引起了轰动。BlackCat会加密和窃取数据,以便在受害者可以从备份中恢复数据时获得额外的优势。
BlackCat,以前也称为BlackMatter或DarkSide,很可能是以前与特别活跃的勒索软件组织REvil合作的同一批犯罪分子。2021年,REvil参与了迄今为止最大的勒索黑客攻击之一,渗透了全球800至1500家公司并窃取了宝贵的数据。2021年6月上旬,REvil用勒索软件攻击了全球最大的肉类公司JBS,使北美和澳大利亚的大部分生产瘫痪。
简而言之:Swissport黑客很可能是勒索工作中经验丰富的专业攻击者。
为什么受害者不应支付赎金?
国家网络安全中心NCSC建议不要支付赎金,并警告说:“无法保证犯罪分子在支付赎金后不会公布数据或从中获取其他利益。此外,每一次成功的勒索都会激励攻击者继续下去,为攻击的进一步发展提供资金,并促进其蔓延。”
如果受害者仍在考虑支付赎金,NCSC强烈建议与各州警方讨论这些步骤。
该网站https://www.nomoreransom.org/,提供了识别恶意软件的提示和下载已经知道的密钥的选项。Nomoreransom.org是荷兰警方和欧洲刑警组织的一个联合项目,瑞士联邦也参与其中。