Finastra如何在不支付赎金的情况下幸存于勒索软件攻击 - 彭博社

插图：斯蒂芬·戴维森为《彭博商业周刊》创作黑客在三月中旬悄然进入了总部位于伦敦的银行软件制造商Finastra的计算机网络，当时该公司正专注于制定应对新兴Covid-19冠状病毒大流行的紧急计划。黑客以精准和迅速的方式捕获了员工密码，并在Finastra网络关键部分的数十台服务器上安装了后门。

尽管几乎不为人知，Finastra集团控股有限公司是全球金融系统的重要组成部分，其软件和服务涵盖了从银行网站到管理自身资金的后台系统。其8500多名客户中包括全球100家最大银行中的90家。

彭博商业周刊体育博彩应用程序比你想象的更具毒性苹果撤回了其在影院发布电影的重大计划廉价汉堡的终结哈里斯的竞选如何最终使拜登的表情包策略奏效攻击持续了三天而未被察觉。但黑客在Finastra的一台云服务器上的活动触发了一个警报，提醒了公司的安全团队，并引发了入侵的毁灭性结局。在3月20日，黑客——显然意识到他们正在被追捕——开始引爆一种名为Ryuk的强效勒索软件。

随着恶意软件迅速传播，锁定了一台又一台服务器，Finastra的信息安全团队评估了其日益减少的选择，最终选择了核选项：公司将所有可能感染的服务器下线。首先是数百台，然后是数千台。攻击戛然而止——Finastra的业务关键部分也随之停滞。瞬间，许多Finastra客户的服务陷入黑暗。

Finastra 数据泄露的内幕故事——《彭博商业周刊》通过一位与 Finastra 及其聘请的安全公司进行的调查密切相关的人提供的数十份内部文件进行了重建——显示了公司在资源枯竭和分散的工作队伍中所面临的脆弱性，以及那些渴望利用这些脆弱性的日益激进的黑客团体。“我们相信，攻击是故意发生的，因为我们专注于将我们全球大部分员工，包括数千名在美洲的同事，转移到更安全的居家办公流程，以应对 COVID-19，”首席执行官西蒙·巴黎在 3 月 23 日的声明中说道。

在全球 100 家最大的银行中，Finastra 与 90% 的银行合作

Finastra 拒绝对有关黑客攻击、其应对措施以及随后的调查的几个具体问题发表评论。“通过我们采取的将服务器下线的行动，我们保持了对网络的控制，我们在相对较短的时间内恢复运营的能力反映了这一点，”一位公司发言人表示。该数据泄露之前由专注于网络犯罪的调查性新闻网站 KrebsonSecurity.com 报道。

勒索软件是一种加密计算机文件的恶意软件，通常通过欺诈性电子邮件中的链接传播——即所谓的网络钓鱼尝试。一旦进入计算机网络并开始锁定数据，黑客就会要求支付赎金以换取解密密钥。近年来，针对所有类型的政府机构和企业，包括学区、医生办公室和跨国公司的勒索软件攻击不断增加。但 COVID-19 大流行 为黑客提供了一个千载难逢的机会，可以攻击脆弱的目标，因为整个办公室都在居家办公，信息技术人员的工作压力很大。Ryuk 勒索软件是由一个俄罗斯有组织犯罪团伙创建的，网络安全研究人员称之为 Wizard Spider。

埃里克·弗里德伯格，Aon Plc的联合总裁斯特罗兹·弗里德伯格事件响应公司，虽然未参与Finastra事件，但表示自一月以来，攻击者获得网络访问权限到部署勒索软件的时间已从几周或几个月缩短至2到10天。他表示，这种加速的节奏大大减少了受害者检测入侵和决定如何应对的时间，最大化了黑客的杠杆作用。

不过，Finastra有一个优势：根据调查人员准备的详细事件时间表，并经过彭博商业周刊审查，它很快就得知了这一漏洞，因为其安全团队被警告发现了在微软云中托管的Finastra服务器上的异常活动。这是警示Finastra它面临更大问题的触发点。公司发现黑客在数十台被称为域控制器的关键服务器上安装了恶意软件。这意味着他们对大量从属服务器及其上的数据拥有控制权，根据调查人员准备的感染服务器电子表格。

“这是最后需要发生的事情”

Finastra在基本领域的网络安全卫生方面已经存在问题，包括未能修复已知的软件安全问题。这些漏洞帮助攻击者在进入后迅速在网络中传播，熟悉调查的人士表示。Finastra的信息安全团队曾建议修复这些问题，但被担心这些更改可能会导致旧应用程序中断的高级管理人员否决。

尽管如此，早期的检测使Finastra能够在黑客开始部署勒索软件之前映射他们的活动。这帮助公司识别和隔离潜在感染的服务器，并在几天内恢复关键服务——这之间的差别就像是被击倒和受到重创。

尚无法确定有多少金融机构受到Finastra服务中断的影响，或者是否有任何敏感数据被盗。然而，根据文件和熟悉调查的人士的说法，Finastra的几个核心业务经历了中断，其中一些持续了至少几天，包括管理抵押贷款、学生贷款处理和零售银行业务的服务。许多Finastra在其网站上强调的社区银行和信用合作社在攻击当天发布了通知，并在随后的几天内表示，由于核心银行服务提供商的漏洞，他们的服务中断，但没有提及Finastra。

霍里孔银行，威斯康星州的一个社区银行网络，表示它是美国“数百个”受到该事件影响的金融机构之一。利亚县国家银行，新墨西哥州霍布斯的一家社区银行，也表示受到影响。一些客户在银行的Facebook页面上写道，他们无法访问自己的账户。“在所有这些冠状病毒的恐慌中，这正是我们不需要发生的事情，”一位客户在线写道。两家银行在几天后发布消息称，他们的在线银行和账单支付服务已恢复。银行的代表没有回复寻求评论的信息。

Finastra的黑客攻击可能是未来趋势的一个迹象，因为由于冠状病毒引发的封锁持续进行，黑客们瞄准那些已经处于危机中的公司。但它的反应也可能为威慑提供一个模型。根据熟悉Finastra内部调查的人士，该公司没有支付任何赎金。它不需要这样做。因为Finastra决定关闭必要服务而不是支付赎金，它承担了一种成本以避免潜在的更糟糕的情况。该公司在可能的情况下清除了感染服务器上的恶意软件，而在无法移除的情况下，这些服务器则完全重建，使用备份数据——这是一个复杂且耗时的过程。“支付赎金，”那个人说，“只会让你在下次成为更大的目标。”