与俄罗斯相关的勒索软件黑客如何榨干这家小公司 - 彭博社

Ryan Gallagher

2024-12-06

插图：Jon Han 为 彭博市场

在计算机屏幕上闪烁的黑白信息引发了老骑士公司（Knights of Old）的恐慌，这是一家成立158年的英国快递公司：“如果你正在阅读这条信息，这意味着你公司的内部基础设施完全或部分瘫痪。”

老骑士公司的卡车管理网络瘫痪了。支付预订系统也瘫痪了。距离2000英里外，一个与俄罗斯有关的黑客团伙，名为 Akira，破坏了老骑士公司及两家相关卡车公司的计算机。为了迫使谈判，这些罪犯在2023年6月部署了恶意软件，加密了老骑士公司的文件，并威胁要在线发布其机密内部数据。支付赎金将使公司获得一个解密密钥，可以用来解锁被攻击的计算机和服务器，Akira表示。

“目前，让我们把所有的眼泪和怨恨留给自己，努力建立一个建设性的对话，”该团伙在老骑士公司的感染机器上写道。“我们完全意识到通过锁定你们的内部资源造成的损害。”

针对小公司的攻击

受勒索软件影响的公司按员工人数分布，2024年第三季度

来源：Coveware

在2023年勒索软件攻击比一年前增加了70%，达到4,611起，依据网络安全研究和培训机构SANS Institute的报告。自2023年3月以来，Akira单独就已使超过350个组织成为受害者，并估计勒索了4200万美元，美国联邦调查局和彭博社的分析发现。（该团伙维护着一个网站，但未回应评论请求。）

Akira的目标包括一些知名企业，如日产汽车公司、斯坦福大学和雅马哈汽车公司。但网络安全研究人员发现，约80%的受害者是中小型组织，大多数位于北美和欧洲。“无论大小，任何企业都无法忽视这一威胁，”58岁的骑士公司共同所有者保罗·阿博特说。

根据数字保险公司Embroker的说法，大多数小型企业将其网络安全损失的保单限额设定为100万美元，接近骑士公司的水平。这笔钱可能用于支付赎金并帮助重建受感染的计算机。但这通常远远不够。根据保险经纪公司Marsh & McLennan Cos的调查，2023年的中位数赎金支付飙升至650万美元，而前一年为33.5万美元。

威尔·托马斯，一位密切关注Akira攻击的网络安全专家表示，该团伙通过扫描互联网寻找运行过时软件的服务器来识别目标，然后 opportunistically 进行入侵。“他们所做的并不特别复杂或高级，”托马斯说。“但他们非常成功，而且非常无情。”

一辆早期的机动老骑士送货车辆，公司大约在1918年开始使用。来源：老骑士1865年，威廉·奈特开始在一辆马车上进行送货，他驾驶着马车穿过一个名为老村的英格兰村庄，距离伦敦约80英里。因此，他的公司现在位于附近的凯特林，后来被称为老骑士。阿博特在该地区长大，认识奈特家族，20岁时加入了老骑士。他最初担任交通经理，帮助安排卡车路线，并支持司机和客户。阿博特逐步晋升，到了2007年，他和两位未回应评论请求的商业伙伴成为董事，然后共同拥有公司。他们后来与另外两家送货公司——纳尔逊配送有限公司和史蒂夫·波特运输有限公司——合并，成立了KNP集团。

一辆老骑士卡车在西伦敦。摄影师：莫里斯·萨维奇/阿拉米在黑客攻击发生时，KNP的年收入接近1亿英镑（1.26亿美元），拥有900名员工、七个仓库和400辆卡车。老骑士是三家公司中最大和最知名的，其卡车上印有盔甲骑士的形象，鲜艳的蓝色和巨大的黄色字母拼写着座右铭“荣誉服务”。其客户包括出版巨头企鹅随机之家和哈切特书集团，他们依赖其车队为亚马逊公司和其他零售商分发数百万本书。在2023年初，KNP在伦敦附近的卢顿租赁了一座14万平方英尺的仓库，作为扩张努力的一部分。

在过去经历过计算机故障后，阿博特和他的同事们已经建立了一种替代的工作方式。他们可以恢复到为每次交付写纸质票据和工作单，并使用他们的手机和Gmail。

在《彭博市场》12月/1月期刊中 featured *彭博市场。*插图：卡罗琳娜·莫斯科索为彭博市场提供阿博特曾认为公司是安全的。在入侵发生的一个月前，他通过英国保险公司Aviva Plc安排了一份100万英镑的网络攻击保险，但该公司拒绝发表评论。管理层还对员工进行了网络安全意识培训，并每年支付约60,000英镑给提供支持的承包商。但在攻击发生后，他表示，这位承包商——他拒绝透露姓名——提供的帮助很少，并且“完全不知道”该怎么做。

在初次攻击后，Aviva安排了一支来自安全公司Solace Cyber的专家团队来提供帮助。第二天早上，他们开始对所有连接到公司网络的电子设备——计算机、笔记本电脑，甚至复印机进行数字清理。Solace的董事总经理兼联合创始人保罗·卡什莫尔表示，这次泄露造成了毁灭性的损害。他回忆起引导骑士公司的员工经历情绪过山车的过程。“首先是震惊。然后是意识到。接着是应对影响，”他说。卡什莫尔表示，Solace目前每周处理大约两起重大勒索软件事件，且这一速度没有减缓的迹象。

骑士们咨询了总部位于美国的公司Coveware Inc.，该公司专门与勒索软件黑客进行谈判，阿博特说。该公司拒绝发表评论，告诉他，根据KNP的规模和收入，Akira团伙可能会期望支付价值270万美元到530万美元的比特币。执法机构通常建议不要支付赎金，因为这会激励进一步的攻击。向这些团伙发送加密货币也可能违反针对某些涉案罪犯的制裁。

阿博特摄影师：瑞安·加拉赫/彭博社阿博特表示，他和他的合作伙伴决定不与Akira谈判或支付任何费用，因为即使有解密密钥，也无法保证数据能够完全恢复。作为回应，黑客兑现了他们的威胁，在线发布了超过10,000份内部文件——主要是员工工资文件、发票和其他财务信息。

该公司试图重建其计算机。在几天内，骑士的技术人员建立了一个新的运输管理系统，并恢复了旧的仓库软件备份。但财务管理数据库无法立即恢复，因为黑客摧毁了另一个本应安全存储在其他地方的备份。

面对现金流压力，KNP寻求贷款。阿博特说，银行只会在公司能够提供缺失的财务记录和业绩报告的情况下提供贷款。仍在等待保险公司赔付的共同所有者试图出售公司。一位欧洲商人接近达成购买协议。但由于缺失的财务记录，买方坚持要求三位合伙人个人担保公司的财务状况。他们将把自己的房子和储蓄置于风险之中。根据阿博特的说法，合伙人们犹豫不决。“我妻子绝对不会让我这样做，无论我们对业务有多自信，”他说。

在2023年9月25日，KNP集团进入管理，英国相当于破产。在凯特林，阿博特向他的员工宣布了这一消息，其中一些人是他合作了几十年的同事。另一家公司收购了KNP的一个子公司，尼尔森分销，拯救了大约170个工作岗位。但KNP其余约700名员工，其中大多数来自老骑士，失去了生计。为老骑士驾驶卡车的杰夫·马斯林说，司机们仍然欠着几周的工资。“我知道有人失去了房子，失去了汽车，最后离婚了，”他说。

KNP后来确定，明理通过一种叫做“暴力破解”的技术获得了对公司系统的访问，该技术可以使用软件进行数千次或数百万次的猜测，以发现员工的密码。阿博特表示，更复杂的安全监控软件可能有助于检测入侵。“如果你没有这个，赶快去弄一个，”他建议其他公司。

今年早些时候，管理人员开始出售骑士总部及KNP的其他资产。大部分是租赁的卡车车队已被归还。保险公司最终支付了100万英镑的保单，但并未覆盖骑士在管理中的损失。

阿博特现在为其他物流公司担任顾问，最近购买了一辆卡车，计划用它重新开始。“我不得不重建我的生活，”他说。“我失去了所有。”

加拉赫在彭博社的爱丁堡办公室工作，负责网络安全报道。