Finastra如何在不支付贖金的情況下倖存于勒索軟件攻擊 - 彭博社

插圖：斯蒂芬·戴維森為《彭博商業週刊》創作黑客在三月中旬悄然進入了總部位於倫敦的銀行軟件製造商Finastra的計算機網絡，當時該公司正專注於制定應對新興Covid-19冠狀病毒大流行的緊急計劃。黑客以精準和迅速的方式捕獲了員工密碼，並在Finastra網絡關鍵部分的數十台服務器上安裝了後門。

儘管幾乎不為人知，Finastra集團控股有限公司是全球金融系統的重要組成部分，其軟件和服務涵蓋了從銀行網站到管理自身資金的後台系統。其8500多名客户中包括全球100家最大銀行中的90家。

彭博商業週刊體育博彩應用程序比你想象的更具毒性蘋果撤回了其在影院發佈電影的重大計劃廉價漢堡的終結哈里斯的競選如何最終使拜登的表情包策略奏效攻擊持續了三天而未被察覺。但黑客在Finastra的一台雲服務器上的活動觸發了一個警報，提醒了公司的安全團隊，並引發了入侵的毀滅性結局。在3月20日，黑客——顯然意識到他們正在被追捕——開始引爆一種名為Ryuk的強效勒索軟件。

隨着惡意軟件迅速傳播，鎖定了一台又一台服務器，Finastra的信息安全團隊評估了其日益減少的選擇，最終選擇了核選項：公司將所有可能感染的服務器下線。首先是數百台，然後是數千台。攻擊戛然而止——Finastra的業務關鍵部分也隨之停滯。瞬間，許多Finastra客户的服務陷入黑暗。

Finastra 數據泄露的內幕故事——《彭博商業週刊》通過一位與 Finastra 及其聘請的安全公司進行的調查密切相關的人提供的數十份內部文件進行了重建——顯示了公司在資源枯竭和分散的工作隊伍中所面臨的脆弱性，以及那些渴望利用這些脆弱性的日益激進的黑客團體。“我們相信，攻擊是故意發生的，因為我們專注於將我們全球大部分員工，包括數千名在美洲的同事，轉移到更安全的居家辦公流程，以應對 COVID-19，”首席執行官西蒙·巴黎在 3 月 23 日的聲明中説道。

在全球 100 家最大的銀行中，Finastra 與 90% 的銀行合作

Finastra 拒絕對有關黑客攻擊、其應對措施以及隨後的調查的幾個具體問題發表評論。“通過我們採取的將服務器下線的行動，我們保持了對網絡的控制，我們在相對較短的時間內恢復運營的能力反映了這一點，”一位公司發言人表示。該數據泄露之前由專注於網絡犯罪的調查性新聞網站 KrebsonSecurity.com 報道。

勒索軟件是一種加密計算機文件的惡意軟件，通常通過欺詐性電子郵件中的鏈接傳播——即所謂的網絡釣魚嘗試。一旦進入計算機網絡並開始鎖定數據，黑客就會要求支付贖金以換取解密密鑰。近年來，針對所有類型的政府機構和企業，包括學區、醫生辦公室和跨國公司的勒索軟件攻擊不斷增加。但 COVID-19 大流行 為黑客提供了一個千載難逢的機會，可以攻擊脆弱的目標，因為整個辦公室都在居家辦公，信息技術人員的工作壓力很大。Ryuk 勒索軟件是由一個俄羅斯有組織犯罪團伙創建的，網絡安全研究人員稱之為 Wizard Spider。

埃裏克·弗裏德伯格，Aon Plc的聯合總裁斯特羅茲·弗裏德伯格事件響應公司，雖然未參與Finastra事件，但表示自一月以來，攻擊者獲得網絡訪問權限到部署勒索軟件的時間已從幾周或幾個月縮短至2到10天。他表示，這種加速的節奏大大減少了受害者檢測入侵和決定如何應對的時間，最大化了黑客的槓桿作用。

不過，Finastra有一個優勢：根據調查人員準備的詳細事件時間表，並經過彭博商業週刊審查，它很快就得知了這一漏洞，因為其安全團隊被警告發現了在微軟雲中託管的Finastra服務器上的異常活動。這是警示Finastra它面臨更大問題的觸發點。公司發現黑客在數十台被稱為域控制器的關鍵服務器上安裝了惡意軟件。這意味着他們對大量從屬服務器及其上的數據擁有控制權，根據調查人員準備的感染服務器電子表格。

“這是最後需要發生的事情”

Finastra在基本領域的網絡安全衞生方面已經存在問題，包括未能修復已知的軟件安全問題。這些漏洞幫助攻擊者在進入後迅速在網絡中傳播，熟悉調查的人士表示。Finastra的信息安全團隊曾建議修復這些問題，但被擔心這些更改可能會導致舊應用程序中斷的高級管理人員否決。

儘管如此，早期的檢測使Finastra能夠在黑客開始部署勒索軟件之前映射他們的活動。這幫助公司識別和隔離潛在感染的服務器，並在幾天內恢復關鍵服務——這之間的差別就像是被擊倒和受到重創。

尚無法確定有多少金融機構受到Finastra服務中斷的影響，或者是否有任何敏感數據被盜。然而，根據文件和熟悉調查的人士的説法，Finastra的幾個核心業務經歷了中斷，其中一些持續了至少幾天，包括管理抵押貸款、學生貸款處理和零售銀行業務的服務。許多Finastra在其網站上強調的社區銀行和信用合作社在攻擊當天發佈了通知，並在隨後的幾天內表示，由於核心銀行服務提供商的漏洞，他們的服務中斷，但沒有提及Finastra。

霍里孔銀行，威斯康星州的一個社區銀行網絡，表示它是美國“數百個”受到該事件影響的金融機構之一。利亞縣國家銀行，新墨西哥州霍布斯的一家社區銀行，也表示受到影響。一些客户在銀行的Facebook頁面上寫道，他們無法訪問自己的賬户。“在所有這些冠狀病毒的恐慌中，這正是我們不需要發生的事情，”一位客户在線寫道。兩家銀行在幾天後發佈消息稱，他們的在線銀行和賬單支付服務已恢復。銀行的代表沒有回覆尋求評論的信息。

Finastra的黑客攻擊可能是未來趨勢的一個跡象，因為由於冠狀病毒引發的封鎖持續進行，黑客們瞄準那些已經處於危機中的公司。但它的反應也可能為威懾提供一個模型。根據熟悉Finastra內部調查的人士，該公司沒有支付任何贖金。它不需要這樣做。因為Finastra決定關閉必要服務而不是支付贖金，它承擔了一種成本以避免潛在的更糟糕的情況。該公司在可能的情況下清除了感染服務器上的惡意軟件，而在無法移除的情況下，這些服務器則完全重建，使用備份數據——這是一個複雜且耗時的過程。“支付贖金，”那個人説，“只會讓你在下次成為更大的目標。”