與俄羅斯相關的勒索軟件黑客如何榨乾這家小公司 - 彭博社

Ryan Gallagher

2024-12-06

插圖：Jon Han 為 彭博市場

在計算機屏幕上閃爍的黑白信息引發了老騎士公司（Knights of Old）的恐慌，這是一家成立158年的英國快遞公司：“如果你正在閲讀這條信息，這意味着你公司的內部基礎設施完全或部分癱瘓。”

老騎士公司的卡車管理網絡癱瘓了。支付預訂系統也癱瘓了。距離2000英里外，一個與俄羅斯有關的黑客團伙，名為 Akira，破壞了老騎士公司及兩家相關卡車公司的計算機。為了迫使談判，這些罪犯在2023年6月部署了惡意軟件，加密了老騎士公司的文件，並威脅要在線發佈其機密內部數據。支付贖金將使公司獲得一個解密密鑰，可以用來解鎖被攻擊的計算機和服務器，Akira表示。

“目前，讓我們把所有的眼淚和怨恨留給自己，努力建立一個建設性的對話，”該團伙在老騎士公司的感染機器上寫道。“我們完全意識到通過鎖定你們的內部資源造成的損害。”

針對小公司的攻擊

受勒索軟件影響的公司按員工人數分佈，2024年第三季度

來源：Coveware

在2023年勒索軟件攻擊比一年前增加了70%，達到4,611起，依據網絡安全研究和培訓機構SANS Institute的報告。自2023年3月以來，Akira單獨就已使超過350個組織成為受害者，並估計勒索了4200萬美元，美國聯邦調查局和彭博社的分析發現。（該團伙維護着一個網站，但未回應評論請求。）

Akira的目標包括一些知名企業，如日產汽車公司、斯坦福大學和雅馬哈汽車公司。但網絡安全研究人員發現，約80%的受害者是中小型組織，大多數位於北美和歐洲。“無論大小，任何企業都無法忽視這一威脅，”58歲的騎士公司共同所有者保羅·阿博特説。

根據數字保險公司Embroker的説法，大多數小型企業將其網絡安全損失的保單限額設定為100萬美元，接近騎士公司的水平。這筆錢可能用於支付贖金並幫助重建受感染的計算機。但這通常遠遠不夠。根據保險經紀公司Marsh & McLennan Cos的調查，2023年的中位數贖金支付飆升至650萬美元，而前一年為33.5萬美元。

威爾·托馬斯，一位密切關注Akira攻擊的網絡安全專家表示，該團伙通過掃描互聯網尋找運行過時軟件的服務器來識別目標，然後 opportunistically 進行入侵。“他們所做的並不特別複雜或高級，”托馬斯説。“但他們非常成功，而且非常無情。”

一輛早期的機動老騎士送貨車輛，公司大約在1918年開始使用。來源：老騎士1865年，威廉·奈特開始在一輛馬車上進行送貨，他駕駛着馬車穿過一個名為老村的英格蘭村莊，距離倫敦約80英里。因此，他的公司現在位於附近的凱特林，後來被稱為老騎士。阿博特在該地區長大，認識奈特家族，20歲時加入了老騎士。他最初擔任交通經理，幫助安排卡車路線，並支持司機和客户。阿博特逐步晉升，到了2007年，他和兩位未回應評論請求的商業夥伴成為董事，然後共同擁有公司。他們後來與另外兩家送貨公司——納爾遜配送有限公司和史蒂夫·波特運輸有限公司——合併，成立了KNP集團。

一輛老騎士卡車在西倫敦。攝影師：莫里斯·薩維奇/阿拉米在黑客攻擊發生時，KNP的年收入接近1億英鎊（1.26億美元），擁有900名員工、七個倉庫和400輛卡車。老騎士是三家公司中最大和最知名的，其卡車上印有盔甲騎士的形象，鮮豔的藍色和巨大的黃色字母拼寫着座右銘“榮譽服務”。其客户包括出版巨頭企鵝隨機之家和哈切特書集團，他們依賴其車隊為亞馬遜公司和其他零售商分發數百萬本書。在2023年初，KNP在倫敦附近的盧頓租賃了一座14萬平方英尺的倉庫，作為擴張努力的一部分。

在過去經歷過計算機故障後，阿博特和他的同事們已經建立了一種替代的工作方式。他們可以恢復到為每次交付寫紙質票據和工作單，並使用他們的手機和Gmail。

在《彭博市場》12月/1月期刊中 featured *彭博市場。*插圖：卡羅琳娜·莫斯科索為彭博市場提供阿博特曾認為公司是安全的。在入侵發生的一個月前，他通過英國保險公司Aviva Plc安排了一份100萬英鎊的網絡攻擊保險，但該公司拒絕發表評論。管理層還對員工進行了網絡安全意識培訓，並每年支付約60,000英鎊給提供支持的承包商。但在攻擊發生後，他表示，這位承包商——他拒絕透露姓名——提供的幫助很少，並且“完全不知道”該怎麼做。

在初次攻擊後，Aviva安排了一支來自安全公司Solace Cyber的專家團隊來提供幫助。第二天早上，他們開始對所有連接到公司網絡的電子設備——計算機、筆記本電腦，甚至複印機進行數字清理。Solace的董事總經理兼聯合創始人保羅·卡什莫爾表示，這次泄露造成了毀滅性的損害。他回憶起引導騎士公司的員工經歷情緒過山車的過程。“首先是震驚。然後是意識到。接着是應對影響，”他説。卡什莫爾表示，Solace目前每週處理大約兩起重大勒索軟件事件，且這一速度沒有減緩的跡象。

騎士們諮詢了總部位於美國的公司Coveware Inc.，該公司專門與勒索軟件黑客進行談判，阿博特説。該公司拒絕發表評論，告訴他，根據KNP的規模和收入，Akira團伙可能會期望支付價值270萬美元到530萬美元的比特幣。執法機構通常建議不要支付贖金，因為這會激勵進一步的攻擊。向這些團伙發送加密貨幣也可能違反針對某些涉案罪犯的制裁。

阿博特攝影師：瑞安·加拉赫/彭博社阿博特表示，他和他的合作伙伴決定不與Akira談判或支付任何費用，因為即使有解密密鑰，也無法保證數據能夠完全恢復。作為回應，黑客兑現了他們的威脅，在線發佈了超過10,000份內部文件——主要是員工工資文件、發票和其他財務信息。

該公司試圖重建其計算機。在幾天內，騎士的技術人員建立了一個新的運輸管理系統，並恢復了舊的倉庫軟件備份。但財務管理數據庫無法立即恢復，因為黑客摧毀了另一個本應安全存儲在其他地方的備份。

面對現金流壓力，KNP尋求貸款。阿博特説，銀行只會在公司能夠提供缺失的財務記錄和業績報告的情況下提供貸款。仍在等待保險公司賠付的共同所有者試圖出售公司。一位歐洲商人接近達成購買協議。但由於缺失的財務記錄，買方堅持要求三位合夥人個人擔保公司的財務狀況。他們將把自己的房子和儲蓄置於風險之中。根據阿博特的説法，合夥人們猶豫不決。“我妻子絕對不會讓我這樣做，無論我們對業務有多自信，”他説。

在2023年9月25日，KNP集團進入管理，英國相當於破產。在凱特林，阿博特向他的員工宣佈了這一消息，其中一些人是他合作了幾十年的同事。另一家公司收購了KNP的一個子公司，尼爾森分銷，拯救了大約170個工作崗位。但KNP其餘約700名員工，其中大多數來自老騎士，失去了生計。為老騎士駕駛卡車的傑夫·馬斯林説，司機們仍然欠着幾周的工資。“我知道有人失去了房子，失去了汽車，最後離婚了，”他説。

KNP後來確定，明理通過一種叫做“暴力破解”的技術獲得了對公司系統的訪問，該技術可以使用軟件進行數千次或數百萬次的猜測，以發現員工的密碼。阿博特表示，更復雜的安全監控軟件可能有助於檢測入侵。“如果你沒有這個，趕快去弄一個，”他建議其他公司。

今年早些時候，管理人員開始出售騎士總部及KNP的其他資產。大部分是租賃的卡車車隊已被歸還。保險公司最終支付了100萬英鎊的保單，但並未覆蓋騎士在管理中的損失。

阿博特現在為其他物流公司擔任顧問，最近購買了一輛卡車，計劃用它重新開始。“我不得不重建我的生活，”他説。“我失去了所有。”

加拉赫在彭博社的愛丁堡辦公室工作，負責網絡安全報道。