导读
2025年11月11日,安全界最担心的事情还是发生了。在经历了近两个月的沉默对抗后,Everest勒索组织最终将其暗网博客上的威胁变为了现实,公开宣布已泄露从美国国防巨头**柯林斯航空(Collins Aerospace)**窃取的数据库。
这起事件的根源,正是9月底导致欧洲全境陷入瘫痪的柯林斯航空系统崩溃事件。当时,伦敦希思罗、布鲁塞尔、柏林等多个主要枢纽机场的MUSE值机软件(由柯林斯提供)突发故障,导致数千名旅客滞留,航班大面积延误。现在,随着数据的公开,那场混乱背后的惊人内幕才真正浮出水面。
一、 两个月的战争:从系统瘫痪到数据泄露
这起攻击的时间线,展现了勒索团伙与受害巨头之间一场漫长而隐秘的较量:
- 9月19日(系统瘫痪): 柯林斯航空的MUSE值机软件出现技术问题,欧洲各大机场陷入混乱。柯林斯母公司RTX向航空当局报告称,其Arinc CMUSE软件遭遇网络相关中断。
- 9月22日(官方确认): 欧盟网络安全局(ENISA)证实,机场的混乱是由勒索软件攻击导致的。
- 10月18日(攻击者现身): 在机场瘫痪近一个月后,Everest勒索组织在其暗网博客上认领了此次攻击。他们声称窃取了超过50GB的数据库,并设置了8天的赎金倒计时。
- 10月下旬(谈判拉锯): 据信双方进入了谈判阶段。Everest重置了倒计时时钟,给了柯林斯航空(或其母公司RTX)额外八天的时间来支付赎金。
- 11月11日(谈判破裂): 显然,谈判已经破裂。Everest勒索组织于11月11日(美国退伍军人节)再次发帖,标题直指:柯林斯航空 / RTX.com - 数据库泄露。
本次勒索事件时间线整理
二、 受害巨头:柯林斯航空及其母公司RTX
此次的受害者柯林斯航空,绝非等闲之辈。 它是全球最大的航空航天和国防产品供应商之一,隶属于美国国防承包商巨头RTX Corporation(原雷神技术公司)。柯林斯为全球的军用、民用飞机提供航空电子设备、飞行控制系统、机场信息管理系统(如本次出事的MUSE)等关键服务。攻击这样的企业,无异于直接打击了全球航空业的中枢神经。
柯林斯航空(Collins Aerospace)宣传图
三、 惊人内幕:一个2022年的陈旧密码引发的血案
然而,这场引发全球关注的供应链灾难,其源头却不是什么高深的0day漏洞,而是一个令人震惊的基础安全疏忽。
根据德国知名IT媒体heise online的深入报道,攻击者早在9月10日(系统瘫痪前9天)就已轻松进入了柯林斯航空的内网。
入侵点: 一个暴露在公网的FTP服务器(ftp.arinc.com)。 入侵凭据: 攻击者使用了极其简单的默认凭据:
- 用户名:****
aiscustomer - 密码:****
muse-insecure
讽刺的是,这个导致MUSE系统瘫痪的密码,竟然就是"MUSE-不安全"。
更致命的是,据安全公司Hudson Rock的分析,这组凭据来源于2022年的一次员工PC信息窃取事件。这意味着,这个致命的后门已经敞开了近三年之久,无人察觉。
四、 谈判筹码:153万乘客数据与3600名员工信息
Everest敢于和RTX这样的国防巨头叫板,是因为他们手里握有实实在在的筹码。
此次公开的泄露文件中,包含了Everest与RTX代表(化名Admin_Tox2025)的谈判聊天记录。在9月17日的对话中,Everest向对方清晰地列出了他们窃取的数据清单,其内容触目惊心:
- 1,533,900条个人乘客记录(PNR): 包含乘客ID、运营承运人、航班号、座位号、乘客状态、票号等极度敏感的飞行信息。
- 一个超过9GB的SQL数据库转储: 包含3637名员工的完整信息,如全名、用户名、别名、电子邮件、最后登录时间、非活动状态和审计元数据。
- 大量内部网络拓扑和基础设施信息: 包括工作站命名约定、功能角色分组、设备ID、应用程序指纹(如Citrix, VMWare)、版本号以及审计日志等。
Everest与RTX代表的谈判聊天记录截图
Everest泄露的数据库查询截图
Everest泄露的文件截图
五、 攻击者画像:转型为数据掮客的Everest
Everest勒索组织自2020年12月以来一直非常活跃。但与其他团伙不同,他们近期的策略发生了重大转变。
正如heise online的报道和Everest自己的声明所述:"本组织不使用或分发勒索软件。"
他们已经从加密勒索转型为更纯粹的初始访问代理(IAB)和数据盗窃勒索。他们专注于利用各种手段(钓鱼、RDP爆破、内部员工策反)渗透网络,只窃取最有价值的数据,然后进行勒索。如果谈判失败,他们就将数据打包出售给其他黑客,或直接公开。
这种只偷不加密的模式,使他们的攻击更难被察觉。其战利品名单中不乏全球巨头:
- 宝马(BMW)
- 可口可乐(Coca-Cola)
- 娇韵诗集团(Groupe Clarins)
六、 我们的洞察:安全防御,细节决定成败
一个2022年的陈旧密码,一个被遗忘的FTP服务器,最终导致了2025年的全球航空混乱。柯林斯航空的事件是一个惨痛的、教科书般的教训,它完美诠释了千里之堤,毁于蚁穴的道理。
这起事件再次印证了我们在《Solar安全洞察 | 10月勒索态势月报》中反复强调的观点:最昂贵的防火墙,也抵不过一个最简单的默认密码。 无论是本次的muse-insecure,还是此前导致虚拟化平台雪崩的root/vmware,威胁的根源都是对基础安全配置的极度忽视。
企业如何才能发现自己网络中是否存在像柯林斯这样被遗忘的定时炸弹?
答案是:必须进行实战演练。
制定预案不如实战演习。我们(思而听Solar团队)的防勒索模拟演练平台,正是为此而生。它可以在一个绝对安全、可控的环境中,模拟Everest、Akira等团伙的真实攻击(如利用默认口令、钓鱼邮件、已知漏洞),检验您现有的防御体系和应急团队(无论是自建SOC还是MDR服务)到底能不能扛得住。
思而听防勒索模拟演练平台
对于大多数企业而言,在复杂的IT资产中,可能隐藏着不止一个muse-insecure。
构筑安全长城,必须从技术和管理两个层面同时入手。这包括严格的数据备份(特别是离线备份)、全面的身份认证(MFA)、网络安全域划分和终端防护。
勒索软件的威胁真实且严峻,它考验着每一个组织的安全水位。我们(思而听Solar应急响应团队)常年奋战在勒索对抗的第一线。无论您是需要进行安全评估、部署防护产品、组织模拟演练,还是不幸遭遇攻击需要紧急援助,我们都在这里,随时准备提供专业的支持。
