美国保险业近日连续曝出重大勒索攻击:伊利保险 (Erie Insurance) 与费城保险 (Philadelphia Insurance Companies,PHLY) 均因网络入侵被迫下线核心系统,多家渠道称黑客已窃取高达 15 TB 的客户及业务数据。虽然两家公司尚未公开证实失窃数据规模,但多家情报与媒体源指出,攻击手法、勒索流程与近期在零售业大肆活动的 “Scattered Spider” 团伙高度一致,且已有律师事务所与评级机构针对潜在数据泄露、索赔及信用影响发声。
费城保险公司官方声明/图来自PHLY
1 | 事件速览
| 受害公司 | 发现时间 | 主要影响 | 官方/监管披露 |
|---|---|---|---|
| Erie Insurance | 6 月 7 日检测到“异常网络活动”,立即隔离系统 | 客户门户、理赔及电话系统持续中断,17 日仍在恢复中 | 向 SEC 递交 8-K,称正在评估潜在数据泄露 |
| Philadelphia Insurance (PHLY) | 6 月 9 日确认未授权访问并断开受影响系统 | 官网、内部网络离线,多日提醒员工“勿连公司网” | 暂未公开数据规模,业内消息称涉及“重大勒索事件” |
❝
泄露规模:多家暗网监测机构捕获攻击者发布“15 TB dump” 预告文件,包含保单、索赔、PII、医疗理赔影像等敏感数据。两家公司均尚未正式确认。
2 | 攻击链与威胁归属
2.1 初始入侵手段
- 社交工程:冒充 IT 支持致电帮助台,诱导重置高权账号或绕过 MFA。
- SIM 交换 / MFA 疲劳轰炸:获取验证码后登录 VPN 与 O365,快速横向移动。
2.2 后续步骤
- 执行凭据抓取与权限提升,锁定文件服务器与备份。
- 投放 RansomHub/DragonForce 等勒索软件,加密数据并留下勒索信。
- 上传大量数据至外部存储,威胁公开或二次售卖。
2.3 “Scattered Spider” 关联要素
- Google Threat Intelligence Group 指出:上述 TTP 与其在英国零售业案件中抓取到的脚本完全吻合。
- CISA/FBI 历史通告列出的 UNC3944 (MFA 轰炸、SIM 交换) 技战术再次被捕获。
- 近期 Aflac 及多家美企亦报告遭该团伙渗透,显示其已将目标聚焦保险行业。
3 | 业务与合规影响
- 运营中断:理赔/承保流程暂停导致客户体验受损,或引发信用评级机构审查。
- 大规模敏感数据外泄:可能触发各州数据泄露通报法与 HIPAA、GLBA 等合规罚则。
- 潜在集体诉讼:律所已启动索赔调查,要求企业披露外泄信息类别与影响范围。
4 | 安全建议
4.1 身份与访问防护
- 硬件密钥 + 基于风险的 MFA,对域管、云管等关键账号实施物理隔离。
- 严格帮助台核验:高权用户密码重置前需二次回拨或视频实人确认。
4.2 检测与响应
- 持续监控 VPN / SSO 登录源,识别来自住宅 IP 或“新设备 + 频繁登录失败” 特征。
- 关注 Okta/AD 日志里的异常 MFA 提示与 API 令牌创建事件。
4.3 勒索场景准备
- 建立 3-2-1 分层备份并月度演练裸金属恢复。
- 预制法律、保险、PR、高管四线并行的“勒索响应剧本”,缩短决策时间。
4.4 员工意识提升
- 每季度开展语音钓鱼与 MFA 欺骗模拟,对“紧急+恐吓”场景进行对标培训。
5 | 行业展望
Google Threat Intelligence 指出,该组织倾向“一次只专注一个垂直”,保险业须在未来数月保持最高警戒。美国及英国监管机构已呼吁保险公司与 FS-ISAC 深度共享实时 IOC 与应急策略,构建行业联合防线。
6 | 结语
从零售到保险,“Scattered Spider” 再次验证了“高度社工化 + 身份滥用”能够绕过传统防线。建议保险、金融及其他以客户数据为核心的机构立即复盘帮助台流程、身份隔离与勒索应急机制,用行动换取安全窗口。
