导读
近期,航空业再次成为勒索软件攻击的焦点。一个名为Everest的勒索软件团伙在其暗网泄露网站上声称,已成功入侵爱尔兰的主要枢纽都柏林机场(Dublin Airport)以及阿联酋的低成本航空公司阿拉伯航空(Air Arabia),并窃取了大量敏感数据,其中包括据称高达150万条的乘客记录和超过18000名员工的信息。这一事件不仅对相关机构造成直接威胁,也再次暴露了航空运输业在网络安全方面面临的严峻挑战。
Everest勒索软件泄露受害者数量截图
一、 事件概述:暗网上的勒索宣告
根据多个网络安全情报来源的报告,事件的关键信息如下:
- 攻击宣告:2025年10月25日至26日期间,Everest勒索软件组织在其暗网泄露网站上相继发布了针对阿拉伯航空和都柏林机场的攻击声明。
- 声称窃取的数据:
- 都柏林机场:Everest声称窃取了约 1,533,900条 包含乘客数据的个人记录。其展示的样本字段表明,这些数据可能包含极为详细的乘客与航班信息,如:乘客全名、航班号、座位号、出发及目的地机场代码、常旅客信息(航空公司、号码、级别)、行李额度、预订记录编号(PNR)、票号、登机牌发行来源及日期、行李牌号码,甚至包括用于值机或登机的设备名称、ID和类型等。
- 阿拉伯航空:Everest声称掌握了超过 18,000名 该公司员工的数据库信息,但未提供具体样本。
- 施压手段:
- Everest在其泄露网站上为都柏林机场设置了一个倒计时,要求对方在约五天内联系他们,否则将公开全部数据。
- 针对这两起事件,Everest均将泄露的数据条目设置为密码保护状态,阻止公众直接访问,这通常是勒索者在谈判期间保持对数据控制权、增加谈判筹码的一种策略。
Everest泄露网站上关于都柏林机场数据
二、 潜在关联:航空供应链的薄弱环节?
值得注意的是,Everest此次攻击的目标与该组织近期活动存在关联性,可能指向航空业供应链的安全问题。
- 关联Collins Aerospace事件:就在不久前(9月),为全球众多机场和航空公司提供值机与旅客管理系统(如MUSE软件)的技术供应商Collins Aerospace也遭到了Everest的攻击。该事件曾导致欧洲多个主要机场出现运营混乱。Everest在其帖子中描述了通过暴露的FTP服务获取Collins Aerospace数据的过程。
- 推测与策略:有安全专家推测,此次针对都柏林机场的数据泄露可能与之前的Collins Aerospace事件有关,即数据可能来源于供应商而非机场自身的直接入侵。Everest可能正在利用从上游供应商处获取的数据,对下游的机场和航空公司进行“二次打击”或分化施压,以提高获得赎金的可能性。都柏林机场的管理公司daa也曾在此前Collins事件后表示,没有证据表明其自身系统受到直接影响,但承认乘客数据因第三方供应商问题而受到波及。
Everest泄露网站上关于Collins Aerospace攻击的条目
三、 攻击者分析:Everest勒索软件团伙
Everest并非新手,自2021年以来已多次发起攻击,其特点和历史值得关注:
- 活跃时间与背景:自2021年7月首次出现,被认为与BlackByte和Conti等知名勒索软件组织存在关联。
- 运营模式:采用双重勒索模式(加密+数据泄露),并可能通过招募拥有内部访问权限的“内鬼”或利用访问代理(Access Brokers)来获取初始访问权限。
- 攻击特点:NCC Group的研究指出,Everest倾向于利用合法的、被盗用的账户进行初始访问,这种方式比利用漏洞更隐蔽,难以被常规防御机制发现。其攻击活动侧重于社会工程学技巧。
- 历史目标:除了航空业,Everest过去攻击的目标还包括宝马(BMW)、德国第二大银行DZ Bank的子公司 (银行否认被攻击)、邮件营销平台Mailchimp、可口可乐中东分部、国际私立医院Mediclinic、AT&T以及雷迪森乡村套房酒店等。
四、 行业警示与反思:航空业的数据安全困境
此次事件再次暴露了航空运输业在数据安全方面面临的严峻挑战,特别是涉及大量敏感乘客信息的处理环节:
1.海量敏感数据的高风险:航空公司和机场掌握着极其详细的乘客个人身份信息(PII)和行程数据(PNR)。一旦泄露,不仅可能导致大规模的身份盗窃、欺诈和定向网络钓鱼攻击,还可能被用于追踪个人行踪,带来人身安全风险。企业是否对这些数据的存储、访问和传输进行了充分的加密和权限控制?
2.供应链成为攻击热点:攻击者正越来越多地将目光投向航空业的技术供应商,利用其作为跳板攻击下游的航空公司和机场。这种“曲线救国”的攻击方式往往更难防范。企业在选择和管理供应商时,是否将其网络安全能力和风险状况纳入了评估体系?双方是否有明确的安全责任划分和应急联动机制?
3.关键基础设施的脆弱性:机场作为国家的关键基础设施,其运营中断会带来巨大的经济损失和社会影响。此次事件(以及之前的Collins事件)表明,网络攻击已具备瘫痪机场运营的能力。相关的应急预案是否充分考虑了网络攻击导致核心系统(如值机、行李、航班调度)不可用的极端情况?是否有经过演练验证的备份和手动处理流程?
我们此前处理的一个高端制造企业案例也揭示了类似的风险:攻击者潜伏半年,最终通过IT网络渗透到OT网络导致生产停摆。虽然行业不同,但对关键系统依赖性强、供应链复杂的特点是共通的。
【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索,应急处置全流程高效修复,避免千万损失并获客户赠送锦旗
五、 结语:强化纵深防御,应对航空业网络威胁
Everest对都柏林机场和阿拉伯航空的勒索宣告,无论最终数据是否完全属实,都为整个航空业敲响了警钟。面对技术日益精进、策略不断变化的勒索软件团伙,航空公司、机场及相关供应商必须采取更加主动和纵深的防御措施。
这包括加强对第三方供应商的安全审计与管理,严格实施访问控制和权限最小化原则,强化员工安全意识培训以应对社会工程学攻击,部署先进的终端检测与响应(EDR)和网络检测与响应(NDR)方案,确保拥有可靠且隔离的数据备份,并制定和演练覆盖供应链中断场景的应急响应计划。
我们已为大量客户提供了专业的防勒索模拟演练服务。在真实模拟的攻击流程中,我们有效帮助客户发现了被忽视的安全隐患,检验并优化了应对勒索事件的应急响应思路和流程。我们过去的成功案例已证明了这种方法的价值。
详见历史文章:
如您也需要相关的服务,欢迎联系我们咨询。
