8月28日起,一条“某流行企业财务软件0day漏洞或被大规模勒索利用”的消息,在行业内开始流传。


【资料图】

29日,有用户在微博爆料称,用友旗下专注于小微企业云服务畅捷通T+大面积出现勒索病毒。360安全卫士和另一家厂商火绒也报告确认了此次勒索病毒攻击。

在安全厂商与与用户压力下,用友畅捷通在29日发布公告“回应”,承认有用户受到攻击。

《科创板日报》记者最新调查获悉,有用友畅捷通企业客户重要文件被勒索病毒加密,且用友方面也无法解密,被迫支付了0.2比特币(相当于27439元人民币)的“赎金”。

▍中“毒”企业被索要0.2比特币才能解密

8月29日,国内某安全厂商发布“安全情报”称,“某流行企业财务软件0day漏洞或被大规模勒索利用。自2022年08月28日起,目前确认来自该勒索病毒的攻击案例已超2000余例,且该数量仍在不断上涨。”虽然并未直接指出该厂商的名字,但业内均认为其所指的就是财务厂商用友。

《科创板日报》记者了解到,中招该勒索病毒企业,被索要0.2比特币(相当于27439元人民币)的“赎金”,方可解密。另据白泽安全实验室的威胁情报监测,此次攻击受影响的省份包括北京,上海,山东,江苏,浙江、广东、安徽、四川、福建、河北等地。

在有企业用户连续反应中招后,用友畅捷通在昨日发布了一则正式公告“回应”。

▍用友畅捷通与用户各执一词

用友网络和畅捷通在勒索病毒事件的“回应”公告中称,部分客户的软件服务器为客户自有部署方式,且未做必要的网络安全防护。其中,日常按系统提示进行了数据备份的客户已通过恢复备份数据解决,仅有少数客户受到影响,公司已安排技术工程师和服务商积极协助客户解决问题。

但是对于用友畅捷通的回应,被影响客户并不认同。

“用友的公告就是甩锅。”一家“中招”的用户用友畅捷通在接受《科创板日报》记者采访时表示,其所在公司使用的软件是畅捷通T+版本,病毒模块的投放时间与用友畅捷通T+软件模块升级时间相近,不排除黑客通过供应链污染或漏洞的方式进行投毒。

“用友的公告未提及中毒用户应该如何恢复数据。在我看来,有推卸责任之嫌。”一位资深计算机软件专业人士也表示。

根据官方介绍,畅捷通为用友网络控股子公司,主要是为小微企业提供财税及业务云服务,目前已经服务了超过600万家小微企业。

一位网络安全行业人士向《科创板日报》记者表示,这次勒索病毒挑的对象是用友的T系列产品,这些产品面向的是中小企业,这些企业的服务器没有什么专业的防护,本身就很容易中招。另一方面,勒索事件的爆发,说明用友这些产品本身可能就存在漏洞。

另一家受影响的用友畅捷通企业用户无奈地告诉《科创部日报》记者,公司已经付了赎金解密,“重要的文件都被加密,用友都没办法解密,我们能有什么办法,只能付赎金”。

据一家第三方安全厂商分析,通过用友畅捷通T+的勒索病毒留下的提示信息判断,该病毒与之前流行的TellYouThePass勒索病毒为关联家族,可能就是TellYouThePass的最新变种。

TellYouThePass于2019年首次披露,是一款以牟取经济利益为目的的软件,攻击者旨在加密文件并要求付费恢复文件。

▍如何根治勒索病毒黑产

勒索病毒是最常见的网络安全攻击手法之一,现已给世界各地网络用户造成巨大网络安全威胁。

国家互联网数据中心产业技术创新战略联盟智库专家顾黄亮在接受《科创板日报》记者采访时表示,勒索病毒已经由个人化演变为产业化,并形成一套成体系的产业链。勒索病毒产业链由勒索病毒作者、勒索实施者、传播渠道商、代理等对象构成,产业链中各环节分工明细,为了勒索到巨额的赎金,勒索病毒攻击的对象不再仅限于个人,更多的是针对企业,尤其是中大型企业。

对于目前不时对企业信息数字安全造成威胁的勒索病毒黑产,顾黄亮表示,除了加强企业信息安全观念,加固操作系统和应用系统,提升企业网络层的安全防御水平之外,更重要的还是要对关键数据进行备份。

“备份数据是企业遭受到勒索病毒攻击后最后的补救措施。但是,新型勒索病毒越来越智能,会主动搜寻备份设备与备份软件,一旦发现备份系统将优先进行加密,实施勒索”。

“用友也算国内云计算的知名厂商,其企业用户的网络云安全都受到威胁了,想不到企业还能把数据放在哪里。”多家云计算中小企业用户向《科创板日报》记者表示。

在接受《科创板日报》记者采访时,多位计算机软件业内专家呼吁,目前国内云计算市场竞争激烈,除了用友,包括奇安信-U(SH688561)和启明星辰(SZ002439)等厂商在内,云计算这块业务并不赚钱,甚至一直是亏损的,导致不少企业在软件方面投入不足。

(文章来源:财联社)

推荐内容