JBS勒索软件攻击事件

2021年6月，全球较大的肉类加工企业之一JBS遭遇了一次严重的勒索软件攻击。攻击者加密了JBS在美国、加拿大和澳大利亚的部分服务器系统，导致该公司在多个国家的生产运营被迫中断。为了尽快恢复系统正常运转并防止造成更大的供应链影响，JBS最终向攻击者支付了价值约1100万美元的比特币赎金。这起事件将勒索软件攻击对企业供应链和民生的威胁推到了聚光灯下。

事件导入

2021年5月30日，JBS在美国的IT系统开始出现异常，随后迅速扩展到加拿大和澳大利亚的业务系统。攻击者利用勒索软件对JBS的多台关键服务器进行了加密，导致公司的生产调度系统、库存管理系统和物流配送系统无法正常运行。在无法正常处理订单和调度生产的情况下，JBS在多个国家的工厂被迫临时停工。作为美国较大的牛肉和猪肉供应商之一，JBS的生产中断直接影响了美国国内的肉类供应。事件发生后，JBS立刻启动了应急响应机制，隔离受感染的系统并着手数据恢复工作，同时也与执法部门和网络安全的专业机构进行了合作。JBS最终决定支付赎金，主要目的是为了防止关键数据被公开以及尽快恢复被加密的业务系统。

泄密链路分析

根据JBS事后公布的调查结果，攻击者可能是通过一个远程访问通道进入了JBS的内部网络。这个远程访问通道是公司为了支持IT运维人员远程工作而设置的，但在配置安全性上存在不足，缺少额外的多因素验证。攻击者利用了这个通道中的漏洞或弱密码，成功获得了进入JBS内部网络的权限。在进入内部网络后，攻击者进行了一系列的横向移动操作，逐步扩大了对网络资源的控制范围。在锁定了几台关键的服务器之后，攻击者发动了勒索软件加密攻击，导致大量重要业务系统瘫痪。JBS在事后的调查中发现，公司虽然部署了基础的安全防护工具，但在网络分段、端点检测和应急响应方面的能力存在不足，导致攻击者在网络中的活动没有被及时发现和阻断。

企业启示

勒索软件攻击已经成为全球企业面临的主要网络安全威胁之一。减少勒索软件攻击的风险，企业需要建立预防、检测和响应相结合的综合防御体系。远程访问通道是勒索软件攻击的常见切入点，企业应当对远程访问通道实施严格的安全管控，包括启用多因素认证、限制访问来源和建立会话日志审计。对关键业务系统的备份和恢复能力的建设同样需要重视，企业应当建立离线和不可篡改的备份机制，确保在遭受勒索软件攻击后能够不依赖支付赎金而恢复业务运行。

行动建议

企业应当对远程访问通道进行安全加固，包括启用多因素认证、限制远程访问的IP范围和建立访问操作日志。对关键业务数据实施备份策略，包括定期备份、离线备份和异地备份，并定期测试备份数据的可用性和恢复速度。部署端点检测和响应系统，对终端设备上的异常活动进行实时监控和告警。建立勒索软件应急响应预案，明确在遭受攻击后的系统隔离、数据恢复和业务连续性保障的具体流程。北京企密安为企业提供勒索软件防护评估和应急响应方案服务，帮助企业构建从预防到恢复的勒索软件防御体系，欢迎致电010-63711822或访问baomiwang.com。

FAQ

问：企业遭受勒索软件攻击后是否应该支付赎金？ 答：执法部门和网络安全行业普遍不鼓励支付勒索赎金，因为支付赎金会进一步助长勒索软件犯罪活动。即使支付了赎金，也不能保证数据一定能够完整恢复或者攻击者不会再次发动攻击。企业应当通过建立完善的备份机制来降低对支付赎金的依赖。

问：勒索软件攻击的主要预防措施有哪些？ 答：主要预防措施包括及时更新系统和软件补丁、部署端点检测和响应系统、实施最小权限原则、强化远程访问安全、建立完善的备份机制以及开展员工安全意识培训。这些措施可以减少勒索软件攻击的成功率并降低攻击造成的损失。