在大多数人的数字生活中,密码总是一道会被低估的门槛。
我们都知道该少用点123456、888888、123abc123····也知道最好开启双重验证,但现实往往是,它们被设得尽可能简单——因为这么做会“方便”一些。
网络安全行业早已习惯这种风险常态,但攻击者也一样。在越来越多的勒索软件攻击中,一组弱密码往往就是他们寻找突破口的起点。
把时间的指针拨回2023年。彼时,一家成立超过150年的英国运输公司就因为这样的一个起点,最终走向了终结。
KNP是一家总部位于英国北安普敦郡的运输企业,旗下品牌“Knights of Old”历史可追溯至19世纪中期。这一年,公司运营着约500辆卡车,是英国本土中型物流市场中的典型代表。然而,在遭遇一次勒索软件攻击后,公司很快陷入全面瘫痪,最终申请破产,约700名员工失业。
BBC在近期的一份长篇报道中揭示了这起事件的起末。作为起点,这一切是源于一名员工的账号密码被猜中。攻击者疑似来自“Akira”黑客组织,在获取初始权限后迅速横向扩展,控制了公司的核心系统,随后加密了所有运营数据并删除了备份。系统被锁死,运营中断,攻击者留下勒索信,要求支付赎金以换取解密权限。
KNP方面表示,其IT系统在事前“符合行业标准”,公司也已购买了网络攻击保险。但在事件发生后,多个防线几乎同时失效。Solace Global(一家为KNP提供网络应急响应的外包机构)在调查中确认:所有终端已被攻破,可恢复的数据备份全部被删除,公司内部几乎无任何手段可用。
赎金金额没有明确公布,但第三方机构估计其金额可能高达500万英镑。KNP并无能力支付,也无法恢复。最终,公司选择清盘。
这并不是一个孤立案例。根据英国政府的网络安全调查,2024年英国企业共遭遇约1.9万起勒索软件攻击。其中不乏大型企业,如M&S、Co-op、Harrods等。Co-op首席执行官曾公开表示,该事件中650万会员数据被窃。英国国家网络安全中心(NCSC)目前平均每天处理一起“重大攻击事件”,而国家犯罪调查局(NCA)预估,2025年将成为英国有记录以来勒索攻击最频繁的一年。
需要注意的是,此类攻击的门槛也在快速下降。不少案例中,黑客并未依赖复杂技术,而是通过冒充员工、拨打IT支持热线、伪造内部通信等手段获取初始权限。这类“社会工程学”方式绕过了传统技术防线,也使得攻击手法更具隐蔽性和规模化潜力。
KNP事件中,外界普遍关注一个问题:一组员工密码被猜中,为何能导致整个企业瘫痪?网络安全顾问James Clifford指出,关键在于多个结构性问题叠加。一家中型运输企业的后台团队规模有限,常见做法是共享账户、默认管理员权限、备份逻辑与运营系统未做真正隔离。一旦攻击者获取某台设备的管理员权限,就可能借助系统缓存的凭据横向移动,最终掌控核心数据路径。
而“隔离备份”的策略,在现实中执行效果往往低于预期。备份服务器为了保持数据同步,通常仍定期连接主系统。一旦攻击者在“潜伏期”控制了同步机制,就能在真正加密前提前破坏所有恢复路径。同时,不少企业缺乏定期备份验证流程,导致看似存在的“应急通道”在实际操作中毫无用处。
KNP董事Paul Abbott在事件后表示,公司此前并未意识到自身在权限管理和备份策略上存在如此多的漏洞。在事发前,他们的判断是“做了备份、买了保险,应该已经足够”。事后来看,恢复能力远低于预期。
另一个值得注意的细节是:即便KNP最终确认最初的入侵点可能来自某位员工的弱密码,他们也并未告知这名员工。Abbott的原话是:“你觉得我们应该告诉他吗?你愿意知道是因为你,公司才倒闭的吗?”
此后,Abbott开始在一些行业会议上介绍KNP事件,提出是否应建立企业级“网络年检”机制,类似于汽车的MOT检查,用于强制验证企业信息系统的安全能力和恢复能力。
不过,现实是:仍有不少公司在遇到攻击时选择“私了”。支付赎金、封口、快速恢复。NCA的网络犯罪专家指出,这种“付钱解决”的方式正是助长网络犯罪的土壤——攻击者看到,勒索是有效的,于是更有组织、更高频率地展开行动。
KNP的故事没有赢家。也许是偶然,也许是长期忽视的代价,但无论如何,它给所有企业敲响了警钟——不是只有技术公司才需要网络安全。数字系统支撑的是整个现代企业的运转,一旦系统失守,再“传统”的行业也可能在一夜之间走向终结。
封面来源:Moritz Erken on Unsplash
