网络安全

  1. 你的位置
  2. 网站首页
  3. 技术案例
  4. 网络安全

智御勒索威胁:卡巴斯基守护巴西制造企业的安全防线

2025-12-05 15:10:03 gggde 8
2024年末至2025年初,巴西制造业正处于数字化转型的关键阶段,工业控制系统(OT)与信息技术系统(IT)的深度融合虽提升了生产效率,却也让网络安全漏洞暴露无遗。一家拥有千余名员工、业务覆盖南美及欧洲市场的中型制造企业,突然遭遇了MedusaLocker勒索软件的精准攻击,生产系统濒临瘫痪,核心业务数据面临被加密勒索的严峻危机。正是卡巴斯基新一代安全解决方案的快速响应与全周期防护能力,帮助企业成功化解危机,避免了数千万雷亚尔的经济损失。

一、危机突发:隐蔽攻击击穿传统防护

该制造企业此前部署了基础的端点防护软件,却未建立完善的威胁检测与响应体系。2025年1月,企业IT部门首先发现部分办公终端出现异常卡顿,随后生产车间的自动化控制系统突然中断,监控屏幕显示多台服务器文件被加密,桌面弹出MedusaLocker勒索软件的勒索通知,要求在72小时内支付比特币以获取解密密钥。
紧急排查后发现,攻击源头并非传统的钓鱼邮件,而是通过一款员工私自安装的处理器性能调节工具ThrottleStop实现突破。卡巴斯基全球应急响应团队(GERT)后续分析确认,该工具存在编号为CVE-2025-7771的高危漏洞,攻击者将漏洞利用程序与可禁用端点检测响应(EDR)的恶意软件捆绑分发,通过IOCTL接口漏洞获取系统内核权限,成功绕过基础防护并激活勒索软件。此时,企业的订单管理系统、生产排程系统已被感染,若无法及时恢复,将导致对欧洲客户的订单违约,品牌声誉与经济损失难以估量。

二、精准施策:卡巴斯基全链路应急响应

企业紧急联系卡巴斯基巴西分公司的MDR(托管检测与响应)服务团队,启动应急预案。卡巴斯基凭借全球威胁情报网络与本地化技术支持能力,构建了“阻断-溯源-清除-恢复”的全链路响应体系,在48小时内完成核心应急处置。

1. 快速隔离,遏制威胁扩散

卡巴斯基应急专家首先通过新一代EDR专业版的远程控制功能,对已感染终端进行精准定位,识别出37台受影响设备,包括12台核心生产服务器和25台办公终端。利用网络分段技术,将感染区域与未感染的OT生产子网、财务系统进行物理隔离,同时通过EDR的进程拦截功能,终止勒索软件的加密进程,阻止其对备份数据的二次攻击。针对攻击者利用的ThrottleStop漏洞,卡巴斯基立即推送紧急补丁,并通过应用程序白名单功能,禁用所有非授权工具的运行权限。

2. 威胁溯源,锁定攻击路径

依托卡巴斯基全球研究与分析团队(GReAT)的威胁情报库,技术人员通过XDR(扩展检测与响应)平台整合终端日志、网络流量、服务器审计记录等多维度数据,快速还原攻击链路:攻击者先通过暗网购买企业员工信息,利用弱密码尝试登录远程访问系统,在获取一台办公终端控制权后,诱导员工下载捆绑恶意程序的工具软件,最终借助漏洞实现权限提升与横向渗透。同时确认,此次攻击与2024年10月起在巴西、俄罗斯等地活跃的MedusaLocker.u变种相关,攻击团伙以制造业、医疗行业为主要目标,采用勒索软件即服务(RaaS)模式运营。

3. 安全清除,保障数据恢复

针对传统杀毒软件无法彻底清除内核级恶意软件的问题,卡巴斯基采用“内存镜像分析+恶意代码逆向”的组合方案,通过EDR工具的内核内存保护功能,清除隐藏在系统内核中的恶意驱动程序,同时对被感染文件进行深度扫描,识别并隔离Trojan.Win64.KillAV.*等关联恶意软件。由于企业此前通过卡巴斯基备份解决方案构建了异地容灾备份系统,在确认备份数据未被污染后,技术团队协助完成核心业务系统的恢复,确保生产排程、订单管理等关键功能率先重启。

4. 体系加固,构建长效防御

危机解除后,卡巴斯基为企业量身打造了IT-OT融合安全防护体系:在终端层面,升级至新一代EDR专业版,通过AI驱动的行为分析技术实现未知威胁的实时检测;在网络层面,部署工业XDR解决方案,对OT设备通信进行全流量监控,精准识别异常协议与数据传输;在管理层面,搭建集中式安全运营平台,整合威胁情报、日志分析、漏洞扫描等功能,实现安全事件的自动化响应。同时,通过卡巴斯基ASAP安全意识培训平台,针对员工开展防钓鱼、恶意软件识别等专项培训,从人为因素层面降低攻击风险。

三、防护成效:从被动应急到主动免疫

此次应急响应中,卡巴斯基团队在72小时勒索期限内完成了系统恢复,帮助企业避免了约3200万雷亚尔的直接经济损失及订单违约赔偿。后续6个月的监测数据显示,企业安全事件发生率下降92%,EDR系统成功拦截17次针对OT设备的异常访问尝试,XDR平台精准识别并阻断3次利用已知漏洞的攻击行为。
该案例不仅体现了卡巴斯基在勒索软件防御领域的技术实力,更验证了其“情报驱动+技术赋能+服务保障”模式的有效性。正如卡巴斯基全球应急响应团队事件响应专员Cristian Souza所言,面对日益复杂的攻击手段,具备自防御机制的安全解决方案与专业的MDR服务,已成为企业构建网络弹性的核心支撑。

四、案例启示:制造企业的安全防护关键

此次事件为数字化转型中的制造企业提供了重要安全启示:一是需高度重视IT-OT融合带来的安全风险,避免因OT系统防护薄弱成为攻击突破口;二是应摒弃“重部署、轻管理”的传统思维,通过专业MDR服务弥补内部安全团队能力不足的问题;三是必须构建“技术防护+人员培训+应急预案”的三位一体体系,实现从被动防御向主动免疫的转变。而选择具备全球威胁情报能力与本地化服务支撑的安全合作伙伴,将为企业的数字化转型筑牢安全基石。