《科创板日报》8月30日讯(记者 张洋洋 黄心怡)8月28日起,一条“某流行企业财务软件0day漏洞或被大规模勒索利用”的消息,在行业内开始流传。
29日,有用户在微博爆料称,用友旗下专注于小微企业云服务畅捷通T+大面积出现勒索病毒。360安全卫士和另一家厂商也报告确认了此次勒索病毒攻击。
在安全厂商与与用户压力下,用友畅捷通在29日发布公告“回应”,承认有用户受到攻击。
《科创板日报》记者最新调查获悉,有用友畅捷通企业客户重要文件被勒索病毒加密,且用友方面也无法解密,被迫支付了0.2比特币(相当于27439元人民币)的“赎金”。
▍中“毒”企业被索要0.2比特币才能解密
8月29日,国内某安全厂商发布“安全情报”称,“某流行企业财务软件0day漏洞或被大规模勒索利用。自2022年08月28日起,目前确认来自该勒索病毒的攻击案例已超2000余例,且该数量仍在不断上涨。”虽然并未直接指出该厂商的名字,但业内均认为其所指的就是财务厂商用友。
《科创板日报》记者了解到,中招该勒索病毒企业,被索要0.2比特币(相当于27439元人民币)的“赎金”,方可解密。另据白泽安全实验室的威胁情报监测,此次攻击受影响的省份包括北京,上海,山东,江苏,浙江、广东、安徽、四川、福建、河北等地。
在有企业用户连续反应中招后,用友畅捷通在昨日发布了一则正式公告“回应”。
▍用友畅捷通与用户各执一词
用友网络和畅捷通在勒索病毒事件的“回应”公告中称,部分客户的软件服务器为客户自有部署方式,且未做必要的网络安全防护。其中,日常按系统提示进行了数据备份的客户已通过恢复备份数据解决,仅有少数客户受到影响,公司已安排技术工程师和服务商积极协助客户解决问题。
但是对于用友畅捷通的回应,被影响客户并不认同。
“用友的公告就是甩锅。”一家“中招”的用户用友畅捷通在接受《科创板日报》记者采访时表示,其所在公司使用的软件是畅捷通T+版本,病毒模块的投放时间与用友畅捷通T+软件模块升级时间相近,不排除黑客通过供应链污染或漏洞的方式进行投毒。
“用友的公告未提及中毒用户应该如何恢复数据。在我看来,有推卸责任之嫌。”一位资深计算机软件专业人士也表示。
根据官方介绍,畅捷通为用友网络控股子公司,主要是为小微企业提供财税及业务云服务,目前已经服务了超过600万家小微企业。
一位网络安全行业人士向《科创板日报》记者表示,这次勒索病毒挑的对象是用友的T系列产品,这些产品面向的是中小企业,这些企业的服务器没有什么专业的防护,本身就很容易中招。另一方面,勒索事件的爆发,说明用友这些产品本身可能就存在漏洞。
另一家受影响的用友畅捷通企业用户无奈地告诉《科创部日报》记者,公司已经付了赎金解密,“重要的文件都被加密,用友都没办法解密,我们能有什么办法,只能付赎金”。
据一家第三方安全厂商分析,通过用友畅捷通T+的勒索病毒留下的提示信息判断,该病毒与之前流行的TellYouThePass勒索病毒为关联家族,可能就是TellYouThePass的最新变种。
TellYouThePass勒索软件于2019年首次披露,是一款以牟取经济利益为目的的勒索软件,攻击者旨在加密文件并要求付费恢复文件。[阅读原文]