158年公司“一夜毁灭”！只因一员工弱密码被黑客“猜中”：数据全锁、被勒索近5000万，700+人瞬间失业

　　【CSDN 编者按】在过去的网络安全神话里，我们总以为“被黑”是科技巨头才需要担心的事情。但现实远比你想的更残酷。如今，只要你的企业有联网设备、有员工账户、有业务数据，就可能是下一个受害者——哪怕你是一家已经经营了158年的传统公司。

　　整理 | 郑丽媛

　　出品 | CSDN（ID：CSDNnews）

　　投稿或寻求报道：zhanghy@csdn.net

　　“一个被猜中的密码，摧毁了一家百年企业。”

　　这不是耸人听闻的标题党，而是一起在英国真实发生的网络安全事故——据BBC纪录片《Panorama》披露，一家拥有 158年历史的老牌运输企业KNP（Knights of Old），只因一个被猜中的员工密码，惨遭黑客入侵，核心系统被加密锁死。最终，700+名员工一夜之间失业，企业宣布破产，158年历史至此终结。

　　颇为最讽刺的是，直到今天，那位设置了“弱密码”的员工，还不知道自己是致使公司倒塌的导火索。

　　百年企业，一夜“数据归零”

　　KNP，全称 Knights of Old，是一家总部位于英国北安普敦郡的老牌运输公司，拥有超过500辆卡车，服务遍布全英国。它的历史可以追溯到19世纪，一直是本地物流行业的重要支柱。

　　而就在2023年6月，这家百年企业遭遇了致命打击：黑客组织 Akira 成功攻入了KNP内部网络系统。

　　据了解，Akira是一个2023年迅速崛起的国际勒索团伙，核心成员疑似来自已解体的Conti组织。据悉自2023年3月以来，Akira已在全球范围内攻击超过250家机构，成功勒索金额超 4200万美元。他们的主要攻击手法是“双重勒索”：先窃取核心数据，再进行全盘加密；如果不付款，就威胁公开数据。

　　据专家推测，Akira入侵KNP内部系统的方式，并非高深复杂的零日漏洞或社会工程学等，而是一种最为基础且粗暴的方式：纯猜。具体来说，他们锁定了一名KNP员工的账户，通过暴力破解、穷举一些常见密码（如12345678、welcome1、password123）或利用其泄露的其他密码去“撞库”，成功获取了KNP内部系统的访问权限。

　　入侵KNP系统后，Akira第一时间部署了勒索软件，将企业所有数据进行加密，包括：客户信息、车辆调度、送货排期、会计与财务系统等等——短短数小时内，KNP内部系统全面瘫痪。所有员工被锁在业务系统之外，无法调度卡车，无法收发订单，甚至无法确认已有客户的运输状态。

　　黑客勒索：一封冷血留言，和500万英镑的赎金

　　在加密完KNP的核心业务数据、并锁死其全部内部系统后，黑客组织Akira给KNP留下了一封“典型”的勒索信，语气冷酷、讥讽意味十足：

“如果你正在阅读这条信息，这就说明你们的内部系统已经完全或部分瘫痪……别急着哭，也别急着恨，先让我们展开一个建设性的对话吧。”

　　Akira在勒索信中，并未明确索要金额，但KNP随后委托第三方勒索谈判机构进行评估，结果显示赎金可能高达500万英镑（约合人民币4849万元）。

　　而 KNP，作为一家传统物流企业，根本拿不出这笔钱。

　　对外，KNP并没有具体披露是哪个环节的安全设置出了问题，只表示他们“已采取了行业标准的 IT 防护措施”，并购买了网络攻击安全保险。可问题在于：当对方已经掌握了你系统的钥匙时，再多的防护措施，也只是装饰。

　　据悉，当时KNP的保险方Solace Global紧急派出了“网络危机”响应小组赶赴现场。可根据该公司顾问Paul Cashmore在纪录片中的回忆，KNP已处于“最糟糕的情况”：

　　●所有业务数据均被加密

　　●所有服务器与备份系统均已损毁

　　●连灾备系统也未能幸免

　　●所有终端（包括PC、办公设备）也被攻陷

　　换言之，KNP从IT系统到底层架构，全线崩溃——Paul Cashmore感慨：“这几乎是我们能想到的最坏的情况了。”

　　因此，尽管保险方启动了危机响应团队，但面对“服务器、备份、灾备系统全部损毁”的局面，也无能为力：KNP公司支付不起赎金，所有数据最终无法恢复，只能宣布破产，700多名员工被迫离职。

　　事件发生后，KNP管理层也并未将“密码泄露”的责任推向员工。公司董事Paul Abbott坦言，他甚至都没告诉那名涉事员工，是他的弱密码导致了整场灾难：“如果是你，你会想知道吗？”

　　KNP的悲剧，并非个例

　　令人意外的是，KNP的悲剧还并非个例。

　　过去一年中，英国多家知名企业均遭遇类似攻击，包括M&S、Co-op、Harrods等。其中，Co-op甚至确认其650万会员数据全部被盗。根据英国政府公开数据，2024年勒索攻击在英企中发生约1.9万起，数量惊人。英国国家打击犯罪局（NCA）也披露，自2022年以来，每周的网络攻击事件已从20起飙升至35–40起。

　　全球安全公司Group-IB曾提到，目前全球最活跃的勒索团伙背后，背后甚至有“售后客服”、“谈判代表”、“数据公关”等完整链条。一些勒索组织甚至像创业公司一样，开源勒索软件供他人使用，从中抽取分成，形成所谓的 RaaS（勒索软件即服务）模式，使得攻击门槛大大降低。

　　甚至，随着 AI 技术的日益演进，如今的网络攻击手法都不需要太多技术能力：“有些攻击者只需打个电话冒充员工，就能骗过 IT 客服拿到系统访问权限。”

　　而对于被勒索的企业来说，尽管 NCA 等官方组织呼吁不要轻易支付赎金，但这却是恢复数据最“快”的方式：一边是上百万英镑的业务损失，一边是“花几万英镑赎回数据”的权衡下，通常在金额不太过分的情况下，企业往往会选择后者。

　　可正如 NCA 情报总监 James Babbage 所说：“正是一次次的支付，才养肥了这个犯罪生态。”

　　由于IT安全是非“利润中心”，因此选择节省开支？

　　BBC对于KNP这一事件的报道，在各大开发者社区引起了不小的关注与讨论。

　　其中热度最高、点赞最多的一个评论，是一个直击重点的提问：“为什么明明是一家 158 岁的公司，其 IT 安全防护水平还停留在 158 年前？”

　　对于这个疑问，多数程序员一言道出真相：因为IT是企业中的“成本中心”，而非“利润中心”——大多数公司根本不想对成本中心进行投资。

　　“我从事的是非技术相关领域的工作，但我曾向 IT 团队和首席运营官提到，公司系统太容易意外清除所有之前的流程/工单了，可以优化一下。如果工作流程中的任何人不小心按了几个按钮，恢复起来就会非常麻烦，但他当时回答我说‘谁会傻到按控制键给全删除了？’结果，在我休假的时候，这件事真的发生了，最终导致了数百万美元的订单损失……”

　　“我有一个商业客户，连续两任都是非常聪明的 CFO。他们明白网络安全很重要，也愿意为此付费。我记得第一位 CFO 告诉我，如果他们的系统瘫痪，每小时将损失约 5 万美元，所以他根本不会犹豫每月几百美元的反病毒保护费。”

　　“光是‘成本中心’这个词，就足以让大多数 IT 工作者陷入痛苦回忆了。很多公司都在 IT 方面节省开支，因为高管和 CEO 都是技术盲，对技术升级（他们不理解）没有兴趣进行投资。”

　　值得一提的是，在KNP事件过后，其董事Paul Abbott开始面向各地企业分享自身教训。他提出了一个新概念：“Cyber MOT”——即仿照汽车年检制度，强制企业每年对自身网络系统进行安全体检。

“我们必须制定一些硬性规则，让企业的 IT 系统在应对网络犯罪时具备最基本的韧性。”

　　简单来说，可以包括启用多因素认证（MFA）、禁止使用重复密码、严格限制员工权限、引入员工网络安全培训、定期更新和清查账号系统等。

　　对于开发者、IT人员、安全工程师而言，也许我们无法彻底阻止攻击的发生，但至少应该确保——密码不是最先被攻破的那道门。而改变这一切的第一步，或许就是从改掉那个“123456”的密码开始。

　　https://www.bbc.com/news/articles/cx2gx28815wo

　　https://www.tomshardware.com/tech-industry/cyber-security/158-year-old-company-forced-to-close-after-ransomware-attack-precipitated-by-a-single-guessed-password-700-jobs-lost-after-hackers-demand-unpayable-sum