8月28日起,一条“某流行企业财务软件0day漏洞或被大规模勒索利用”的消息,在行业内开始流传。
29日,有用户在微博爆料称,用友旗下专注于小微企业云服务畅捷通T+大面积出现勒索病毒。在安全厂商与与用户压力下,用友畅捷通在29日发布公告“回应”,承认有用户受到攻击。有用友畅捷通企业客户重要文件被勒索病毒加密,且用友方面也无法解密,被迫支付了0.2比特币(相当于27439元人民币)的“赎金”。
据悉,“畅捷通T+”是一款“人财货客”一体化管理软件,主要功能是针对中小型工贸和商贸企业的财务业务一体化应用,其官网显示,软件业务付费用户超过131万,涉及食品、家装建材、商贸、电子、化工、软件服务、广告传媒等诸多行业。
中“毒”企业被索要0.2比特币才能解密
自2022年08月28日起,确认来自该勒索病毒的攻击案例已超2000余例,且该数量仍在不断上涨。据考证,本次遭遇勒索病毒攻击的对象主要为CRM(Customer Relationship Management客户关系管理系统)厂商,包含“用友”及旗下“畅捷通”等管理软件。中招该病毒计算机文件被病毒加密,需支付0.2比特币“赎金”(约2.7万人民币)方可解密。此次攻击受影响的省份包括北京,上海,山东,江苏,浙江、广东、安徽、四川、福建、河北等地。
用友畅捷通与用户各执一词
用友网络和畅捷通在勒索病毒事件的“回应”公告中称,部分客户的软件服务器为客户自有部署方式,且未做必要的网络安全防护。其中,日常按系统提示进行了数据备份的客户已通过恢复备份数据解决,仅有少数客户受到影响,公司已安排技术工程师和服务商积极协助客户解决问题,并建议客户升级公有云服务或采用云管家等云部署方式。
据了解,畅捷通系列管理软件拥有“云部署”和“自有部署”两种方式,前者部署主要在阿里云、华为云、腾讯云等各类公有云平台上,后者安装软件后数据存储在本地。
“本地部署的需要安装APP和数据库,数据文件是储存在本地数据库里的,要升级软件更新版本需要重新安装,云端的产品用的是总服务器,租用的是阿里云的服务器,数据是储存在云端的,且不需要固定登录地点以及限制,软件后台是自动升级。”售前客服如此介绍道两者间区别。
采用自有部署的客户本地数据被勒索病毒攻击,按照用友声明中建议,若想升级公有云服务只能“重新购买”,“升级只能升本地最新软件,不做回收,数据可以导入”畅捷通客服这样回应。
记者查阅畅捷通T+的云端升级版“T+CLOUD”售价发现,该软件可供30个用户使用的一套按年计费,在选择页面显示所有产品模块后售价超8万余万,售前客服表示“云端安全维护不收费,不额外收费”。
但是对于用友畅捷通的回应,被影响客户并不认同。
“用友的公告就是甩锅。”一家“中招”的用户用友畅捷通在接受记者采访时表示,其所在公司使用的软件是畅捷通T+版本,病毒模块的投放时间与用友畅捷通T+软件模块升级时间相近,不排除黑客通过供应链污染或漏洞的方式进行投毒。
“用友的公告未提及中毒用户应该如何恢复数据。在我看来,有推卸责任之嫌。”一位资深计算机软件专业人士也表示。
另一家受影响的用友畅捷通企业用户无奈地告诉记者,公司已经付了赎金解密,“重要的文件都被加密,用友都没办法解密,我们能有什么办法,只能付赎金”。据该网友介绍,即使缴纳赎金,也并非完全有用,“我认识的一周前刚付费恢复,今天又被加密了,现在只能一天备份一次”。
一位网络安全行业人士向记者表示,这次勒索病毒挑的对象是用友的T系列产品,这些产品面向的是中小企业,这些企业的服务器没有什么专业的防护,本身就很容易中招。另一方面,勒索事件的爆发,说明用友这些产品本身可能就存在漏洞。
据一家第三方安全厂商分析,通过用友畅捷通T+的勒索病毒留下的提示信息判断,该病毒与之前流行的TellYouThePass勒索病毒为关联家族,可能就是TellYouThePass的最新变种。
TellYouThePass勒索软件于2019年首次披露,是一款以牟取经济利益为目的的勒索软件,攻击者旨在加密文件并要求付费恢复文件。
如何根治勒索病毒黑产
勒索病毒是最常见的网络安全攻击手法之一,已经由个人化演变为产业化,并形成一套成体系的产业链。国家互联网数据中心产业技术创新战略联盟智库专家顾黄亮表示,除了加强企业信息安全观念,加固操作系统和应用系统,提升企业网络层的安全防御水平之外,更重要的还是要对关键数据进行备份。
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:互联网
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照