当整个美国城市被勒索软件瘫痪 - 圣保罗网络攻击的真实写照

网络安全
https://zh.andytips.com/posts/2025/saint-paul-ransomware-gongji-interlock-anli-yanjiu-2025/
目录

去年七月,一场毁灭性的勒索软件攻击袭击了明尼苏达州圣保罗市,造成了美国市政历史上最严重的网络安全事件之一。
整个城市的计算机系统瘫痪,网络通信失败,市民无法支付水费,图书馆失去Wi-Fi访问,甚至市政员工都无法工作。

这被证实是一个名为"Interlock"的黑客组织策划的勒索软件攻击。
最令人愤怒的是,当该市拒绝支付赎金时,这些罪犯将43GB的市民数据发布到了互联网上。

让我们仔细了解究竟发生了什么以及我们可以从中学到什么。

事情的开端

我是在浏览安全新闻时偶然发现这个故事的。
韩国最近也频繁遭受勒索软件攻击,所以我一直在关注其他地方发生的事情。但这次?这完全是另一个级别。
整个美国城市被摧垮。我简直不敢相信。

你能想象整个城市瘫痪是什么感觉吗?
当我想到这一点时,真的很可怕。
我们日常生活中认为理所当然的所有数字服务在瞬间变得毫无用处。
(我是说,我们现在还能在没有互联网的情况下正常运作吗?)

攻击时间线

以下是事件如何一天天展开的。

  • 2025年7月22日: 美国网络安全和基础设施安全局(CISA)发布关于Interlock勒索软件组织的警告
  • 2025年7月25日: 圣保罗的自动安全系统首次检测到"可疑活动"并开始攻击
  • 2025年7月25-27日: 攻击在整个周末持续,系统损坏加剧
  • 2025年7月27日: 市政当局完全关闭所有信息系统以防止进一步损害
  • 2025年7月28日: 市政厅和公共图书馆的Wi-Fi关闭,在线支付工具被禁用,内部网络访问暂停(911 (美国紧急号码) 服务保持运行)
  • 2025年7月29日: 市长梅尔文·卡特正式宣布地方紧急状态 / 州长蒂姆·沃尔兹启动明尼苏达州国民警卫队网络保护团队 / FBI启动调查并部署两家国家级网络安全公司
  • 2025年7月30日: 该市宣布尽管工资系统关闭,员工工资将正常支付
  • 2025年8月1日: 圣保罗市议会一致决定将紧急状态延长90天
  • 2025年8月8日: 人工工资处理完成,所有员工正常获得工资
  • 2025年8月10日: 攻击者被确认为’Interlock’勒索软件组织 / “保卫圣保罗行动"恢复操作开始(约3,500人的密码重置和设备检查)
  • 2025年8月11日: 该市正式宣布拒绝赎金要求 / Interlock进行报复,在暗网上发布43GB被盗数据(主要是公园和娱乐部门文件) / 宣布为所有员工提供12个月免费信用监控服务
  • 2025年8月12日: 保卫圣保罗行动第一阶段完成(处理超过2,000人)
  • 2025年8月下旬: 电话服务、在线水费支付、公园和娱乐支付系统开始逐步恢复

2025年7月:圣保罗系统故障

圣保罗的第一批可疑迹象是在2025年7月25日星期五上午被检测到的。
该市的自动安全系统检测到"可疑活动”。但已经太晚了。

黑客的攻击在整个周末持续。从7月25日到27日,整个城市基本上处于数字围攻状态。
为了防止进一步的损害,市政当局在7月27日星期日做出了关闭所有信息系统的激烈决定。

结果如何?
市政厅和公共图书馆的Wi-Fi完全中断,在线支付系统完全瘫痪。
市民们没有办法支付水费。

他们设法保持911 (美国紧急号码) 正常运行 - 这个,你知道,是相当关键的。
但人们依赖的所有其他服务呢?水费支付、
市政记录、内部系统…全部离线。

紧急状态

7月29日,圣保罗市长梅尔文·卡特决定他们无法再坚持下去了。
他正式宣布这不仅仅是一个简单的系统错误,而是"由复杂的外部行为者进行的故意协调的数字攻击"。

他立即宣布地方紧急状态。
这显示了情况变得多么严重。

明尼苏达州州长蒂姆·沃尔兹当晚也发布了行政命令,部署明尼苏达州国民警卫队的网络保护团队。
官方理由是"攻击的规模和复杂性超出了该市的应对能力"。
想想看 - 为了一个城市的网络攻击部署国民警卫队…这绝对是史无前例的。

FBI介入了。两家大型网络安全公司也介入了。所有人都在忙乱。

Interlock的身份

直到8月10日才揭示了攻击者的身份。
在新闻发布会上,卡特市长透露这是一个名为"Interlock"的勒索软件组织所为。(说实话,这花的时间比你想象的要长得多。)

Interlock不是普通的黑客组织。
美国网络安全和基础设施安全局(CISA)在攻击前三天就发布了关于他们的警告。
卡特市长将他们描述为"一个复杂的、以金钱为动机的组织,针对企业、医院和政府机构,窃取和出售数TB的敏感信息"。

他们的要求很简单:
给我们钱。

确切金额?没人说。但圣保罗没有屈服。
然后事情就变得很糟糕了。

报复和市民数据泄露

当该市拒绝支付赎金时,Interlock的报复开始了。
8月11日,他们在互联网上发布了从圣保罗窃取的43GB数据。

幸运的是,大部分泄露的数据来自公园和娱乐部门的共享驱动器。
包括工作文件、员工提交给人力资源部的身份证复印件,甚至个人烹饪食谱 - 被描述为"多样化和非系统性的"材料。

但不知道还有什么可能泄露,该市不得不让市民放心。
该市宣布将为所有员工提供12个月的免费信用监控和身份盗窃保护服务。
这是一项预防措施,以防更敏感的信息被泄露。

恢复行动启动

为了恢复系统,圣保罗启动了一项大规模行动。
名为"保卫圣保罗行动",这项工作要求所有约3,500名市政员工在Roy Wilkins礼堂的地下室集合,在那里安装的约80台计算机前排队。

员工必须出示身份证和员工编号,花大约30分钟重置密码,并对工作笔记本电脑进行安全检查。
这个过程从8月10日到12日持续了三天,从早上6点到晚上10点。
这是一次彻底的重置。他们一定经历了极其艰难的时刻。

只有在重置所有账户信息后
他们才能开始逐个重启系统。

什么是勒索软件?

快速了解一下勒索软件,以防你不熟悉。

基本上就是数字劫持人质。
软件潜入你的系统,用加密锁定所有重要文件,然后 - 这就是关键 - 要求付款才能解锁。
“付钱或失去一切"的那种交易。

今天的勒索软件攻击者变得更加狡猾。
他们不只是加密文件 - 他们事先窃取重要数据。
所以当受害者拒绝付款时,他们会添加另一个威胁:“那么我们将在互联网上公布你的客户或公民的个人信息。”

这被称为"双重勒索”。

犯罪分子的动机

那么为什么这些犯罪分子在这些感染上投入如此多的时间和精力?

显然是钱。
这些攻击赚了很多钱 - 我们说的是每次攻击数十万,有时数百万。当你针对医院或市政府时,回报可能是巨大的。
这就是为什么每个人都在跳上这辆车。

然后还有整个RaaS的事情 - 勒索软件即服务。
想想特许经营模式:像Interlock这样的大型组织构建工具,较小的黑客
执行实际攻击,每个人分享利润。
“我处理技术,你做脏活"的那种安排。

加密货币也让事情变得更容易。
比特币支付几乎无法追踪,所以犯罪分子以这种方式要求赎金感觉更安全。

说实话?外面仍然有大量容易攻击的目标。
地方政府、小企业 - 许多人在安全方面投资不足。
他们认为"这不会发生在我们身上”,直到它发生。
然后就太晚了。

仍然有许多网络安全薄弱的目标。
特别是地方政府和小型企业往往安全投资不足,使黑客容易渗透。
他们认为"不会有什么严重的事情发生在我们身上…“并变得自满,然后在被攻击一次后就被彻底摧毁。

关于网络安全的事实是:如果黑客真的想进入,
他们最终会成功的。每个系统都有漏洞。
问题不是"他们能入侵吗?“而是"需要多长时间?“强大的安全性为你争取时间 - 有时足够让他们放弃并继续前进。

我们能做什么

那么我们如何保护自己免受此类攻击?

备份是你的安全网。
将重要文件的副本存储在外部驱动器或云存储上 - 与主系统分开的地方。
这样,如果勒索软件袭击,你不会完全完蛋。
只有一件事:不要让备份驱动器永久连接到你的计算机。
如果恶意软件传播,它们也可能被加密。
是的,每次拔插有点麻烦,但这是值得的。

保持一切更新。
我知道,我知道 - 更新通知很烦人。
但这些安全补丁存在是有原因的。
当你的操作系统或软件提示更新时,不要推迟。
黑客专门寻找运行具有已知漏洞的过时软件的系统。
养成一有更新就安装的习惯。

把可疑邮件当毒药对待。
事情是这样的 - 大多数勒索软件不会神奇地出现在你的计算机上。
它需要你让它进入,通常是通过钓鱼邮件。
那个你不认识的人发来的附件?删除它。
那条奇怪消息中的链接?不要点击。
如果邮件中有什么感觉不对劲,它可能就是不对劲。
相信你的直觉。

使用强密码并启用双因素认证。
每个账户使用不同的密码 - 是的,记住所有这些很痛苦,但这就是密码管理器存在的原因。
并在可能的地方启用双因素认证。
它增加了一个额外的层,使试图闯入你账户的攻击者的生活更加困难。

让自己成为一个困难的目标。
安全专家知道的一件事是:如果一个坚定的黑客真的想进入一个特定的系统,他们最终会找到方法。
但好消息是 - 大多数黑客没有那么耐心。
他们在寻找容易的胜利,而不是挑战。
所以堆积安全措施。
强密码、双因素认证、更新软件、防火墙设置 - 全部。
让你的系统足够烦人以至于难以破解,黑客通常会转向更容易的目标。
毕竟他们在经营生意。
时间就是金钱,即使对罪犯也是如此。

日常安全意识

实际上,在研究这个圣保罗事件时,我发现自己反思了很多。
我认为我在日常生活中对网络安全太自满了。

我们的日常生活与数字技术密不可分,对吧?
从网上银行到购物、社交媒体和工作…
几乎所有事情都在网上完成,但我们对安全的兴趣一直不足。

特别是"谁会黑一个像我这样的普通人?“这种想法似乎真的很危险。
勒索软件经常不分青红皂白地传播,而不是针对特定个人。
就像撒一张大网捕捉任何落网的鱼。

我还意识到,如果我遭到攻击,我不应该隐藏它或试图独自解决。
像圣保罗那样,我应该公开寻求帮助并与专家合作解决它。

通过这次圣保罗勒索软件事件,我对网络安全的重要性有了新的认识。
整个城市可能瘫痪令人震惊,而这类攻击变得越来越复杂令人恐惧。

所以是的,这就是圣保罗的故事。很可怕,对吧?

你的安全设置看起来怎么样?有恐怖故事或提示要分享吗?
在评论中留言 - 我很想听听你们所有人对此的看法。