覆蓋英格蘭北部的英國地方鐵路系統之一——北方鐵路(Northern Rail)的新自助售票機在上周遭遇勒索軟件攻擊后服務中斷。北方鐵路承認,這次中斷實際上是由勒索軟件攻擊引起的,其供應商正在對此事進行調查。
當地時間7月20日,英國主要媒體報道鐵路運營商Northern在英格蘭北部新安裝的自助售票機遭受網絡攻擊,迫使該運營商將所有的售票機下線。北方鐵路在一份新聞稿中表示,由于技術上的困難,它不得不關閉所有的自助售票機。該運營商表示:“我們正在調查這個問題,正在努力讓機器盡快重新運行。”“我們對由此造成的任何不便感到抱歉。與此同時,我們建議客戶使用我們的手機應用程序或網站提前購票,并在必要時從我們的售票處領取車票。該公司補充說:“已經買了車票、需要通過自動取款機取票的顧客,或者通常使用‘付款承諾單’的顧客,應該登上預定的服務,然后向售票員或目的地車站的北方鐵路工作人員報告。”
Flowbird安裝并監控北方航空的自助售票機,他告訴ZDNet,這次中斷是由網絡攻擊引起的。該公司表示:“這個問題最初是通過網絡監控系統發現的,我們的初步調查顯示,該服務可能受到了網絡攻擊。”
據路透社報道,北方鐵路承認,這次中斷實際上是由勒索軟件攻擊引起的。“我們的供應商正在對此事進行調查,但有跡象表明,售票機服務受到了勒索軟件的網絡攻擊”
在國有的英國鐵路公司(British Rail)從1994年到1997年逐步私有化后,英國的鐵路是在特許經營體系下運營的。鐵路基礎設施由鐵路網擁有和管理,鐵路網成為交通部的一個“獨立的”公共機構,但鐵路服務是由私營公司在政府許可下運營的。
政府去年行使了它的權利。Northern Rail當時由Arriva Rail North運營,但在出現了包括延誤和取消在內的一系列運營問題后,該服務被政府接管(或收回)。
北方鐵路公司實際上是政府所有的。自助、觸屏、平板式售票機(約600多臺)由政府出資購買(投資約1700萬英鎊),安裝在420個車站。這就意味著他們不可能支付贖金。如果這是有針對性的攻擊,攻擊者應該早就知道了。
這暗示——或許這只是猜測,因為沒有任何細節被公布——這是一種噴灑(Spray)和祈禱(pray)攻擊,導致勒索攻擊僅僅因為它是可能的有價值目標。這反過來應該提醒中小企業,即使他們不認為自己是一個有吸引力的目標,他們仍然會受到勒索軟件的攻擊。
售票機由Flowbird Transport Intelligence公司提供,并于2021年5月完成安裝。北方鐵路公司沒有提供有關該問題的信息。其網站上的旅游警告僅僅是這樣寫的:“我們的自助售票機目前遇到技術問題,這意味著所有人都必須下線。”我們正在調查此事,正在努力工作……“
鐵路服務沒有中斷,車票仍然可以在售票處手動購買。
Flowbird為BBC新聞提供了更多信息。該公司告訴BBC,該問題最初是通過網絡監控系統發現的。一名發言人表示:”我們立即啟動了重大事件程序,以保護網絡的其他部分,我們的檢查顯示,任何個人數據都沒有受到損害。“
這是一個重要的信號,因為售票機接受信用卡支付他們所分發的票。如果是準確的,這將進一步證明這是一次商品級的勒索軟件攻擊,而不是復雜的有針對性的攻擊。(如果事實證明攻擊者逗留的時間比預期的長,支付細節被竊取,勒索軟件被用于掩蓋蹤跡,這個結論就需要修改。)
Armis歐洲網絡風險官安迪·諾頓評論道:”鑒于這些設備最近才安裝,最近的部署似乎缺少一些基本的安全機制。這個售票系統很可能是基于Android系統的,而且確有一小部分勒索軟件專門針對Android設備。鐵路網絡在NIS立法中被認為是關鍵的基礎設施,因此應該對新票務系統進行風險評估,這種風險評估應該包括網絡攻擊的風險,并進行緩解控制。“
針對針對Northern的網絡攻擊,Vectra AI國際高級副總裁威廉·亨德里克斯(Willem Hendrickx)告訴媒體,目前的基礎設施攻擊浪潮似乎既專注于收集利益,也專注于制造混亂。雖然很高興看到北方鐵路公司在較早的時候就做出了快速反應來識別攻擊,但它仍然對系統造成了影響。
”幾乎每周,我們都要面對我們重要系統的安全漏洞,所以其他關鍵目標必須注意到,并確保他們有先進的檢測工具到位。組織必須能夠減少他們發現威脅的時間,以減輕勒索軟件的影響,使用最新的技術保持領先于最新的威脅一步。“
據ThycoticCentrify的首席安全科學家約瑟夫·卡森(Joseph Carson)稱,”最新的勒索軟件事件表明,你可能已經部署了最新的軟件和硬件,但缺乏安全最佳實踐,仍使組織有可能成為勒索軟件的受害者。“
”雖然使用最新的軟件是一個好的開始,但單獨使用它是不夠的。你還必須確保系統被加固、保護和打補丁,以及強大的特權訪問安全,以使勒索軟件攻擊者難以成功,“他補充說。
