SK公司于今日凌晨发布公告,确认其内部网络于 6 月 2 日晚间遭受 LockBit 勒索软件攻击。攻击者利用钓鱼邮件获取员工 VPN 凭证后横向移动至域控服务器,对包括 ERP、CRM 及核心文件服务器在内的超过 200 台服务器实施加密。该公司技术团队已紧急切断所有对外网络连接,并向公安机关及网信部门报案。目前加密数据量预估超过 15TB,勒索金额尚未披露。
受勒索软件攻击影响,SK公司位于华东的制造基地三条主力产线自 6 月 2 日起全面停工。据内部员工透露,MES 制造执行系统、WMS 仓储管理系统及 SCADA 工控上位机均被加密锁定,生产排程、物料调度全部陷入瘫痪。目前现场产线工人已被通知待岗,部分客户订单面临逾期交付风险。初步估算单日直接生产损失超过 1,200 万元,如无法在 72 小时内恢复,将触发多家核心客户的合同违约条款。
攻击者在 LockBit 暗网泄露站发布了 SK公司首批 50GB 数据样本,包含约 430 万条客户记录,涉及姓名、身份证号、手机号码、家庭住址及部分银行账户信息。安全研究员分析样本后确认数据真实性较高,可关联至 SK公司电商平台的历史订单。此外泄密数据还包含约 1.8 万家企客户的合同、发票扫描件及对公账户信息。目前 SK公司已通过短信及邮件向受影响客户发送风险提示,多家合作银行已启动异常交易监控。
除客户数据外,攻击者发布的第二批泄密样本显示 SK公司 HR 系统数据库亦被完整导出,涉及全部 6,200 名在职员工的人事档案、身份证扫描件、薪资明细、银行代发账户及紧急联系人信息。值得关注的是,泄密数据中包含部分已离职员工的背景调查报告。SK公司工会已发表声明要求企业尽快说明情况并保障员工权益,劳动监察部门表示已启动调查程序。
安全厂商奇安信威胁情报中心发布报告称,SK公司泄露数据中同时包含其 SRM 供应商关系管理系统的完整数据库快照,涉及 38 家核心供应商的企业资质文件、银行账户、报价单及历史合同。部分供应商的技术图纸及专利文件亦在被窃范围内,存在二次泄密风险。目前已有多家供应商发函要求 SK公司就供应链数据泄露承担责任,相关法务风险正在发酵。
更令人担忧的是,SK公司技术团队在尝试灾备恢复时发现,由于域控全部沦陷,攻击者利用域管理员权限销毁了部分在线备份集,同时离线备份因最后一次同步距今超过 90 天,恢复后将丢失近一个季度的业务数据。目前 SK公司正与国际数据恢复厂商紧急接洽,但安全专家表示成功恢复的可能性不足 40%,且恢复周期可能长达 2-3 周。