近日美国支付平台BridgePay遭遇勒索攻击后,导致服务器宕机

2026-02-13 12:33:49 1 815

美国主要支付网关和解决方案提供商BridgePay确认,其平台近日发生的全国性服务中断系勒索软件攻击所致。

大约在BridgePay披露此事件的同时,一些美国商家和组织开始告知客户,由于全国性信用卡处理中断,他们只能接受现金。

公司表示,事件发生后已与联邦调查局、美国特勤局及外部取证和恢复团队合作调查。

初步取证结果显示,未发现支付卡数据被泄露,相关文件虽被访问但已加密,目前没有证据表明支付卡数据被泄露。

从2026年2月6日开始 ,BridgePay系统开始经历故障。它的团队正在积极调查原因,无法确定恢复正常运行的时间。



在2月11日的时候,它的团队继续积极与内部资源和外部专家合作,解决当前的网络安全事件。

目前没有任何重要更新可供分享,服务也无法使用。

我们会随着进展持续发布更新。感谢您一直以来的耐心等待。

今天2月13日早晨5点 它们公司宣布 在恢复工作中持续取得积极进展。

更多细节将在有消息时提供。

目前仍未正常对外提供服务
类别 新闻资讯

关于作者

beiank83篇文章410篇回复

beiank
1

评论1次

要评论?请先  登录  或  注册
  • 1楼
    T00lsAI T00ls官方AI机器人
    Rank: 3Rank: 3
    2026-2-13 12:37

    结论

    BridgePay事件符合典型勒索攻击链特征:初始入侵→横向移动→关键业务xi统加密→谈判赎金。其攻击面可能集中在第三方服务接口、员工凭证泄露或未修复的远程服务漏洞。数据未泄露但服务宕机表明攻击者优先加密核心业务xi统(如支付网关),而非窃取PCI数据。

    分析路径

    L1 攻击面识别

    1. 入口点推测

      • 公开服务面:检查BridgePay云环境暴露的API端口(如支付网关、数据库API)、未授权访问的管理面板(如Kibana、JMX)。
      • 第三方服务:供应链攻击可能性,如被入侵的支付处理SDK或日志分析工具(参考SolarWinds模式)。
      • 凭证泄露:员工钓鱼事件泄露的AD凭据或云服务密钥(AWS IAM)被复用。

    2. 攻击目标

      • 支付xi统核心组件(如交易日志数据库、清算中间件)被加密,导致全国性服务中断。

    L2 假设与验证

    1. 假设验证链

      • 横向移动路径:检查AD日志是否存在异常组策略修改(如Domain Admins权限提升)、被入侵主机的横向扫描(如SMB NULL Session)。
      • 加密行为特征:分析磁盘异常写入模式(如高频小文件写入)和加密文件扩展名(如.locked.encrypted).
      • C2通信残留:检查DNS查询记录是否有C2服务器请求(如短域名、动态DNS子域)。

    2. 关键指标

      • 支付卡数据未泄露可能因攻击者未深入支付处理层(如HSM加密模块),或数据存储于隔离的PCI DSS合规区域。

    L3 边界/异常场景

    1. 防御绕过点

      • WAF/IPS规则未拦截横向移动工具(如Mimikatz)或勒索软件行为(如AES+RSA加密模式)。
      • 备份xi统未隔离,导致加密范围扩大至生产与灾备环境。

    2. 异常行为

      • 攻击者选择性加密业务数据库而非全部文件,体现对支付xi统架构的深度理解。

    L4 防御反推与修复

    1. 溯源缺失环节

      • 若日志显示2月6日前存在异常登录,需检查45天内的SSH/RDP会话、容器镜像供应链(如Docker私有仓库)。

    2. 修复优先级

      • 横向移动阻断:部署主机防火墙(如Windows Firewall规则限制CIFS/RPC端口跨段访问)。
      • 加密防护:对关键业务xi统启用防勒索软件功能(如Windows Defender Controlled Folder Access)。

    验证步骤

    1. 入口点回溯
      # 检查SSH异常登录  grep "Accepted publickey" /var/log/secure | awk '{print $11}' | sort | uniq -c  # 分析Web服务器异常请求(如未授权API调用)  cat access.log | grep -E 'PUT|POST' | grep -v '/api/v1/health'
    2. 横向移动证据
      # 查找失陷主机的异常进程树  ps auxwwwf | grep -E 'mimikatz|rdpclip'  # 检查域控制器组策略修改时间  Get-ADObject -Filter * -Properties whenChanged | Where-Object {$_.whenChanged -gt "2026-02-05"}
    3. 加密行为验证
      # 分析文件扩展名变化频率  find /mnt/data -type f -newermt "2026-02-05" -exec file {} \; | grep 'encrypted data' | wc -l

    修复建议

    1. 漏洞修补

      • 立即修补公开服务的CVE(如Log4j、Confluence RCE漏洞),使用工具nuclei扫描常见攻击面。

    2. 备份隔离

      • 采用3-2-1备份策略(3份副本、2种介质、1份离线),测试恢复流程的RTO/RPO是否符合PCI DSS要求。

    3. 入侵检测强化

      • 部署Elasticsearch+Suricata检测异常横向访问,配置SIEM规则触发条件:source.port:445 AND dest.domain:ad.internal AND bytes_out:>10MB

    4. 供应链管控

      • 对第三方支付SDK进行SBOM分析(如Syft工具),禁用未使用的第三方API权限(最小权限原则)。

    注:若需进一步分析需获取关键日志片段(如AD事件4624、Web防火墙日志),或xi统镜像哈xi值辅助判定是否被持久化。