近日美国支付平台BridgePay遭遇勒索攻击后,导致服务器宕机
美国主要支付网关和解决方案提供商BridgePay确认,其平台近日发生的全国性服务中断系勒索软件攻击所致。
大约在BridgePay披露此事件的同时,一些美国商家和组织开始告知客户,由于全国性信用卡处理中断,他们只能接受现金。
公司表示,事件发生后已与联邦调查局、美国特勤局及外部取证和恢复团队合作调查。
初步取证结果显示,未发现支付卡数据被泄露,相关文件虽被访问但已加密,目前没有证据表明支付卡数据被泄露。
从2026年2月6日开始 ,BridgePay系统开始经历故障。它的团队正在积极调查原因,无法确定恢复正常运行的时间。
在2月11日的时候,它的团队继续积极与内部资源和外部专家合作,解决当前的网络安全事件。
目前没有任何重要更新可供分享,服务也无法使用。
我们会随着进展持续发布更新。感谢您一直以来的耐心等待。
今天2月13日早晨5点 它们公司宣布 在恢复工作中持续取得积极进展。
更多细节将在有消息时提供。
目前仍未正常对外提供服务
公司表示,事件发生后已与联邦调查局、美国特勤局及外部取证和恢复团队合作调查。
初步取证结果显示,未发现支付卡数据被泄露,相关文件虽被访问但已加密,目前没有证据表明支付卡数据被泄露。
从2026年2月6日开始 ,BridgePay系统开始经历故障。它的团队正在积极调查原因,无法确定恢复正常运行的时间。
在2月11日的时候,它的团队继续积极与内部资源和外部专家合作,解决当前的网络安全事件。
目前没有任何重要更新可供分享,服务也无法使用。
我们会随着进展持续发布更新。感谢您一直以来的耐心等待。
今天2月13日早晨5点 它们公司宣布 在恢复工作中持续取得积极进展。
更多细节将在有消息时提供。
目前仍未正常对外提供服务
关于作者
评论1次
### 结论 BridgePay事件符合典型勒索攻击链特征:初始入侵→横向移动→关键业务xi统加密→谈判赎金。其攻击面可能集中在第三方服务接口、员工凭证泄露或未修复的远程服务漏洞。数据未泄露但服务宕机表明攻击者优先加密核心业务xi统(如支付网关),而非窃取PCI数据。 --- ### 分析路径 #### **L1 攻击面识别** 1. **入口点推测**: - **公开服务面**:检查BridgePay云环境暴露的API端口(如支付网关、数据库API)、未授权访问的管理面板(如Kibana、JMX)。 - **第三方服务**:供应链攻击可能性,如被入侵的支付处理SDK或日志分析工具(参考SolarWinds模式)。 - **凭证泄露**:员工钓鱼事件泄露的AD凭据或云服务密钥(AWS IAM)被复用。 2. **攻击目标**: - 支付xi统核心组件(如交易日志数据库、清算中间件)被加密,导致全国性服务中断。 #### **L2 假设与验证** 1. **假设验证链**: - **横向移动路径**:检查AD日志是否存在异常组策略修改(如Domain Admins权限提升)、被入侵主机的横向扫描(如SMB NULL Session)。 - **加密行为特征**:分析磁盘异常写入模式(如高频小文件写入)和加密文件扩展名(如`.locked`、`.encrypted`). - **C2通信残留**:检查DNS查询记录是否有C2服务器请求(如短域名、动态DNS子域)。 2. **关键指标**: - 支付卡数据未泄露可能因攻击者未深入支付处理层(如HSM加密模块),或数据存储于隔离的PCI DSS合规区域。 #### **L3 边界/异常场景** 1. **防御绕过点**: - WAF/IPS规则未拦截横向移动工具(如Mimikatz)或勒索软件行为(如AES+RSA加密模式)。 - 备份xi统未隔离,导致加密范围扩大至生产与灾备环境。 2. **异常行为**: - 攻击者选择性加密业务数据库而非全部文件,体现对支付xi统架构的深度理解。 #### **L4 防御反推与修复** 1. **溯源缺失环节**: - 若日志显示2月6日前存在异常登录,需检查45天内的SSH/RDP会话、容器镜像供应链(如Docker私有仓库)。 2. **修复优先级**: - **横向移动阻断**:部署主机防火墙(如Windows Firewall规则限制CIFS/RPC端口跨段访问)。 - **加密防护**:对关键业务xi统启用防勒索软件功能(如Windows Defender Controlled Folder Access)。 --- ### 验证步骤 1. **入口点回溯**: ```bash # 检查SSH异常登录 grep "Accepted publickey" /var/log/secure | awk '{print $11}' | sort | uniq -c # 分析Web服务器异常请求(如未授权API调用) cat access.log | grep -E 'PUT|POST' | grep -v '/api/v1/health' ``` 2. **横向移动证据**: ```bash # 查找失陷主机的异常进程树 ps auxwwwf | grep -E 'mimikatz|rdpclip' # 检查域控制器组策略修改时间 Get-ADObject -Filter * -Properties whenChanged | Where-Object {$_.whenChanged -gt "2026-02-05"} ``` 3. **加密行为验证**: ```bash # 分析文件扩展名变化频率 find /mnt/data -type f -newermt "2026-02-05" -exec file {} \; | grep 'encrypted data' | wc -l ``` --- ### 修复建议 1. **漏洞修补**: - 立即修补公开服务的CVE(如Log4j、Confluence RCE漏洞),使用工具`nuclei`扫描常见攻击面。 2. **备份隔离**: - 采用3-2-1备份策略(3份副本、2种介质、1份离线),测试恢复流程的RTO/RPO是否符合PCI DSS要求。 3. **入侵检测强化**: - 部署Elasticsearch+Suricata检测异常横向访问,配置SIEM规则触发条件:`source.port:445 AND dest.domain:ad.internal AND bytes_out:>10MB`。 4. **供应链管控**: - 对第三方支付SDK进行SBOM分析(如Syft工具),禁用未使用的第三方API权限(最小权限原则)。 --- 注:若需进一步分析需获取关键日志片段(如AD事件4624、Web防火墙日志),或xi统镜像哈xi值辅助判定是否被持久化。