上周末，一场复杂的勒索软件攻击入侵了柯林斯航空航天公司的Muse值机和登机系统，迫使包括希思罗、布鲁塞尔和柏林在内的主要枢纽恢复人工操作流程。

由于安全团队紧急应对数据泄露、恢复加密数据并部署软件补丁，航空公司报告了数百架航班延误和取消的情况。

《卫报》称，周五晚间，威胁行为者向柯林斯宇航公司云托管环境中的虚拟机部署了一个勒索软件有效载荷，据信该有效载荷是REvil/Sodinokibi家族的一个变种。

柯林斯航空航天系统公司勒索软件攻击

此次攻击利用了一封包含恶意宏的鱼叉式钓鱼邮件，该邮件执行了一个PowerShell脚本，从一个命令与控制（C2）服务器下载有效载荷。

一旦激活，该勒索软件就会使用AES-256加密来锁定文件共享和虚拟磁盘，添加“.locked”扩展名，并留下要求用门罗币支付赎金的勒索信。

初步法医分析表明，入侵者利用了Citrix ADC设备中的一个零日漏洞站稳脚跟，随后通过修改Windows注册表提升权限，并部署Mimikatz来窃取凭据。

检测到通过SMB和RDP协议在网络中存在横向移动，并且通过计划任务和修改的组策略对象（GPOs）建立了持久化机制。

欧盟网络安全局（ENISA）证实，柯林斯宇航公司的主域控制器遭遇了文件加密，影响蔓延至机场自助服务终端、行李托运系统和登机口。

《卫报》称，在柯林斯航空航天公司研发解密工具和紧急修复程序期间，机场运营商已启用人工值机柜台和纸质登机牌，这使得旅客办理手续的时间延长了至多两小时。

希思罗机场报告称：“绝大多数航班均正常运行，不过值机时间可能比往常更长。”

布鲁塞尔机场仅在周一就取消了40个离港航班和23个到港航班，都柏林方面则警告称，尽管目前没有航班取消，但未来可能会出现航班延误。

英国政府独立反恐立法审查官乔纳森·霍尔王室法律顾问表示，此次数据泄露事件的幕后黑手可能是一个利用高级持续性威胁（APT）策略的国家支持的行为体。

然而，柯林斯航空航天公司尚未公开将此次攻击归咎于任何组织。在周一的声明中，其母公司雷神技术公司（RTX）确认“正在验证系统完整性”，并敦促客户安装最新的Muse软件更新（7.4.2版本）。

建议乘客在线确认航班状态，长途航班出发前到达时间不超过三小时，短途航班不超过两小时。