报告编制:基于官方披露及国内外权威网络安全资料整理
核心摘要:本文针对罗马尼亚国家石油管道运营商Conpet遭受麒麟(Qilin)勒索软件攻击事件,结合官方披露、第三方媒体报道及国内外网络安全机构分析,从事件破坏影响、发展时间轴线、攻击者TTPs、攻击者画像四个维度展开详细分析,六方云最终提出技术与管理双重维度的具体防护措施,为关键基础设施运营主体抵御勒索软件攻击提供参考。
一、事件破坏影响
本次事件为罗马尼亚国家石油管道运营商Conpet遭受麒麟(Qilin)勒索软件团伙的网络攻击,该攻击虽未影响核心工控运营,但对企业IT基础设施、品牌声誉及罗马尼亚关键基础设施安全格局均造成多重影响,相关影响均有明确事实依据支撑:
1.1 企业IT层直接受损
Conpet的企业IT基础设施遭受实质性冲击,官方网站www.conpet.ro完全瘫痪,无法正常访问,直接影响企业对外信息发布、用户交互等日常运营功能;同时攻击者窃取近1TB敏感文件,包含财务信息、护照扫描件等核心资料,并在暗网泄露内部文件照片佐证数据窃取事实,造成企业核心数据泄露风险。
1.2 核心业务未受波及但存在潜在风险
得益于工控系统与IT系统的隔离设计,Conpet的SCADA系统、通信系统等运营技术关键系统未受攻击,近4000公里石油管道网络的原油、汽油、液态乙烷等物资运输核心业务正常运转,合同履行能力未受影响。但此次攻击证明攻击者已突破企业传统边界防护,若工控系统防护存在漏洞,后续可能面临更严重的核心业务攻击风险。
1.3 罗马尼亚关键基础设施安全体系受冲击
本次事件并非孤立案例,2024年2月以来罗马尼亚医疗、能源、水利领域已接连遭遇勒索软件攻击:超100家医院因Backmydata攻击陷入系统瘫痪,2024年12月电力供应商Electrica集团遭Lynx攻击导致大量数据泄露,2025年12月水利局和奥尔特尼亚能源综合体也先后遇袭。Conpet作为罗马尼亚能源运输核心企业遇袭,进一步印证该国关键基础设施已成为勒索软件团伙的“高价值目标”,暴露出该国相关领域网络安全防护的系统性漏洞,引发行业内的安全恐慌。
1.4 行业及区域网络安全警示效应
此次攻击成为全球能源行业网络安全的典型警示案例,凸显了能源类关键基础设施即使实现IT与工控隔离,仍面临数据泄露、IT系统瘫痪的网络安全威胁,也让欧洲乃至全球关注到中东欧国家关键基础设施的网络安全短板。
二、事件发展时间轴线
本时间轴线基于Conpet官方披露、攻击者行为及第三方媒体报道梳理,核心时间节点清晰可考,按事件发展顺序排列如下:
2.1 攻击发生(2026年3月某日,周二)
Conpet企业业务系统遭受网络攻击,IT基础设施受冲击,官方网站随即陷入瘫痪,攻击事件正式发生。
2.2 官方披露与协作启动(2026年3月某日,周三)
Conpet发布正式新闻稿,首次公开披露攻击事件细节,明确攻击仅影响IT基础设施、核心工控系统及业务正常运行,并向公众致歉网站无法访问的问题;同时公司与罗马尼亚国家网络安全部门展开合作,启动事件调查和系统恢复工作。
2.3 提起刑事诉讼(2026年3月某日,周三)
Conpet采取法律行动,通知罗马尼亚打击有组织犯罪和恐怖主义调查局(DIICOT),并针对此次攻击正式提起刑事诉讼。
2.4 攻击者宣称负责并泄露证据(2026年3月3日)
麒麟勒索软件团伙在暗网宣称对此次攻击负责,将Conpet添加至其暗网泄露网站,并公开声称窃取近1TB敏感文件,泄露十几张内部文件照片证明攻击成果。
2.5 媒体问询与后续进展(2026年3月3日及之后)
知名科技媒体BleepingComputer针对此次事件向Conpet提出采访及信息查询请求,截至当日未收到Conpet的即时回复;后续Conpet持续与罗马尼亚国家网络安全部门协作,开展受影响系统的恢复工作,尚未有公开信息披露系统恢复完成及案件侦破进展。
三、攻击者采用的攻击TTPs(战术、技术和程序)
麒麟勒索软件团伙在本次攻击中运用的TTPs结合了其标志性攻击手段与针对能源企业的定制化策略,同时契合当前勒索软件攻击的主流趋势,相关战术技术均有实际攻击行为及行业分析佐证,按战术、技术、程序三个维度拆解如下:
3.1 战术层面
3.1.1 复合型双重勒索战术
突破传统单一加密数据的勒索模式,采用“数据窃取+系统加密+暗网泄露”的复合型双重勒索策略:先窃取企业近1TB敏感数据,再对IT系统进行加密,同时将受害者添加至暗网泄露网站,泄露部分核心文件照片证明数据窃取真实性,通过“数据泄露曝光”的压力迫使企业支付赎金,该战术是麒麟团伙的标志性手段,在针对朝日啤酒、日产汽车等企业的攻击中均有使用。
3.1.2 高价值目标精准选择战术
瞄准罗马尼亚能源运输核心企业Conpet这类关键基础设施运营主体,此类目标因涉及国计民生,对数据泄露和系统瘫痪的容忍度低,更易产生支付赎金的意愿;同时利用罗马尼亚关键基础设施的系统性安全漏洞,实施精准攻击,与该团伙此前攻击全球知名企业、政府机构的目标选择逻辑一致。
3.2 技术层面
3.2.1 供应链渗透与边界突破技术
通过云原生漏洞(如CVE-2025-55182)或第三方服务进行供应链渗透,实现横向移动,突破Conpet的传统边界防护体系;该技术与SolarWinds式供应链攻击逻辑相似,利用企业对第三方供应商的信任,成为进入企业内网的重要入口,也是此次攻击中麒麟团伙突破Conpet防护的核心技术手段之一。
3.2.2 AI工具辅助的社会工程学攻击技术
利用生成式AI伪造钓鱼邮件、深度伪造高管语音,提升社会工程学攻击的精准度和成功
率,大概率通过该手段获取Conpet企业员工账户权限,进而实现内网入侵;该技术是麒麟团伙的核心技术优势,也是当前勒索软件攻击的重要发展趋势。
3.2.3 加密流量传输技术
通过SSL/TLS加密通道传输恶意流量和窃取的敏感数据,利用暗网完成数据存储和泄露发布,规避企业常规的网络流量检测,使得攻击行为在前期更难被发现。
3.2.4 数据窃取与快速提取技术
在短时间内完成近1TB敏感文件的窃取和提取,说明团伙具备高效的内网数据扫描、筛选和传输技术,能够精准定位企业财务、人员信息等核心敏感数据,实现定向窃取。
3.3 程序层面
3.3.1 攻击前的目标侦察程序
对Conpet的企业架构、网络防护情况、供应链关系进行全面侦察,明确其IT与工控系统的隔离边界、防护薄弱点,为后续的供应链渗透和社会工程学攻击提供精准依据,符合APT化勒索软件攻击“先侦察、后攻击”的程序特征。
3.3.2 攻击中的快速横向移动程序
突破边界后,快速在内网进行横向移动,避开核心工控系统的防护,专门针对IT基础设施实施攻击和数据窃取,实现“精准打击、规避核心防护”的攻击效果。
3.3.3 攻击后的快速宣示与泄露程序
攻击完成后立即在暗网宣称负责,快速泄露部分数据证明攻击成果,形成舆论和企业经营压力,缩短勒索周期,提升赎金支付效率。
四、攻击者画像
本次攻击的实施者为麒麟(Qilin)勒索软件团伙,该团伙并非零散黑客组织,而是具备产业化、专业化、全球化特征的网络犯罪团伙,其画像基于团伙成立背景、攻击行为、技术特征等多方面信息综合梳理:
4.1 组织属性:产业化的勒索软件即服务(RaaS)运营团伙
麒麟团伙于2022年8月以“Agenda”之名成立,自成立之初便采用RaaS运营模式,将勒索软件作为服务提供给下游攻击者,通过“分成制”实现产业化运作;截至2026年,该团伙已宣称对全球近400名受害者发动攻击,攻击范围覆盖多个国家和行业,具备成熟的产业化运营体系。
4.2 成员特征:具备高专业素养的复合型网络犯罪群体
团伙成员包含漏洞挖掘专家、AI技术开发人员、社会工程学攻击专家、数据窃取与加密技术人员等,具备从目标侦察、边界突破、内网渗透到数据窃取、勒索宣示的全流程专业能力;能够利用生成式AI、云原生漏洞、供应链渗透等前沿技术实施攻击,说明成员具备扎实的网络技术功底和持续的技术更新能力。
4.3 攻击范围:全球化的跨行业攻击,聚焦高价值目标
攻击目标覆盖全球多个国家,涉及能源、汽车、啤酒、出版、医疗、司法、公共事业等多个领域,既包括日产汽车、朝日啤酒、李氏企业等全球知名企业,也包括澳大利亚维多利亚州法院服务局、罗马尼亚Conpet等政府机构和关键基础设施运营主体,始终以高价值目标为核心攻击对象。
4.4 行为特征:嚣张且具备强烈的威慑性,攻击手段不断升级
该团伙在攻击后会第一时间在暗网宣称负责,并通过泄露敏感数据、发布受害者信息等方式形成威慑;攻击手段从最初的单一数据加密,逐步升级为“数据窃取+系统加密+暗网泄露”的复合型模式,同时结合AI、供应链渗透等新技术,不断提升攻击的成功率和勒索效果,且攻击行为无明显地域和行业顾忌。
4.5 资金特征:以牟取高额非法利润为核心目的
团伙的所有攻击行为均围绕“勒索赎金”展开,通过双重勒索、精准选择高价值目标等方式,提升赎金支付的概率和金额;采用加密货币进行赎金交易,规避金融监管,实现非法资金的快速转移和洗白。
五、具体可行的防护措施(技术+管理维度)
结合本次Conpet攻击事件、麒麟勒索软件团伙的攻击TTPs,以及罗马尼亚关键基础设施的系统性安全漏洞,同时参考国内外标准和报告要求,从技术和管理两个维度制定全周期、可落地的网络安全防护措施,所有措施均针对此次攻击暴露的问题和勒索软件攻击的主流趋势设计。
5.1 技术维度:构建“事前加固-事中检测-事后恢复”的全技术防护体系
5.1.1 事前加固:筑牢基础防护,从源头上降低攻击概率
(1)工控与IT系统深度隔离,加固工控系统安全
- 实施严格的网络分区隔离,将工控网络(SCADA系统、通信系统)与IT网络进行物理+逻辑双重隔离,设置专用的隔离网关,禁止两个网络之间的非授权访问,防止勒索软件从IT网络横向渗透至工控网络;
- 对工控系统部署工业审计工具,7×24小时监控SCADA系统和通信系统的运行状态,对异常数据访问、指令发送等行为实时报警,实现工控系统的异常行为早发现;
- 为工控系统建立白名单管控机制,仅允许授权的终端设备、程序运行,从源头上阻断未知恶意软件的执行,同时关闭工控系统的非必要端口和服务,减少攻击面。
(2)强化边界防护,防范供应链渗透和外部入侵
- 对企业网络边界部署下一代防火墙,开启入侵防御、病毒查杀、加密流量解密等功能,利用SSL/TLS解密技术分析加密流量,发现隐藏在其中的恶意行为;
- 建立软件物料清单(SBOM),对企业使用的所有软件(尤其是第三方供应商软件)进行全生命周期漏洞监控,及时修复Log4j、ProxyShell等开源组件漏洞,对云原生漏洞(如CVE-2025-55182)进行专项防护;
- 对企业互联网资产进行全面梳理,移除不必要的域名、链接和敏感信息,收敛暴露面,禁止将工控系统的管理、监控接口暴露至互联网。
(3)终端与数据安全加固,提升数据防泄露能力
- 对企业所有终端设备安装终端检测与响应(EDR)系统,实现终端恶意行为的实时检测和阻断,同时强制开启磁盘加密,对敏感数据进行分级加密存储;
- 实施数据备份策略:定期对备份数据的完整性进行测试,确保数据被加密或窃取后能快速恢复。
5.1.2 事中检测:实现实时监控,快速发现并阻断攻击
(1)部署全流量威胁检测系统,实现攻击行为实时识别
- 在企业内网(尤其是IT网络)部署AI驱动的全流量检测系统,利用AI算法分析网络流量特征,精准识别勒索软件的C2通信、数据外传、横向移动等可疑行为,实现攻击行为的实时预警;
- 建立勒索软件特征库,重点收录麒麟等主流勒索软件的特征码、行为特征,结合威胁情报实时更新,提升检测的精准度。
(2)搭建自动化响应体系,快速斩断攻击扩散链条
- 实现安全检测系统与工业防火墙、EDR系统的联动,一旦发现勒索软件活动,自动阻断攻击源IP地址、隔离受感染终端,防止攻击在内网扩散;
- 准备专用的防恶意代码U盘,对疑似感染病毒的工业主机进行离线查杀,避免物理介质传播恶意软件。
5.1.3 事后恢复:实现快速溯源,恢复系统并弥补漏洞
(1)建立集中化日志分析体系,实现攻击精准溯源
- 将工业审计、防火墙、EDR、终端安全等所有设备的日志进行集中存储,通过SIEM平台对日志进行关联分析,还原攻击路径,追溯初始入侵点(如钓鱼邮件、供应链漏洞);
- 基于溯源结果,形成攻击分析报告,明确防护漏洞点,为后续防护策略优化提供依据。
(2)制定标准化的系统恢复流程,提升恢复效率
- 针对IT系统和工控系统分别制定应急恢复流程,明确系统恢复的优先级、操作步骤和责任人员,确保受攻击后能按照流程快速恢复系统,减少业务中断时间;
- 恢复系统后,对所有设备进行全面的恶意软件查杀,修复相关漏洞,更新防护策略后再接入网络,防止二次攻击。
5.2 管理维度:建立“制度-人员-供应链-应急”的全管理保障体系
5.2.1 完善网络安全管理制度,明确主体责任
- 依据《关键信息基础设施安全保护条例》等国内外标准,制定企业网络安全管理制度和操作规范,明确各部门、各岗位的网络安全责任,将网络安全工作纳入企业绩效考核;
- 设立专门的网络安全管理部门,配备专职的网络安全人员,负责企业网络安全的日常管理、漏洞修复、应急处置等工作,确保网络安全工作专人负责、专人落实。
5.2.2 强化人员安全培训,提升社会工程学攻击防范能力
- 定期组织全体员工开展网络安全培训,重点讲解钓鱼邮件、深度伪造语音/视频等社会工程学攻击的识别方法,提升员工的安全意识;
- 每月开展钓鱼邮件模拟演练,模拟各种复杂的钓鱼场景,对演练结果进行统计分析,对识别能力较弱的员工进行专项培训,确保员工能有效应对真实的社会工程学攻击;
- 强制推行多因素认证(MFA),要求员工登录系统必须使用“密码+验证码/指纹/硬件密钥”的双重认证方式,严禁使用弱密码、在不同系统重复使用同一密码,定期对员工密码强度进行检查。
5.2.3 加强供应链安全管理,从源头规避供应链渗透风险
- 建立第三方供应商安全评估体系,对所有与企业有业务往来的供应商(尤其是工控系统、软件服务供应商)进行全面的安全评估,要求供应商符合ISO 27001、IEC 62443等国际安全标准,对评估不合格的供应商坚决终止合作;
- 与供应商签订网络安全协议,明确供应商的网络安全责任,要求供应商及时向企业通报其产品和服务的安全漏洞,同时对供应商的访问权限进行严格管控,实施最小权限原则。
5.2.4 建立常态化的风险评估和应急演练机制,提升应急处置能力
- 每季度对企业网络安全状况进行全面的风险评估,识别防护薄弱点,及时采取加固措施;每年至少开展一次针对勒索软件攻击的应急演练,模拟攻击发生后的检测、阻断、溯源、恢复全流程,提升各部门的协同应急处置能力;
- 与国家网络安全部门、专业的网络安全服务机构建立应急协作机制,一旦发生重大网络攻击事件,能及时获得技术支持和救援,提升应急处置的效率。
5.2.5 推进网络安全技术自主可控,降低外部技术依赖风险
- 优先选择自主可控的工控设备、安全产品和软件系统,逐步替代国外非自主可控的产品,减少因国外技术漏洞、政治因素带来的网络安全风险;
- 加大企业网络安全技术研发投入,结合企业自身业务特点,开发定制化的网络安全防护工具,提升防护的针对性和有效性。
5.2.6 实施零信任安全模型,替代传统边界防护模式
- 逐步淘汰“默认信任内部网络”的传统边界防护模式,实施“默认不信任、始终验证”的零信任安全模型,对企业内所有用户、设备、应用的访问进行严格的身份验证和权限管控,即使攻击者突破边界,也无法轻易访问核心资源。
六、总结
本次罗马尼亚Conpet公司遭麒麟勒索软件攻击事件,是全球勒索软件攻击产业化、APT化的典型案例,既凸显了能源类关键基础设施“IT与工控隔离”的防护价值,也暴露了传统边界防护、供应链管理、人员安全意识等方面的普遍漏洞。麒麟团伙作为RaaS模式的典型代表,其结合AI、供应链渗透的复合型攻击手段,已成为全球关键基础设施面临的主要网络安全威胁。
对于能源、水利、医疗等关键基础设施运营主体,网络安全防护已不再是单纯的技术问题,而是需要技术与管理深度融合的系统工程。唯有构建“事前加固-事中检测-事后恢复”的全技术防护体系,建立“制度-人员-供应链-应急”的全管理保障体系,同时紧跟勒索软件攻击技术的发展趋势,持续优化防护策略,才能有效抵御勒索软件攻击,保障关键基础设施的网络安全和稳定运行。
同时,此次事件也为各国政府敲响警钟,需加强对关键基础设施网络安全的监管和支持,推动跨国家、跨行业的网络安全协作,共享威胁情报,联合打击勒索软件网络犯罪,共同构建全球网络安全防护体系。
备注:本报告所有内容的核心信息来源为罗马尼亚Conpet公司官方披露、同时参考了国内外权威资料,确保内容的真实性和客观性。
