前言
2026年4月20日,Everest 勒索软件团伙入侵西班牙无人机技术与城市空中交通(Urban Air Mobility)公司 Umiles Group(umilesgroup.com),成功窃取并加密数据。攻击者于2026年5月9日在暗网论坛发布 147GB 完整数据库泄露(压缩后),声称数据包含员工个人身份信息、航空维护记录、客户数据库、政府合同、监管提交文件等。
此次事件采用双重勒索模式(数据窃取 + 加密),攻击路径涉及信息窃取器日志、MFA 绕过及 Cobalt Strike 横向移动。目前攻击者已在地下论坛公开数据下载渠道,数据泄露风险极高,可能引发企业知识产权流失、监管合规危机及针对欧洲无人机产业的针对性攻击。
核心判断:这是一起针对高科技制造与航空领域的严重数据泄露事件,泄露规模大(147GB)、数据敏感度高(含政府合同与监管数据),对西班牙及欧盟无人机产业安全构成实质威胁。
事件概述
-
受害组织:Umiles Group(umilesgroup.com) -
行业:无人机技术(Drone Tech)、城市空中交通、航空相关制造与服务 -
国家/地区:西班牙 -
攻击组织:Everest(俄罗斯语系勒索软件即服务 RaaS 团伙,同时具备初始访问经纪人能力) -
攻击时间:2026年4月20日(数据窃取日期) -
-
泄露披露时间:2026年5月9日(暗网论坛帖文) -
泄露规模:Umiles Group 部分约 147GB(压缩 .rar 归档),原始数据据称达数百 GB -
泄露类型:完整数据库转储(Full Database Leak),包含结构化与非结构化数据
攻击者声称因赎金谈判失败而公开数据,并提供了 Telegram 下载渠道与担保中心链接。
攻击组织分析:Everest
-
团伙背景:Everest 是一个活跃的俄罗斯语系勒索软件即服务(RaaS)团伙,同时兼具初始访问经纪人(IAB)角色。 -
攻击模式:典型双重勒索(数据窃取 + 加密)。攻击前常通过信息窃取器(Infostealer)日志获取凭证,随后利用 Cobalt Strike 等工具进行横向移动。 -
近期活动:2026年4月起针对多行业发起攻击,Umiles Group 是其公开宣称的受害者之一。 -
能力评估:具备利用泄露凭证绕过 MFA、利用未修补 VPN 设备入侵的能力,攻击链条完整且专业。
攻击路径(基于攻击者声明)
攻击者公开描述了入侵链条,主要包括:
-
通过信息窃取器日志获取泄露凭证,入侵未修补的 VPN 设备。 -
利用窃取的会话 Cookie 绕过多因素认证(MFA)。 -
使用 Cobalt Strike 进行横向移动,访问文档管理系统。 -
利用 ERP 与工程仓库之间缺乏网络分段的弱点,获取敏感数据。
数据在加密前已被完整窃取,导致传统备份恢复无效。
泄露数据内容分析
根据论坛帖文及样本描述,147GB 数据主要包含以下高敏感类别:
-
员工个人数据:国民身份证(DNI)扫描件、护照、医疗证明、飞行员执照等 PII。 -
企业邮件档案:高管与工程主管的 .pst 邮件文件,包含内部沟通与源代码片段。 -
运营与技术数据:屏幕录像、航空维护记录、无人机飞行日志、发动机内窥镜检查视频。 -
客户与合同数据:商业无人机客户数据库、政府合同、物流合作伙伴信息、保密协议(NDA)、采购协议。 -
监管与战略文件:向欧洲民航机构提交的监管文件、飞行风险评估、执法培训计划、产品路线图、财务预算与研发规划。 -
其他:工资单、雇佣合同、机密演示文稿。
敏感性评估:极高。数据不仅涉及大量员工隐私,还包含无人机技术核心知识产权、政府合同及监管合规信息,可能被用于企业间谍活动(Corporate Espionage)或针对欧洲无人机产业的针对性攻击。
结论
Umiles Group 147GB 完整数据库泄露事件是 2026 年针对欧洲高科技制造企业的一次重大安全事件。Everest 勒索软件团伙通过信息窃取器与横向移动技术成功窃取大量敏感数据,并在公开论坛释放,采用典型的双重勒索策略。
此事件凸显了供应链凭证泄露、MFA 绕过及网络分段不足等常见弱点对关键技术企业的严重威胁。建议相关企业和监管机构立即采取行动,并将 Everest 团伙列为重点监控对象。
暂无评论内容