针对韩国金融基础设施的勒索软件行动：俄罗斯和朝鲜威胁行为者造成2TB数据泄露

韩国的安全局势急剧恶化，受国家级行为体支持的协调性网络犯罪分子发起了前所未有的攻击浪潮，针对该国的金融部门。在2024年9月至10月期间，超过40家金融和银行实体成为安全研究人员所确认的由俄罗斯“骑麟”勒索软件即服务（(RaaS)）行动与朝鲜网络行为体“月石冰雹”合作策划的协调行动的受害者。

攻击规模：从供应链漏洞到大规模破坏

安全公司Bitdefender在2024年10月的威胁简报中揭示了一幅令人毛骨悚然的画面：攻击者入侵了为韩国金融机构提供服务的托管服务提供商（(MSPs)），利用这一单一入口点在其整个客户网络中传播恶意软件。结果令人震惊——2024年共追踪到33起事件，其中仅9月就集中发生了25起，较月平均水平激增十二倍。

行动范围远超简单的敲诈勒索。威胁行为体窃取了约2TB的高度敏感数据，包括军事情报、经济预测以及液化天然气（LNG）设施和桥梁网络等关键项目的基础设施蓝图。根据Bitdefender的分析，三波攻击共窃取了超过100万份文件，攻击者故意将其行为包装成反腐运动，以正当化公众数据的泄露。

骑麟的运营模式与地缘政治影响

骑麟采用勒索软件即服务（Ransomware-as-a-Service）框架运营，将攻击外包给关联操作员，同时对基础设施和勒索策略保持集中控制。该组织的俄罗斯起源已被充分证实：创始成员活跃于俄语网络论坛，且明确避免针对独联体国家实体——这是其与国家支持的犯罪基础设施的标志。

此次行动的不同之处在于涉及朝鲜行为体。月石冰雹的参与表明，这不仅仅是为了盈利的勒索软件行动，更隐藏着情报收集任务。情报显示，窃取的数据正被准备提交给朝鲜领导层，显示出超越简单财务敲诈的地缘政治间谍行为。

时间线：韩国金融部门的崩溃过程

第一阶段 (2024年9月14日)： 初次入侵波暴露了十家金融管理公司的敏感记录，立即引发安全界的警觉。

第二阶段 (2024年9月17-19日)： 第二次数据泄露将另外18个受害者加入泄露网站，攻击者威胁通过协调的数据发布扰乱韩国股市。

第三阶段 (2024年9月28日-10月4日)： 最后一批数据被释放。随后，泄露网站上有四个帖子被删除——可能是从目标实体获得赎金后所为。

一件引人注目的事件揭示了攻击的范围：据韩国媒体《中央日报》2024年9月23日报道，超过20家资产管理公司通过服务提供商GJTec的单一供应链漏洞被攻破。

全球背景：韩国的危机地位

Bitdefender的比较分析将韩国列为2024年全球第二大勒索软件受害国，仅次于美国。这一排名反映了攻击者的高水平技术和韩国网络安全基础设施的脆弱性——尤其是对集中式托管服务提供商（MSP）在金融网络中的依赖。

截至2024年10月，仅骑麟在全球范围内就已造成超过180个受害者，占据NCC Group威胁情报评估中全球勒索软件事件的约29%。

对加密和金融科技生态的影响

此次入侵对在韩国市场运营或交易的加密货币交易所和金融科技平台构成直接威胁。被窃取的财务数据可能被用于社会工程攻击、凭证填充或针对加密基础设施的定向勒索。此外，传统金融机构的动摇也会削弱整个金融生态系统的信任，可能引发资本外流，流向或远离数字资产。

防御对策：韩国机构现在必须采取的措施

安全研究人员建议采取多层次的防御策略：

供应链强化： 实施严格的供应商审查流程，包括渗透测试和零信任网络架构，即使MSP被攻破，也能限制横向移动。

访问控制： 在所有金融系统中部署多因素认证，并进行网络细分以遏制泄露。若韩国机构实施了细粒度的网络分段，2TB的数据窃取事件本可大大减少。

威胁监控： 建立24/7的监控体系，关注与骑麟和国家支持行为体相关的指标，包括RaaS操作的行为异常。

员工培训： 持续开展安全意识培训，重点防范钓鱼攻击，因为初始访问往往依赖于针对员工的社会工程。

结论：对全球金融机构的警示

韩国勒索软件行动表明，国家行为体与网络犯罪分子如今在协调生态中运作，模糊了传统威胁的界限。对于加密和金融科技利益相关者而言，此事件凸显了一个关键漏洞：支撑数字市场的金融基础设施仍然暴露在资源丰富、技术高超的对手面前。机构必须优先保障供应链安全，实施深度防御策略，并制定应急响应方案，以应对下一波攻击。随着骑麟及其与国家挂钩的合作伙伴持续行动到2025年，主动防御的窗口正逐渐缩小。