点击一次瘫痪42天：Akira勒索软件利用CAPTCHA诱饵摧毁云备份致存储公司瘫痪

Unit 42最新分析报告披露，一家全球数据存储和基础设施公司因员工点击恶意CAPTCHA诱饵，遭受毁灭性勒索软件攻击而陷入瘫痪。

据Unit 42描述，"攻击始于一名员工访问遭入侵的汽车经销商网站时"，点击了看似常规的机器人验证提示。这个看似无害的操作实则是ClickFix社会工程学手段——将恶意软件投递伪装成标准CAPTCHA交互的技术。

此次点击使得Akira勒索软件分发组织Howling Scorpius获得初始入侵入口，随后展开长达42天的渗透，最终演变为全面企业危机。

伪装CAPTCHA投递SectopRAT木马

表面普通的"点击验证人类身份"环节暗藏杀机。该诱饵投递了基于.NET的远程访问木马SectopRAT，使攻击者能隐藏代码执行并控制受感染工作站。

Unit 42指出："当员工与虚假CAPTCHA交互时，他们无意间下载了SectopRAT恶意软件，为Howling Scorpius提供了立足点。"该木马使攻击者能监控活动、窃取数据并静默执行命令，为后续缓慢而有序的渗透奠定基础。

长达42天的横向渗透

入侵得手后，Howling Scorpius展现出惊人的耐心与精准：

• 建立持久化命令控制后门
• 绘制虚拟基础设施图谱
• 入侵包括域管理员在内的多个特权账户
• 通过RDP、SSH和SMB协议横向移动
• 控制域控制器
• 使用WinRAR在多文件共享位置打包海量数据档案

Unit 42强调："攻击者在42天内访问域控制器，并利用WinRAR在多个文件共享位置打包大量数据。"他们从单个业务域逐步渗透至企业网络，最终突破边界染指云资源。

摧毁云备份实施致命打击

在部署勒索软件前，攻击者执行了整个攻击链中最具破坏性的步骤：

• 删除存储备份和计算资源的云存储容器，彻底消除企业恢复可能
• 使用FileZillaPortable外泄近1TB数据 最终在三套独立网络同时部署Akira勒索软件，致使虚拟机脱机、业务全面停摆。

安全防护形同虚设

Unit 42最惊人的发现是：受害者虽具备安全可见性，却未能有效利用。尽管部署了两套企业级EDR解决方案，这些工具全程保持沉默。报告显示："这些工具在日志中记录了恶意活动...但几乎没有生成警报"，"安全团队理论上具备可见性，实践中却形同虚设"。横向移动、权限提升、文件打包等每个攻击步骤虽被记录，却持续一个多月未被察觉。