返回首页

TridentLocker勒索软件攻破美国联邦承包商Sedgwick:3.4GB政府数据遭窃取

· 12 分钟阅读 · 4779 字 · 0 次浏览

TridentLocker勒索软件攻破美国联邦承包商Sedgwick:3.4GB政府数据遭窃取,供应链再受冲击

hero

2026年1月4日,全球最大理赔管理公司之一Sedgwick确认其政府子公司Sedgwick Government Solutions遭受TridentLocker勒索软件攻击。攻击发生在2025年12月31日新年夜,威胁行为者声称窃取了3.4GB数据。该子公司为DHS、ICE、CISA等联邦机构提供服务,此次事件再次暴露了政府供应链的脆弱性。

攻击时间线与事件概述

section

TridentLocker选择在新年夜发动攻击并非偶然。勒索软件组织长期以来一直将节假日作为最佳攻击窗口,因为此时安全团队人手最少、响应速度最慢。2024年的MOVEit攻击、2023年的Colonial Pipeline事件都发生在周末或假期。

属性 详情
受害者 Sedgwick Government Solutions
母公司 Sedgwick(全球最大理赔管理公司)
威胁行为者 TridentLocker勒索软件组织
声称窃取数据 3.4 GB
攻击日期 2025年12月31日
披露日期 2026年1月4日
受影响系统 隔离文件传输系统
核心系统 未受影响(据Sedgwick声明)

Sedgwick在声明中表示:"Following the detection of the incident, we initiated our incident response protocols and engaged external cybersecurity experts through outside counsel to assist with our investigation of the affected isolated file transfer . Importantly, Sedgwick Government Solutions is segmented from the rest of our business, and no wider Sedgwick systems or were affected."

受影响的联邦机构与服务范围

section

Sedgwick Government Solutions是美国联邦政府的主要理赔和风险管理服务提供商。该公司为多个关键联邦机构提供服务,一旦数据泄露,可能影响数百万联邦雇员和公民:

联邦机构 提供的服务 风险等级
国土安全部(DHS) 理赔管理 极高
移民和海关执法局(ICE) 风险管理 极高
海关和边境保护局(CBP) 工伤赔偿
公民和移民服务局(USCIS) 理赔处理
劳工部(DOL) 福利管理
CISA 风险管理服务 极高
史密森学会 理赔服务
纽约/新泽西港务局 风险管理

讽刺的是,作为美国网络安全和基础设施安全局(CISA)的风险管理服务提供商,Sedgwick自身却成为了勒索软件的受害者。这再次证明了"没有组织是免疫的"这一安全公理。

窃取数据的敏感性分析

section

根据Sedgwick的业务性质,被窃取的数据可能包含极其敏感的信息:

数据类型 具体内容 风险等级
个人身份信息 姓名、SSN、地址 严重
医疗信息 工伤详情、治疗记录 严重
财务数据 银行账户、支付信息 严重
联邦雇员数据 工号、部门、职级
法律文件 理赔诉讼文件
内部通信 邮件、会议记录

3.4GB的数据量看似不大,但对于结构化的理赔数据库而言,这可能包含数万到数十万条记录。每条记录平均包含多个敏感字段,实际暴露的个人信息数量可能远超文件大小所暗示的规模。

TridentLocker勒索软件技术分析

section

TridentLocker是2025-2026年间活跃的勒索软件组织,其技术特征包括:

# TridentLocker典型攻击链(基于公开情报还原)
ATTACK_CHAIN=***    "initial_access": [
        "钓鱼邮件(含恶意宏的文档)",
        "利用暴露的/RDP服务",
        "供应链攻击(通过受信任的第三方)"
    ],
    "persistence": [
        "注册表Run键",
        "计划任务",
        "WMI事件订阅",
        "服务安装"
    ],
    "lateral_movement": [
        "PsExec",
        "WMI",
        "RDP",
        "SMB"
    ],
    "data_exfiltration": [
        "Rclone(到MEGA云存储)",
        "自定义HTTP外传工具",
        "合法云服务( Drive、OneDrive)"
    ],
    "impact": [
        "文件加密(AES-256 + RSA-2048)",
        "卷影副本删除",
        "启动修复禁用",
        "数据泄露双重勒索"
    ]
}

TridentLocker的运营模式遵循"双重勒索"策略——不仅加密受害者的数据,还威胁公开发布窃取的数据。这种方式极大地增加了受害者的支付压力,因为即使有备份可以恢复系统,数据泄露的法律和声誉后果仍然存在。

节假日攻击模式:一个持续的安全挑战

TridentLocker选择新年夜发动攻击,延续了勒索软件组织偏好节假日攻击的模式。根据和CISA的联合公告,2024-2025年间,超过60%的重大勒索软件攻击发生在周末或节假日。

节假日攻击事件 时间 勒索组织 影响
Sedgwick攻击 2025年除夕 TridentLocker 联邦承包商
Change Healthcare 2024年2月 ALPHV/BlackCat 美国医疗系统
Kaseya VSA 2021年7月4日 REvil 1500+企业
Colonial Pipeline 2021年5月周末 DarkSide 美国燃油管道

这种模式的持续存在说明,尽管安全行业反复强调节假日值守的重要性,许多组织仍然未能建立有效的假期安全响应机制。

政府供应链安全的系统性问题

Sedgwick事件暴露了美国政府供应链安全的深层问题。根据美国政府问责局(GAO)2025年的报告,联邦机构对其承包商的安全状况缺乏有效的持续监控机制。

核心问题包括:

  1. 安全评估频率不足:联邦承包商的安全评估通常每3年进行一次,无法应对快速变化的威胁环境。

  2. 分包商监管缺失:主承包商对其分包商的安全要求往往低于联邦标准,形成安全盲区。

  3. 事件响应协调困难:当承包商遭受攻击时,联邦机构往往在数天甚至数周后才得到通知。

  4. 数据分类不清:许多承包商未能准确分类其持有的联邦数据,导致保护措施与数据敏感度不匹配。

事件响应与恢复建议

对于面临类似威胁的组织,以下是基于Sedgwick事件的应急响应建议:

# 1. 检测TridentLocker指标(IoC)
# 检查可疑的计划任务
schtasks /query /fo LIST /v | findstr /i "\|svc\|task"

# 检查可疑的服务安装
sc query type= all state= all | findstr /i "RUNNING"

# 检查Rclone进程(常见数据外传工具)
tasklist | findstr /i "rclone"

# 检查可疑的网络连接
netstat -anob | findstr "ESTABLISHED"

# 2. 文件系统取证
# 检查最近修改的可执行文件
forfiles /P C:\ /S /M *.exe /D +0 /C "cmd /c echo @path @fdate @ftime"

# 检查卷影副本状态
vssadmin list shadows

# 3. 日志分析
# 检查安全日志中的异常登录
wevtutil qe  /q:"*[System[(EventID=4624)]]" /f:text /c:100

企业防御框架

基于Sedgwick事件的教训,以下是针对勒索软件的企业防御框架:

防御层 具体措施 优先级
预防 MFA全覆盖、网络分段、补丁管理 最高
检测 EDR部署、SIEM监控、异常行为检测 最高
响应 事件响应预案、备份验证、法律准备
恢复 离线备份、灾难恢复演练、保险
治理 供应商安全评估、数据分类、合规审计

对于联邦承包商,还需特别关注CMMC(网络安全成熟度模型认证)要求,确保在NIST SP 800-171框架下的合规性。

数据来源与参考文献

  1. UINAT. "Claims Giant Sedgwick Hit by TridentLocker Ransomware." uinat.com, January 2026.
  2. TechCrunch. "Data breach at govtech giant Conduent balloons affecting millions more Americans." techcrunch.com, February 2026.
  3. Verizon. "2026 Data Breach Investigations Report." Verizon, 2026.
  4. IBM Security. "Cost of a Data Breach Report 2026." IBM, 2026.
  5. Huntress. "Ransomware Trends 2026: What's Changing." huntress.com, 2026.
  6. FBI/CISA. "Joint Advisory: Ransomware Trends and Mitigations." 2025.

更新时间: 2026-06-19

评论

相关推荐

Google确认全球首个AI生成零日漏洞:攻击者用大模型写出2FA绕过漏洞利用代码

2026年5月11日,Google威胁情报组披露首个AI辅助生成的零日漏洞利用代码,针对开源管理工具的2FA绕过漏洞。AI生成代码留下教学性注释、幻觉CVSS评分等独特指纹,标志着AI武器化从理论走向实战。

#security #ai #zero-day

CVE-2026-50656 RoguePlanet:Windows Defender零日漏洞实现SYSTEM提权,补丁仍在开发中

安全研究员NightmareEclipse公开发布Windows Defender零日漏洞利用工具RoguePlanet。CVE-2026-50656利用竞态条件和符号链接操纵实现本地提权至SYSTEM权限,CVSS评分7.8。微软已确认漏洞但补丁仍在开发中。

#security #cve #vulnerability

CVE-2026-48303:Adobe Campaign Classic CVSS满分10.0漏洞深度解析——营销自动化平台的致命后门

NVD披露Adobe Campaign Classic的CVSS 10.0满分漏洞CVE-2026-48303。该授权绕过漏洞允许远程攻击者以当前用户身份执行任意代码。ACC被财富500强中200+企业用于客户数据管理和多渠道营销,一旦被攻陷将导致大规模客户数据泄露。

#security #cve #vulnerability

CVE-2026-10520: Ivanti Sentry OS Command Injection Root RCE

CVE-2026-10520 (CVSS 9.8) is an unauthenticated OS command injection in Ivanti Sentry allowing root-level RCE. CISA KEV added June 11. CrowdSec confirms active exploitation. Affects versions before R10.5.2, R10.6.2, R10.7.1.

#security #cve #vulnerability

Nightmare-Eclipse: Windows Defender Six Zero-Day Chain Deep Analysis

Nightmare-Eclipse disclosed 6 Windows Defender zero-days (BlueHammer CVE-2026-33825, RedSun, UnDefend, YellowKey, GreenPlasma) in April-June 2026. Only BlueHammer patched. Ransomware gangs actively chaining these exploits to disable Defender and deploy payloads.

#security #zero-day #vulnerability
更多专题: