文章总结： 某国企海外子公司在厄瓜多尔遭TheGentlemen勒索软件组织攻击，导致网络拓扑图、安防系统细节及账号密码等敏感数据泄露。泄露数据可能引发后续精准攻击、账号滥用和多重威胁升级。文章建议立即隔离受感染系统、更换凭证、调整网络架构、加强数据备份与加密、提升员工安全意识，并构建长期安全体系以应对海外分支机构特殊风险。 综合评分： 87 文章分类： 数据泄露,应急响应,威胁情报,网络安全,安全建设

【安全圈】某国企海外子公司疑遭数据泄露

安全圈

2025年12月21日 09:01 江苏

关键词

数据泄露

近日，具安全组织监测到中****投资有限公司在厄瓜多尔的经营实体被“The Gentlemen”勒索软件组织添加到其暗网泄露站点。中****投资有限公司是国内某国企和某上市公司组建的合资企业，主要从事海外投资与资源开发业务。目前，攻击者已在暗网站点公开了窃取的相关数据，涉及企业的网络安全设备清单、网络拓扑图、安防系统拓扑图、关键基础设施技术细节以及相关账号密码等敏感信息。

🔍 泄露数据的潜在危害

此次泄露的数据类型非常敏感，不仅可能导致直接的经济损失，更会引发一系列连锁反应：

基础设施暴露：网络拓扑图、安防系统拓扑图和网络安全设备清单的公开，相当于将企业的核心安防布局直接暴露给攻击者。这极大地增加了其后续遭受更精准、更深入攻击的风险。

账号密码滥用：泄露的账号密码需要立即禁用和更换，因为这些凭证很可能被用于发动新的入侵，或用于进行社会工程学攻击，例如伪装成内部人员骗取更高权限或敏感信息。

多重威胁升级：攻击者可能会利用窃取的数据（如关键基础设施技术细节）进行定向勒索、业务欺诈，甚至可能将数据出售给竞争对手，导致企业失去商业优势。

⚔️ 了解攻击方：The Gentlemen 组织

根据公开的威胁情报，“The Gentlemen”是一个采用高度定制化攻击工具的新兴勒索软件组织。他们的攻击手法显示出较强的针对性。

精密攻击手法：该组织已知会滥用带有合法签名的驱动程序（如 ThrottleBlood.sys）来绕过终端防护系统，并利用定制化工具攻击特定的安全软件进程。

横向移动与数据窃取：在进入网络后，他们会使用 PsExec等工具在内网横向移动，并使用 WinSCP等工具建立加密通道来窃取数据，实施所谓的“双重勒索”（即加密数据并威胁公开数据）。

🌐 海外子公司的特殊风险

海外分支机构通常面临比国内更复杂的网络安全环境，这放大了其脆弱性。

合规性挑战：不同国家（如欧盟、美国、中国）的数据保护法规和网络安全法律存在显著差异。在跨境业务场景下，确保合规的复杂度很高。

政治与基础设施风险：东道国的政治动荡、宗教冲突或政府更迭可能导致当地互联网中断、电力供应不稳定，直接影响业务连续性。

供应链与内部威胁：海外业务的第三方供应链更长，企业对供应商的安全控制力可能较弱。同时，海外机构人员构成复杂，权限管理不当可能带来比外部攻击更严重的内部威胁。

🛡️ 具体应对建议

基于事件通报和海外网络安全的最佳实践，建议涉事公司立即采取以下措施：

立即遏制与调查

隔离与评估：立即隔离厄瓜多尔子公司的受感染系统，防止威胁扩散。开展彻底的内部调查，确认勒索软件入侵的途径和影响范围。

凭证更换：紧急更换所有已暴露的账号密码，特别是拥有高级权限的账户。

强化技术防护

架构调整：根据泄露的网络拓扑图和安防系统拓扑图，全面评估并调整网络架构和安全策略。考虑采用网络隔离技术，将不同功能的网络区域（如办公网、生产网）进行逻辑或物理隔离，以限制攻击面。

加固防御：确保所有系统（包括海外机构）的软件和固件及时更新补丁。在所有关键系统（如VPN、邮件系统、核心业务系统）上强制启用多因素认证 (MFA)，即使密码泄露也能增加一道屏障。

加强数据安全与备份

备份策略：实施定期的、隔离的数据备份。确保备份数据与生产网络隔离（例如使用离线备份），并定期测试数据恢复流程，以有效应对勒索软件攻击。

数据加密：对传输和存储的敏感数据进行加密，即使数据被窃取，也能降低其价值。

提升人员意识与应急能力

持续培训：定期对海外员工进行网络安全意识培训，内容应涵盖如何识别钓鱼邮件、如何安全处理数据等，并通过模拟演练提升实战能力。

完善预案：制定并定期演练针对海外机构的网络安全事件应急预案，明确在发生攻击时的通报流程、决策链条和恢复措施。

构建长期安全体系

从此次事件中吸取教训，将安全建设前移。可以考虑借鉴一些企业在海外安全实践中的经验，例如为高风险地区分支机构部署集成了办公软件、业务系统和安全防护的便携式一体化安全设备，在突发事件中能快速转移核心数据与业务环境。

END

阅读推荐

【安全圈】南京导航全崩，真相曝光！

【安全圈】拳头游戏发现主板致命漏洞，多家厂商紧急修复

【安全圈】YouTube突发全球宕机

【安全圈】朝鲜黑客2025年窃取20.2亿美元加密货币，占全球总量近六成

【安全圈】华硕内置恶意代码漏洞遭活跃利用，被CISA列入高危漏洞目录

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】某国企海外子公司疑遭数据泄露》