Gentlemen勒索软件攻击葡萄牙Soja de Portugal公司，泄露491GB数据

Gentlemen勒索软件组织声称对葡萄牙领先农业企业Soja de Portugal的攻击负责，导致491GB敏感企业数据泄露。根据DeXpose发布的报道，被泄露的数据包括SAP系统记录、员工信息和财务文件。来源文章日期标注为2026年6月4日，这可能是报道错误或未来日期；读者应注意，该日期的真实性无法独立确认，但多家威胁情报源已将此次泄露事件本身证实为近期事件。

这起事件进一步扩大了归因于The Gentlemen的攻击名单。该组织是一个勒索软件即服务（RaaS）运营体，研究人员称其于2025年下半年公开出现，此后已宣称对横跨多个行业和国家的数百名受害者负责。

The Gentlemen是谁？他们为何如此高效？

The Gentlemen团伙以勒索软件即服务（RaaS）平台模式运作，即核心开发者将恶意软件和基础设施授权给附属攻击者，由后者开展具体攻击活动。这种模式降低了网络犯罪分子的准入门槛，也使调查人员的归因更加复杂。

该组织区别于早期勒索软件运营体的显著特点是，他们持续使用双重勒索手段：既加密受害者数据，又在触发加密前窃取数据。这意味着即使组织拥有完善的备份流程，仍面临第二重威胁——若不支付赎金，被盗数据将被公开泄露或出售。在Soja de Portugal案例中，该组织似乎已兑现这一威胁，据报道491GB数据已被发布或通过其泄露基础设施开放访问。

研究人员注意到，The Gentlemen的工具集以Windows、Linux、ESXi虚拟机管理程序和NAS设备为目标，使其能够破坏从传统办公网络到虚拟化数据中心的各种业务环境。

哪些数据被泄露？为什么影响重大？

Soja de Portugal泄露事件中涉及的数据类别值得仔细审视。SAP数据尤为重要：SAP是一个被大型组织用于管理从供应链、采购到薪资和会计等一切事务的企业资源规划（ERP）平台。SAP数据泄露可能一次性暴露供应商合同、定价结构、内部财务预测以及员工薪酬细节。

员工记录是本次泄露中已确认的另一类别，通常包含姓名、身份证号、联系方式，有时还包括用于发薪的银行信息。此类数据一旦泄露，会给员工个人带来后续风险，而不仅限于组织本身。

这种针对企业业务系统的攻击模式并非本次攻击独有。类似事件，如Ampex Data Systems遭遇的Play勒索软件攻击，便显示了攻击者如何优先瞄准高价值数据存储，包括员工个人身份信息和财务记录，正是因为这些数据既具有勒索筹码，又在犯罪市场上存在转卖价值。

农业和制造企业正成为越来越有吸引力的目标，因为它们通常混合运行遗留的运营技术和现代企业软件，由此产生的攻击面比基础设施较新的组织更大且更不统一。

为什么仅靠边界安全不够

此类事件最重要的教训之一是，传统的边界防御——防火墙、杀毒软件和网络监控——是必要的，但还不够。已知The Gentlemen团伙及类似运营体通过钓鱼邮件、暴露的远程桌面协议（RDP）端口和泄露的凭证获得初始访问权限。一旦进入网络，他们往往会横向移动数天或数周，然后再部署勒索软件。

因此，安全专业人员越来越提倡采用分层方法来构建组织安全。一些最有效的层级包括：

零信任网络访问：不信任网络边界内的任何设备或用户，零信任架构要求在授予任何资源访问权限之前，对身份和设备健康状态进行持续验证。
加密远程访问：VPN及类似工具可保护传输中的数据，降低凭证在不安全的连接上被截获的风险，尤其对于访问敏感系统的远程和混合办公人员而言。
网络分段：将SAP等系统与普通员工工作站隔离，能限制攻击者在获得初始立足点后进行横向移动的能力。
端点检测与响应（EDR）：与传统杀毒软件不同，EDR工具监测行为异常，这些异常即使在恶意软件部署前也可能表明攻击者已在网络内部活动。

荷兰ChipSoft勒索软件攻击也展现了类似的失陷模式：由于内部系统没有充分分段，访问控制也不够精细，无法在初始入侵后遏制泄露，攻击者得以访问并窃取大量数据。

这对您意味着什么

无论您的组织是跨国公司，还是像Soja de Portugal这样的区域性企业，风险考量已经改变。拥有RaaS模式的勒索软件团伙能够大规模部署攻击，瞄准任何存在有价值数据的行业。农业公司、物流企业和制造商过去或许未将自己视为高价值目标，但它们在ERP和HR系统中持有的数据却讲述了不同的故事。

以下是组织可以采取的具体措施，以降低暴露风险：

审计远程访问点：识别所有面向互联网的服务，尤其是RDP和VPN网关，确保它们已通过多因素身份验证加固并定期更新凭证。
实施最小权限访问：员工和系统只应访问真正需要的数据和应用程序。过宽的访问权限会加速泄露后的横向移动。
测试备份：离线或不可变备份是抵御加密勒索软件的关键防御手段，但前提是定期测试并确认可恢复。
数据分类和静态加密：明确哪些数据最敏感，并确保即使存储在内部也进行加密，这会限制窃取文件对攻击者的价值。

Soja de Portugal泄露事件是一个有用的案例研究，并非因其特殊，而是因为它正日益典型。随着勒索软件攻击持续暴露各行业的大量企业数据，表现最佳的组织是那些将安全视为持续过程、而非一次性投资的组织。现在检视访问控制、网络架构和事件响应计划，其成本远远低于事后应对491GB数据泄露的处理。