事件概述 - 一名被解雇的IT外包人员对公司内部系统发动攻击，导致业务中断并造成直接经济损失86.2万美元（约合人民币613万元）[1][7] - 攻击者利用其内部知识，通过运行一条PowerShell脚本重置了约2500个公司账号密码，使公司业务瞬间停摆[6][10] 攻击手法与过程 - 攻击者在被解雇后，通过冒充其他外包人员的方式重新获取了网络登录凭证，重返公司内部系统[5] - 攻击者使用自行编写的PowerShell脚本执行攻击，该脚本调用的是Windows企业环境中常见的命令行接口[6] - 为掩盖行为，攻击者事后尝试删除系统日志，增加了事后取证的难度[6] 造成的直接损失 - 大量员工因无法登录系统而停工，但公司仍需支付薪酬成本[7] - 高度依赖内部系统的客户服务体系陷入瘫痪，导致服务中断[7] - 恢复网络产生了高昂的人工成本，包括重建账号、恢复系统及排查破坏等[7] 行业警示与普遍问题 - 此类由不满被解雇而发起的“内鬼攻击”正在快速增加，尤其在依赖外包且外包人员权限较高的行业[8] - 大型企业的权限回收流程往往依赖人工、跨部门沟通复杂，执行容易出错，外包权限控制是公认的“管理盲区”[5] - 许多公司关注防火墙、入侵检测等技术防护，但往往忽略了拥有较高权限、了解内部流程的“人”的因素[8]

事件概述 - 一起由被解雇IT外包人员发起的内部攻击事件，导致一家大型企业业务瞬间停摆，造成直接损失86.2万美元（约合人民币613万元）[1] - 攻击者动机单纯为“被开除而不爽”，旨在泄愤，并非为了勒索或受人指使[10] 攻击手法与过程 - 攻击者Maxwell Schultz在被解雇后，利用对公司内部系统架构的熟悉，冒充另一名外包人员，套取新的网络登录凭证，重新进入公司网络系统[6] - 重新进入系统后，攻击者运行了一段自编的PowerShell脚本，一键重置了约2500个公司内部账号的密码[8] - 脚本执行后，导致所有员工和外包人员的电脑被踢下线，任何登录尝试均告失败，从客户服务到现场运维的所有业务瞬间停摆[8][9] - 为掩盖行为，攻击者事后上网搜索并删除了部分系统日志，增加了事后取证难度[8] 造成的损失与影响 - 直接经济损失超过86.2万美元，主要构成包括：大量员工停工导致的薪酬成本、客户服务体系瘫痪以及恢复网络所产生的高额人工成本[9] - 业务连续性遭到严重破坏，所有依赖内部系统的工作流程同步冻结，对公司运营造成重大冲击[1][9] - 此次事件尚未计算公司名誉影响、合同延误等长期潜在成本[10] 行业暴露的安全问题 - 大型企业的权限回收流程往往依赖人工，跨部门沟通复杂，执行容易出错，外包权限控制是公认的“管理盲区”[5] - 多数公司关注防火墙、入侵检测等外部威胁防护，但往往忽略了“人”的因素，尤其是曾拥有高权限、了解内部流程和系统弱点的前员工或外包人员[11] - 这类因不满被解雇而发起的“内鬼攻击”正在快速增加，在能源和科技等依赖外包且外包人员权限较高的行业尤为突出[11] - 攻击者无需高级技术，仅凭对内部系统的熟悉和简单的工具（如PowerShell）就能造成严重后果[8][12]

事件概述 - 一名被解雇的IT外包人员对美国废物管理公司Waste Management发起内部攻击，导致公司业务瞬间停摆，造成直接损失86.2万美元（约人民币613万元）[1] - 攻击者利用对内部系统的熟悉，冒充他人获取凭证重新进入网络，并运行PowerShell脚本重置约2500个账号密码，使所有员工电脑被踢下线、登录尝试失败[2][3][5] - 攻击动机纯粹是因被解雇而不满，并非为了勒索或受他人指使，案件预计2026年1月30日宣判，攻击者可能面临最高10年监禁和25万美元罚款[6] 攻击影响与损失 - 直接经济损失86.2万美元，主要来自大量员工停工导致的薪酬成本、客户服务体系瘫痪以及恢复网络的人工成本[1][4][6] - 业务连续性出现危机，从客户服务到现场运维的所有流程同步冻结，对全国性布局的大型企业造成严重运营中断[3][6] - 恢复工作包括重新建立账号、恢复系统和排查额外破坏，IT团队面临数日甚至数周的加班[6] 行业安全风险 - 因不满被解雇而发起的“内鬼攻击”正在快速增加，尤其在依赖外包且外包人员权限较高的能源和科技行业[7] - 大型企业的权限回收流程往往依赖人工、跨部门沟通复杂，外包权限控制是公认的“管理盲区”，权限回收不彻底易使攻击者重返网络[2][7] - 多数公司关注防火墙、入侵检测等传统安全机制，但常忽略曾拥有高权限、了解内部流程和系统弱点的前员工或外包人员带来的风险[7]