巴基斯坦石油公司遭勒索软件攻击：运营受阻、数据外泄

2025年8月11日综合互联网消息，巴基斯坦最大国有能源企业之一巴基斯坦石油有限公司（Pakistan Petroleum Limited, PPL）正在遭遇严重网络安全事件，导致IT系统瘫痪、财务运营暂停，并出现大规模数据外泄。事件涉及勒索软件攻击、敏感业务数据泄露及多方不一致的攻击归因，引发对国家能源基础设施网络韧性的高度担忧。PPL是巴基斯坦能源领域的龙头企业，也是天然气行业的先驱，自20世纪50年代起持续主导国内油气勘探与生产，供应全国逾20%的天然气，并生产原油、液化天然气和液化石油气。PPL在国内运营多个大型油气田，包括全国最大气田Sui，并持有重要合作油田权益；在国际上，其业务已拓展至阿联酋、荷兰和也门，具备跨国勘探与生产能力，在区域能源市场具有重要战略地位。

事件时间线与多方信息

8月8日：暗网论坛BF账号“yyy32111”发布声称已入侵PPL并泄露约1TB内部数据，内容包括Petrel Studio勘探数据、Sui与Adhi油气田生产与运营计划、合同文件、财务资料及官方报告。首批公布的样本文件包括7个Excel表格和1张图片，经核实确系PPL内部文件。该用户标明数据获取的日期是2025年8月1日。

8月6日：PPL官网发布消息，称内部检测到勒索软件入侵，立即启动内部网络安全协议，并暂停部分非关键IT服务以防扩散。

截至目前，巴国家网络安全监管机构尚未对该事件做出公开回应，但网络安全行业已对该攻击事件保持高度警觉。

8月7日-8日：巴基斯坦及国际媒体报道此事，攻击者身份出现两种说法——一方称为Blue Locker组织，另一方则是PPL声明中提到的外部攻击者“Proton”。

攻击手法与黑客威胁能的危害及影响

据多方消息，攻击者已对PPL的虚拟机与金融服务器进行加密，并删除及复制备份数据，阻断恢复路径。黑客在发给员工的邮件中明确威胁：

“您的计算机和服务器已被加密，备份已从网络中删除并复制。我们窃取了您的部分业务数据和员工信息，包括TMC数据（Sui、Adhi等）和合同……如果不联系我们并提供报价，我们将向主流媒体举报，并将数据泄露给社交媒体和竞争对手。”

黑客还警告，任何自行修改或恢复文件的尝试都将导致永久性数据丢失。

PPL官方回应与防御措施

PPL在声明中确认，事件于2025年8月6日发现，内部和外部网络安全团队已采取遏制措施，包括暂停部分非关键IT服务。公司强调：

核心运营系统未受影响；

合资伙伴和外部利益相关者运营正常；

多层网络安全架构在威胁扩散前已实现隔离；

已向执法与监管机构报告，并开展取证分析。

PPL否认Blue Locker直接参与，称勒索通知来自代号为“Proton”的攻击者。

数据泄露与样本验证

BF论坛用户“yyy32111”又分两次分批公开了部分文档，首批公开的8个样本文件（7个Excel、1张图片）进行比对，已确认其来源确为PPL。第二批公开的两个文件夹和一个所有文件的目录树，超过4G。这基本可以肯定，PPL内部数据已被成功外泄。

但目前仍不清楚：

所宣称的1TB数据是否已全部外传；

样本文件与被加密系统的对应关系；

泄露行为与勒索攻击是否属于同一入侵链路。

疑问与不确定性

归因冲突：Blue Locker、Proton、yyy32111三方名字均出现在相关信息中，是否存在多组威胁行为者参与，尚需日志与样本交叉分析。

入侵路径：目前未知攻击的初始入口（如钓鱼邮件、VPN漏洞、供应链渗透等）与横向移动方式。

攻击时间跨度：8月1日数据泄露与8月6日勒索检测之间，是否存在潜伏期或分阶段攻击仍待确认。

数据敏感性：已确认的样本涉及油田运营与财务核心数据，一旦大规模流出，或对PPL竞争力和国家能源安全造成重大影响。

潜在影响与风险评估

运营影响：财务系统中断已持续两天，若不能迅速恢复，可能影响薪酬、合同执行及供应链付款。

国家能源安全影响：PPL作为巴国油气领域核心企业，持有战略性油气储量及生产运营数据，外泄风险可能波及国家能源战略部署。

行业影响：事件已促使其他石油与天然气公司提高警戒，并采取临时网络防御措施，可能引发能源行业的防御升级潮。

小结

PPL事件目前仍处于法证分析与威胁遏制阶段，核心运营暂未受损，但部分敏感数据泄露已被确认。随着调查深入，归因结果、入侵手法以及数据泄露范围有望在未来数日内更加清晰。本案暴露出能源行业在应对高级持续性威胁（APT）及双重勒索模式方面的脆弱性，也提醒各国能源企业必须将数据安全与业务连续性视为网络防御的双重核心目标。

石油石化行业是当前网络勒索攻击的高发行业之一，此类针对能源企业的攻击已呈现精准化、双重威胁模式（加密+泄露）。一旦关键运营数据被加密并威胁公开，企业面临的是技术恢复与声誉风险的双重压力。建议相关行业/企业立即：

强化对关键业务系统的实时威胁监控；

建立离线不可篡改备份；

提前制定并演练勒索攻击应急响应方案。

参考资源

1、https://profit.pakistantoday.com.pk/2025/08/07/hackers-paralyze-ppl-it-systems-demand-ransom-financial-operations-suspended-for-two-days/

2、https://www.techjuice.pk/hackers-paralyze-ppl-it-systems-suspend-operations-for-days/

3、https://breachforums.hn/Thread-Pakistan-Petroleum-Limited-Company-Oil-exploration-data--181227

4、https://x.com/H4ckmanac/status/1954146391644594300

5、https://www.ppl.com.pk/content/news-and-events

声明：本文来自安帝Andisec，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。