2025年9月2日，捷豹击停捷豹路虎公司发布公告 ，虎络攻英国三家工厂3.3万名员工从8月底开始暂停上班
。遭网9月23日该公司最新公告 ，月损亿停工至少延续到10月1日。失超

根据英国当地媒体分析 ，捷豹击停这种情况很可能持续到11月，虎络攻意味着约价值17亿英镑的遭网5万辆汽车无法生产 ，约1.2亿英镑利润的月损亿流失，利润折合人民币超过10亿。失超

根据捷豹路虎公司官网 ，捷豹击停信息事件进展如下。虎络攻

9月2日，遭网发布公告受到网络攻击
。月损亿

图片

9月10日 ，服务器租用失超发布公告可能有部分数据泄露 ，已通知相关监管机构 。

9月16日，发布公告生产暂停时间延长至9月24日。

9月23日，发布公告生产暂停时间延长至10月1日。

图片

一、捷豹路虎遭受攻击分析

一伙自称“Scattered Lapsus$ Hunters”的网络犯罪分子声称对此攻击事件负责，他们公布了捷豹路虎SAP系统截图，并表示还部署了勒索软件。

“Scattered Lapsus$ Hunters”采取的攻击手段，最可能是APT攻击，这也是香港云服务器他们之前攻击其他企业的惯用手段。

什么是APT攻击 
？APT攻击和常规攻击的最大区别是针对性，攻击者会提前几个月，通过公开信息 ，如官网、招聘信息 、企业社交账号“踩点” 。摸清组织架构、网络布局、甚至员工习惯。然后量身定制攻击方案 ，潜入后不断进行横向攻击，模板下载一点点把核心数据偷走，并在关键时候发起攻击，令企业业务停止。

APT攻击常用方式有四种。

第一是定向钓鱼邮件
。攻击者不会群发邮件，而是针对特定岗位定制内容。比如针对HR人员 ，伪装成“合作猎头公司” ，主题是“候选人简历推荐”，附件藏有恶意代码 ，利用HR日常处理简历的习惯突破。源码下载甚至会模仿高管的邮箱后缀
，发“紧急通知”让员工点击链接“确认工作进度”，以窃取账号密码。

第二是供应链攻击。我们日常会使用到很多工具软件 ，如果这些第三方服务商被攻击也会连带中招。比如攻击者篡改某款常用软件更新包 
，当更新软件时，恶意代码就会跟着植入
。

第三是内网横向攻击 。一旦突破第一道防线 ，比如某员工的办公电脑
，免费模板攻击者就像间谍进了办公楼，悄悄往核心区域突破。他们会用员工电脑里存储的密码，比如浏览器保存的内网系统密码，登录其他账号，甚至破解低权限账号后，升级成管理员权限。

第四是窃取数据 。攻击者往往不会一次性把数据打包传走 ，这样容易触发流量告警
，通常是蚂蚁搬家方式把核心数据压缩加密后
，拆成小文件传输 。亿华云

二、本次事件反应出捷豹路虎哪些问题

本次事件反应出捷豹路虎三方面问题。

第一是安全防御体系不完善 。比如可能对员工没有定期的安全意识培训 ，杀毒软件没有做到百分之百覆盖。系统上线的时候很少做安全测试，数据传输没有流量分析工具进行分析。

第二是安全运营体系不完善
。比如在攻击者尝试扫描的时候，对异常频繁的扫描没有告警和处置。当攻击者进行攻击的时候 ，没有告警，对告警能不能做到短时间的应对和处置
。安全建设遵循木桶原理，可能没有主动的安全扫描和检查，发现系统安全的薄弱点 ，不断提升安全水平
。

第三是灾备体系不完善 。为什么本次攻击造成停产这么长时间，分析原因很可能是核心系统的数据受到破坏 ，造成业务系统很难恢复。为什么会这样 ，肯定是体系化的备份不完善，备份数据没有足够的权限隔离
，甚至没有离线的备份数据。另外
，本次事件也表明捷豹路虎缺乏体系化的灾备演练，出现极端情况的时候，没有快速恢复机制。

三、如何预防类似攻击

针对类似攻击的特点
，要建立一整套体系，具体分四个层面落地。

第一 ，外部防御，筑牢大门 。按照纵深防御理念 ，补齐安全产品 ，做到多层面立体化防御。比如物理层面的门禁 、摄像头
。网络层面的防火墙 、流量分析产品
。主机层面的杀毒软件
，HIDS产品。应用层面的应用防火墙WAF 。数据层面的数据防泄漏产品等。

另外
，安全工具要发挥作用，需要建立安全运营体系，对安全工具定期巡检 ，能够7x24小时响应告警并处置 。能够对安全设备的配置不断优化，主动的进行安全扫描和测试。不断提升安全水平，筑牢安全防线。

第二，内网隔离，根据区域隔离 。根据业务把网络分成办公区、工业生产区、研发区 、服务器区等
，每个区域默认禁止访问
。根据需要开白名单
，并且定期审核。管好账号权限，按照最小权限原则赋予权限，比如市场部同事只能访问市场相关数据 ，不允许访问研发数据 。所有操作全程留痕，随时可以通过日志追溯。

第三，加强员工安全意识教育，避免员工成 “突破口” 。定期组织安全意识培训、钓鱼邮件演练，至少保证每年一次。鼓励员工主动上报异常情况，员工发现可疑邮件
、异常弹窗，可直接反馈给安全部，对有效上报的同事给予奖励 ，调动全员参与防御的积极性。

第四，做好预案
，万一发生极端情况能够快速止损。数据备份与恢复，核心数据落实321备份原则，即至少3份数据副本，使用2种不同的备份节奏，至少1份异地备份。制定应急预案，明确发现攻击后 ，谁负责隔离设备 、谁负责溯源、谁负责上报。至少半年组织一次应急演练，确保极短时间内能够响应 ，能够隔离受影响区域。