West Pharma 遭受勒索软件攻击，全球系统中断

西药公司遭勒索软件攻击，全球系统中断

执行摘要

位于宾夕法尼亚州的注射用药品包装和输送系统制造商West Pharmaceutical Services披露了一起始于2026年5月4日的勒索软件攻击。该公司主动关闭并隔离了全球受影响的本地基础设施，中断了业务运营。根据周一向美国证券交易委员会（SEC）提交的文件，攻击者在部署文件加密勒索软件之前窃取了数据。West已聘请Palo Alto Networks的Unit 42进行事件响应，并已通知执法部门。目前尚无任何勒索软件组织公开声称对此负责，而该公司的声明称其“已采取措施以减轻被窃取数据传播的风险”，这表明可能已进行了赎金谈判或支付，SecurityWeek报道。

技术分析

根据SEC文件，该事件于5月4日被检测到，随即进行了“主动关闭和隔离受影响的本地基础设施”。West还限制了对企业系统的访问，并启动了危机管理协议。该公司尚未披露初始访问向量、使用的勒索软件变种，或攻击者是否利用了泄露的凭证、网络钓鱼或未修补的漏洞。

Unit 42正在协助进行遏制、系统恢复和取证调查。截至文件提交日期，West报告称，一些地点的核心企业系统和运输、接收和制造的关键流程已重新启动，其余地点的恢复工作正在进行中。全面恢复的时间表尚未最终确定。

该公司尚未披露被窃取的数据类型或数量，也没有透露是否涉及员工、客户或患者的个人信息。没有任何勒索软件组织发布泄露站点条目声称负责，SecurityWeek指出这是不寻常的，可能表明已支付赎金以防止数据发布。

缓解措施与建议

制药和医疗保健部门的防御者应将此事件视为一个提醒，即勒索软件组织继续在加密前针对关键制造基础设施进行数据窃取。组织应确保维护并定期测试离线、不可变的备份。应审查网络分段，以限制从面向互联网的系统到敏感的制造和数据存储环境的横向移动。鉴于缺乏公开归因，监测任何未来由BlackCat、LockBit或Akira等组织发布的泄露站点帖子可能会提供额外的指标。West尚未发布具体的IoCs，但防御者应关注Unit 42的任何后续披露。