攻击警报:lockbit5 瞄准 marriott.com - US
Introduction
拥有超过12万名员工、年收入达209.7亿美元的酒店巨头万豪国际集团(marriott.com)于2025年12月遭遇新的网络威胁。LockBit5勒索软件组织声称对此次攻击负责,该攻击入侵了这家全球连锁酒店的基础设施,可能导致敏感的客户数据、预订信息和支付系统遭到泄露。根据我们认证的分析,此次攻击被评为XC SIGNAL级别。目前,酒店业正因网络安全事件频发而疲于应对。此次入侵事件于2025年12月7日被发现,引发了人们对全球数百万旅行者个人信息保护的担忧。
此次攻击发生之际,美国酒店业正面临针对客户数据库和预订系统的网络攻击激增的局面。恶意攻击者利用信用卡、身份信息和旅行习惯等信息的高市场价值牟利。对于自 1927 年成立以来一直负责关键物业管理系统的万豪酒店集团而言,此类安全漏洞的影响远不止于技术层面,更会损害其国际客户的信任。
Analyse détaillée
对现有元数据的分析表明,LockBit5 在全球网络犯罪领域保持着其咄咄逼人的姿态。经 Polygon 区块链认证的数据能够精确呈现此次事件的时间线,在以往信息不透明的领域提供了前所未有的透明度。此次针对如此规模的组织的攻击,充分展现了该组织攻击复杂且高度安全的基础设施的能力。
XC SIGNAL 级别表明已检测到数据泄露,但其程度仍在由我们的分析系统进行评估。与能够精确量化受损文件数量的 MINIMAL、PARTIAL 或 FULL 级别不同,SIGNAL 状态表明存在活跃的威胁,需要密切监控。这种分类方式使安全团队能够在等待有关受影响数字资产确切性质的更具体信息的同时,优先处理相关响应。
LockBit5 代表着一个繁殖力极强且适应性极强的勒索软件系列的最新演变。该网络犯罪团伙采用勒索软件即服务 (RaaS) 模式运作,将其恶意基础设施提供给负责实际入侵的同伙,随后瓜分赎金。这种去中心化的组织结构极大地增加了执法部门追踪和清除勒索软件的难度。
该团伙沿袭了以往 LockBit 的模式,以其精湛的技术和激进的作案手法而闻名。我们的威胁情报专家分析显示,LockBit5 掌握了一系列行之有效的战术、技术和程序 (TTP):利用零日漏洞、入侵特权账户、隐蔽横向移动以及在加密前进行大规模数据窃取。他们的标志性手法是双重勒索:加密系统并威胁公布被盗数据。
LockBit5 活跃于 2025 年,采取机会主义的攻击策略,中小企业和跨国公司均是其攻击目标。他们之前的受害者涵盖所有关键行业:医疗保健、金融、制造业,以及现在的酒店业。该组织在暗网上维护着一个专门的泄露网站,逐步发布拒绝支付费用的机构的文件,从而最大限度地施加心理和声誉压力。
他们的作案手法倾向于经典的初始攻击手段:精心设计的钓鱼邮件、利用安全性低下的远程桌面协议 (RDP) 服务以及破坏软件供应链。一旦获得初始访问权限,LockBit5 的成员就会部署网络侦察工具,提升权限,并在数据窃取前建立持久化机制。最终加密通常发生在周末或网络活动低谷期,以最大程度地扩大影响。
万豪国际集团近一个世纪以来一直是全球酒店业的基石。该公司成立于 1927 年,从华盛顿特区一家不起眼的根汁汽水摊发展成为如今在 139 个国家和地区管理着 8000 多家酒店的庞大酒店帝国。万豪酒店集团旗下拥有丽思卡尔顿、瑞吉、W酒店、喜来登和威斯汀等众多知名品牌,这使得marriott.com成为酒店行业的权威平台。
这家美国公司拥有超过12万名员工,年收入达209.7亿美元,每天处理数百万笔敏感交易。其IT系统处理预订、信用卡支付、会员忠诚计划(万豪旅享家拥有超过1.8亿会员)、部分酒店的生物识别数据以及客户的个人偏好信息。如此庞大的个人和财务信息集中在一起,使得万豪成为恶意攻击者的主要目标。
marriott.com的技术基础设施依赖于互联的酒店管理系统(PMS)、在线预订平台、移动应用程序以及全球分布式销售点网络。这种架构的复杂性是其国际化运营的必要条件,但也增加了潜在的攻击面。每家酒店都可能成为进入中央企业网络的入口点,这带来了巨大的安全挑战。
不幸的是,该公司并非首次遭遇重大网络安全事件。 2018 年,万豪酒店集团披露其喜达屋数据库(于 2016 年收购)遭到大规模数据泄露,导致 5 亿客户的个人信息在四年内泄露。这一历史性事件导致万豪被处以巨额罚款,并对其声誉造成持久损害。此类事件的再次发生引发了人们对 2018 年后安全投资有效性的质疑。
→ 酒店业的其他攻击
此次泄露事件的 XC SIGNAL 状态表明 LockBit5 已提出声明,但尚未立即确认泄露文件的确切数量。我们基于 NIST 事件分类方法的 XC-Classify 分析系统持续监控该组织的通信渠道,以更新此评估。数据显示,攻击者可能访问了客户和预订管理系统,这些系统包含姓名、地址、护照号码、银行账户信息和入住记录等关键数据。
对 LockBit5 在其暗网基础设施上发布的勒索信息进行分析后发现,其中明确提到了 marriott.com,日期为 2025 年 12 月 7 日。网络犯罪分子通常遵循分阶段的披露策略:首先发布公告,然后提供证据样本,如果赎金未支付,则逐步披露。在此阶段,尚未有公开文件可供访问,可能表明双方仍在进行谈判,或者在升级行动前存在一段宽限期。
针对如此规模的组织,可能的攻击途径包括:通过撞库攻击或定向网络钓鱼入侵管理员账户;利用第三方酒店管理系统 (PMS) 中未修补的漏洞;或通过托管服务提供商进行渗透。万豪酒店集团旗下 8000 多家酒店的互联互通,为攻击者在获得初始访问权限后进行隐蔽的横向移动提供了多种机会。LockBit5 的关联人员通常会在数据窃取前进行较长时间的侦察(数周),以摸清环境。
Questions Fréquentes
When did the attack by lockbit5 on marriott.com occur?
The attack occurred on December 7, 2025 and was claimed by lockbit5. The incident can be tracked directly on the dedicated alert page for marriott.com.
Who is the victim of lockbit5?
The victim is marriott.com and operates in the hospitality sector. The company is located in United States. Visit marriott.com's official website. To learn more about the lockbit5 threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on marriott.com?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on marriott.com has been claimed by lockbit5 but has not yet been confirmed by our community. Follow the progress of this alert.
Conclusion
根据事件的时间线推断,最初的入侵可能发生在 12 月 7 日勒索信息发布前的几周。恶意攻击者可能建立了多个持久化入口,将权限提升至管理员域帐户,并识别出最敏感的数据库。大规模数据泄露发生在勒索软件部署前几天,遵循了典型的双重勒索策略。万豪酒店的安全团队很可能在加密过程中或通过异常数据传输警报检测到了恶意活动。