針對工業(yè)基礎(chǔ)設(shè)施的勒索軟件攻擊趨勢
2022年04月11日
對于勒索軟件組織及其附屬機(jī)構(gòu)來說��,去年是關(guān)鍵的一年�,勒索軟件成為工業(yè)領(lǐng)域遭受入侵的首要原因。在2021年���,遭受勒索軟件攻擊最多的工業(yè)部門是制造業(yè)���,幾乎是其他工業(yè)部門的兩倍。對此�,Dragos在《2021年ICS/OT網(wǎng)絡(luò)安全年度回顧》中分析了工業(yè)基礎(chǔ)設(shè)施中勒索軟件攻擊的趨勢。
一���、針對OT的勒索軟件威脅
在許多針對工業(yè)部門的攻擊中��,OT和IT之間的界限模糊�,以及對這些系統(tǒng)之間的交互知之甚少,再加上遠(yuǎn)程訪問的增加��,因?yàn)樵絹碓蕉嗟慕M織依賴遠(yuǎn)程辦公的員工�,增加了整體風(fēng)險(xiǎn)�����。雖然勒索軟件主要針對企業(yè)IT系統(tǒng)�����,但在許多情況下�,勒索軟件確實(shí)會直接影響OT,并在集成的IT和OT環(huán)境中產(chǎn)生影響�����。
一些勒索軟件運(yùn)營者在攻擊企業(yè)IT時(shí)會間接影響OT��。一旦攻擊者獲得初始訪問權(quán)限����,就可以執(zhí)行勒索軟件,以在關(guān)鍵的企業(yè)IT系統(tǒng)中站穩(wěn)腳跟�,并可能橫向進(jìn)入OT系統(tǒng)。在破壞組織后,他們要求受害者支付用于解密文件的密鑰的贖金���。通常受害者幾乎沒有辦法恢復(fù)其系統(tǒng)功能�����。
然而一些勒索軟件組織專門針對OT系統(tǒng)���。EKANS是一款專門攻擊ICS的勒索軟件,在2020年針對電力����、石油和天然氣、醫(yī)療和制藥制造以及汽車行業(yè)的公司����。Dragos分析了EKANS惡意軟件的多個(gè)變種,發(fā)現(xiàn)EKANS變種能夠在啟動加密之前停止與ICS相關(guān)的Windows進(jìn)程��。
二�、工業(yè)安全勒索軟件趨勢
Dragos分析匯總了2021年針對ICS行業(yè)的勒索軟件趨勢,其中制造業(yè)占65%�����,其次是餐飲業(yè)11%和交通運(yùn)輸業(yè)8%。在制造業(yè)中����,金屬部件占17%,其次是汽車8%和技術(shù)6%��。制造業(yè)在OT安全防御方面是最不安全的��。
三�����、勒索軟件組織
勒索軟件組織Conti和Lockbit 2.0的攻擊次數(shù)占總勒索軟件攻擊的51%�����,其中70%的惡意活動針對制造業(yè)���。Conti可以追溯到2020年,最近確認(rèn)的攻擊針對的是CS Energy和Shutterfly����。2021年6月,Lockbit 2.0進(jìn)行了重組��,現(xiàn)在專注于竊取數(shù)據(jù)并通過威脅勒索受害者來獲取經(jīng)濟(jì)利益,如果受害者不支付贖金就發(fā)布泄露的數(shù)據(jù)���。
根據(jù)Lockbit 2.0在暗網(wǎng)論壇上的一篇帖子�����,2021年��,Lockbit 2.0聲稱擁有能源設(shè)備供應(yīng)商施耐德電氣的數(shù)據(jù)����。該事件從未得到證實(shí)�����,施耐德電氣發(fā)布的數(shù)據(jù)似乎來自之前對丹麥風(fēng)力渦輪機(jī)制造商維斯塔斯的攻擊�。
勒索軟件攻擊的激增可歸因于勒索軟件即服務(wù)(RaaS)現(xiàn)象。然而另一個(gè)關(guān)鍵因素是�,工業(yè)部門的數(shù)字化轉(zhuǎn)型,以及IT和OT之間的連接性增強(qiáng)���。Conti和Lockbit 2.0等勒索軟件組織已經(jīng)動員了一個(gè)地下市場���,他們的開發(fā)人員將業(yè)務(wù)外包給執(zhí)行攻擊的附屬機(jī)構(gòu)�。附屬機(jī)構(gòu)不需要高水平的專業(yè)技術(shù)知識�����,因?yàn)槔账鬈浖呀?jīng)開發(fā)出來���,他們可以購買系統(tǒng)訪問權(quán)限并雇傭黑客�����,這大大降低了進(jìn)入門檻。
四���、勒索軟件業(yè)務(wù)日益成熟
隨著勒索軟件行為者的進(jìn)入壁壘減少��,對工業(yè)部門的財(cái)務(wù)影響越來越大����。通常�����,勒索軟件組織會威脅要在加密目標(biāo)文件系統(tǒng)之前發(fā)布泄露的公司和個(gè)人信息����,然后將信息轉(zhuǎn)儲到暗網(wǎng)泄漏站點(diǎn)����。2021年上半年��,針對ICS行業(yè)的勒索軟件攻擊的平均修復(fù)成本持續(xù)上升��,原因包括停機(jī)時(shí)間���、人員配備�����、設(shè)備和網(wǎng)絡(luò)運(yùn)營中斷�、失去商機(jī)以及支付贖金��。
勒索軟件組織DarkSide現(xiàn)已更名為REvil����,為客戶服務(wù)提供實(shí)時(shí)聊天支持,并在宣布關(guān)閉業(yè)務(wù)之前至少獲得了6000萬美元的收入�。勒索軟件組織正在投資他們的業(yè)務(wù),資助研發(fā)��,隨著勒索方法變得越來越極端,研發(fā)正在推動其行業(yè)����。
勒索軟件趨勢可能會繼續(xù)發(fā)生變化,隨著組織進(jìn)行改革��,重新確定優(yōu)先級順序�,以及執(zhí)法部門會追蹤勒索軟件并將其離線。隨著勒索軟件組織的解散和改革���,勒索軟件變種混合在一起�,并且更有可能在2022年開發(fā)出更多具有ICS/OT功能的變種��。
五�����、趨勢預(yù)測
Dragos評估��,勒索軟件將繼續(xù)破壞工業(yè)運(yùn)營和OT環(huán)境�,無論是通過將OT結(jié)束進(jìn)程集成到勒索軟件中�、還是通過存在扁平化網(wǎng)絡(luò)以防止勒索軟件傳播到OT環(huán)境中,或者通過運(yùn)營商關(guān)閉OT環(huán)境作為預(yù)防措施��,同時(shí)試圖阻止IT勒索軟件傳播到OT系統(tǒng)。
Dragos評估��,國家支持的攻擊者可能利用勒索軟件來掩蓋其替代行動����、盜竊知識產(chǎn)權(quán)(包括關(guān)鍵的OT示意圖細(xì)節(jié))、偵察目標(biāo)網(wǎng)絡(luò)�、以及ICS網(wǎng)絡(luò)殺傷鏈的其他第一階段組件。
最后Dragos表示�,勒索軟件攻擊者的勒索技術(shù)將繼續(xù)提升,因?yàn)楣粽邥褂萌魏问侄蝸碜匪髭H金��。
