針對工業(yè)基礎設施的勒索軟件攻擊趨勢
2022年04月11日
對于勒索軟件組織及其附屬機構來說��,去年是關鍵的一年���,勒索軟件成為工業(yè)領域遭受入侵的首要原因。在2021年,遭受勒索軟件攻擊最多的工業(yè)部門是制造業(yè)����,幾乎是其他工業(yè)部門的兩倍。對此�����,Dragos在《2021年ICS/OT網(wǎng)絡安全年度回顧》中分析了工業(yè)基礎設施中勒索軟件攻擊的趨勢�����。
一��、針對OT的勒索軟件威脅
在許多針對工業(yè)部門的攻擊中,OT和IT之間的界限模糊����,以及對這些系統(tǒng)之間的交互知之甚少,再加上遠程訪問的增加�,因為越來越多的組織依賴遠程辦公的員工��,增加了整體風險。雖然勒索軟件主要針對企業(yè)IT系統(tǒng)�����,但在許多情況下��,勒索軟件確實會直接影響OT�,并在集成的IT和OT環(huán)境中產(chǎn)生影響�����。
一些勒索軟件運營者在攻擊企業(yè)IT時會間接影響OT�。一旦攻擊者獲得初始訪問權限���,就可以執(zhí)行勒索軟件,以在關鍵的企業(yè)IT系統(tǒng)中站穩(wěn)腳跟��,并可能橫向進入OT系統(tǒng)����。在破壞組織后,他們要求受害者支付用于解密文件的密鑰的贖金�。通常受害者幾乎沒有辦法恢復其系統(tǒng)功能���。
然而一些勒索軟件組織專門針對OT系統(tǒng)�����。EKANS是一款專門攻擊ICS的勒索軟件,在2020年針對電力����、石油和天然氣、醫(yī)療和制藥制造以及汽車行業(yè)的公司�����。Dragos分析了EKANS惡意軟件的多個變種���,發(fā)現(xiàn)EKANS變種能夠在啟動加密之前停止與ICS相關的Windows進程�。
二、工業(yè)安全勒索軟件趨勢
Dragos分析匯總了2021年針對ICS行業(yè)的勒索軟件趨勢,其中制造業(yè)占65%,其次是餐飲業(yè)11%和交通運輸業(yè)8%�����。在制造業(yè)中�,金屬部件占17%,其次是汽車8%和技術6%。制造業(yè)在OT安全防御方面是最不安全的。
三、勒索軟件組織
勒索軟件組織Conti和Lockbit 2.0的攻擊次數(shù)占總勒索軟件攻擊的51%,其中70%的惡意活動針對制造業(yè)。Conti可以追溯到2020年�����,最近確認的攻擊針對的是CS Energy和Shutterfly��。2021年6月�,Lockbit 2.0進行了重組�,現(xiàn)在專注于竊取數(shù)據(jù)并通過威脅勒索受害者來獲取經(jīng)濟利益,如果受害者不支付贖金就發(fā)布泄露的數(shù)據(jù)�����。
根據(jù)Lockbit 2.0在暗網(wǎng)論壇上的一篇帖子���,2021年�,Lockbit 2.0聲稱擁有能源設備供應商施耐德電氣的數(shù)據(jù)。該事件從未得到證實���,施耐德電氣發(fā)布的數(shù)據(jù)似乎來自之前對丹麥風力渦輪機制造商維斯塔斯的攻擊��。
勒索軟件攻擊的激增可歸因于勒索軟件即服務(RaaS)現(xiàn)象�����。然而另一個關鍵因素是,工業(yè)部門的數(shù)字化轉型�,以及IT和OT之間的連接性增強��。Conti和Lockbit 2.0等勒索軟件組織已經(jīng)動員了一個地下市場,他們的開發(fā)人員將業(yè)務外包給執(zhí)行攻擊的附屬機構��。附屬機構不需要高水平的專業(yè)技術知識�����,因為勒索軟件已經(jīng)開發(fā)出來��,他們可以購買系統(tǒng)訪問權限并雇傭黑客,這大大降低了進入門檻����。
四���、勒索軟件業(yè)務日益成熟
隨著勒索軟件行為者的進入壁壘減少�,對工業(yè)部門的財務影響越來越大���。通常,勒索軟件組織會威脅要在加密目標文件系統(tǒng)之前發(fā)布泄露的公司和個人信息,然后將信息轉儲到暗網(wǎng)泄漏站點。2021年上半年,針對ICS行業(yè)的勒索軟件攻擊的平均修復成本持續(xù)上升�,原因包括停機時間���、人員配備����、設備和網(wǎng)絡運營中斷�、失去商機以及支付贖金����。
勒索軟件組織DarkSide現(xiàn)已更名為REvil,為客戶服務提供實時聊天支持���,并在宣布關閉業(yè)務之前至少獲得了6000萬美元的收入。勒索軟件組織正在投資他們的業(yè)務�����,資助研發(fā)�����,隨著勒索方法變得越來越極端���,研發(fā)正在推動其行業(yè)��。
勒索軟件趨勢可能會繼續(xù)發(fā)生變化,隨著組織進行改革�,重新確定優(yōu)先級順序�,以及執(zhí)法部門會追蹤勒索軟件并將其離線��。隨著勒索軟件組織的解散和改革��,勒索軟件變種混合在一起,并且更有可能在2022年開發(fā)出更多具有ICS/OT功能的變種����。
五���、趨勢預測
Dragos評估�,勒索軟件將繼續(xù)破壞工業(yè)運營和OT環(huán)境����,無論是通過將OT結束進程集成到勒索軟件中���、還是通過存在扁平化網(wǎng)絡以防止勒索軟件傳播到OT環(huán)境中��,或者通過運營商關閉OT環(huán)境作為預防措施����,同時試圖阻止IT勒索軟件傳播到OT系統(tǒng)�。
Dragos評估,國家支持的攻擊者可能利用勒索軟件來掩蓋其替代行動、盜竊知識產(chǎn)權(包括關鍵的OT示意圖細節(jié))�����、偵察目標網(wǎng)絡�����、以及ICS網(wǎng)絡殺傷鏈的其他第一階段組件��。
最后Dragos表示,勒索軟件攻擊者的勒索技術將繼續(xù)提升���,因為攻擊者會使用任何手段來追索贖金。
