勒索軟件攻擊對運營技術的影響越來越大
根據網絡安全服務商Dragos公司的一項研究,針對運營技術的勒索軟件攻擊激增,證明此類威脅僅針對運營技術(就是直接監控和運行設備和流程的硬件和軟件)是日常生活的關鍵部分。運營技術負責監控關鍵基礎設施和制造運營,在公用事業公司、石油和天然氣以及運輸等行業組織的一系列關鍵任務領域中都可以看到運營技術的使用。
然而,此類基礎設施最近由于受到勒索軟件的攻擊而成為頭條新聞,著名的例子是肉類加工商JBS公司和燃料供應商Colonial Pipeline公司遭到的攻擊事件。事實上,網絡攻擊者不再只是針對IT技術,還針對其流程背后的技術,造成廣泛的破壞,以及財務和聲譽損失。
根據Dragos公司進行的研究,歐洲的工業基礎設施正因地緣政治或金融原因成為勒索軟件攻擊的目標。根據Dragos公司觀察的特定行業,勒索軟件攻擊最常針對的行業是:
·制造業(61%);
·交通(15%);
·水(9%);
·能源(8%)。
考慮到這一點,以下探索勒索軟件對運營技術的影響。
勒索軟件對運營技術的影響
勒索軟件威脅參與者總是在不斷發展他們的策略、增加攻擊次數、提高風險,并增加漏洞情報。由于基礎設施運營的關鍵和敏感性質,受害者往往發現自己陷入了兩難境地——是決定支付贖金(專家通常不建議)還是關閉業務或暫停關鍵供應。
根據Dragos公司的研究,對運營技術的影響體現在四個方面:
(1)先發制人地關閉操作以防止勒索軟件傳播到運營技術,從而保護技術免受長期損害(例如Colonial Pipeline公司遭到的勒索軟件攻擊)。
(2)由于網絡扁平化和缺乏可見性,勒索軟件快速傳播。
(3)六種勒索病毒包含內置的運營技術進程攻擊列表:Cl0p、 EKANS、LockerGog、Maze、MegaCortex、Netfilim.
(4)如果不支付贖金,僅針對企業IT的攻擊可能導致運營技術文檔泄露到地下論壇,進而對運營技術進行后續攻擊。
主要勒索軟件攻擊團伙
Dragos公司在研究中發現了一些比較活躍的勒索軟件攻擊團伙,他們采用勒索軟件破壞歐洲的工業基礎設施。其中監控的一些最活躍的勒索軟件攻擊團伙包括:
·ALLANITE:ALLIANTE團伙的目標是英國和美國的電力企業和運營技術網絡,以及德國的工業基礎設施。該團伙不斷查找運營技術環境中的漏洞。
·DYMALLOY:DYMALLOY團伙開展勒索軟件攻擊的受害者包括歐洲、北美和土耳其的電力、石油和天然氣供應商。根據Dragos公司的調查,該團伙能夠進行長期和持續的情報收集和未來的破壞事件。
·ELECTRUM:ELECTRUM團伙被發現是2016年烏克蘭的一個變電站遭到CRASHOVERRIDE攻擊事件的幕后黑手,它可以開發利用運營技術協議和通信來修改電氣設備流程的惡意軟件。
·MAGNALLUM:該團隊首先出現沙特阿拉伯,主要攻擊航空和石油和天然氣公司。2020年,MAGNALLUM 將其勒索軟件攻擊擴展到歐洲和北美地區,重點關注半導體制造和政府??機構。此處發現的惡意樣本以超文本標記語言(HTML)的形式出現。
·PARASITE:該團伙針對航空航天、石油和天然氣以及公用事業公司進行勒索軟件攻擊,使用開源工具針對VPN漏洞和破壞基礎設施。根據Dragos公司的研究,PARASITE團伙自從2017年以來一直很活躍。
·XENOTIME:XENOTIME團隊的攻擊活動最初從中東地區開始,2018年開始擴展到歐洲,其目標是石油和天然氣公司。Dragos公司認為,該集團有能力攻擊北海的石油和天然氣業務。
展望未來,Dragos公司將繼續密切關注這些團體的活動,這些團體將繼續發展以規避安全措施
保護運營技術免受勒索軟件攻擊
為了保護運營技術免受勒索軟件攻擊,Dragos公司建議對初始入侵防御、網絡訪問防御和基于主機的防御采取適當的措施。在保持警惕的同時,將這些方面考慮在內的戰略對于防范勒索軟件威脅行為者至關重要。
(1)初始入侵
為了防止對網絡的初始入侵,企業必須始終如一地發現和修復關鍵漏洞和已知漏洞,同時監控網絡是否有攻擊企圖。此外,盡可能使設備保持最新狀態。
VPN尤其需要網絡安全人員的密切關注;必須創建新的VPN密鑰和證書,并啟用通過VPN進行的活動日志記錄。通過VPN訪問運營技術環境需要架構審查、多因素身份驗證(MFA)和跳轉主機。
此外,用戶應該只閱讀純文本的電子郵件,而不是呈現HTML,并禁用Microsoft Office宏。
(2)網絡訪問
對于來自威脅參與者的網絡訪問嘗試,企業應該對涉及運營技術的路由協議進行架構審查,并監控開源工具的使用。
企業應實施多因素身份認證(MFA)以訪問運營技術系統以及用于威脅和通信識別和跟蹤的情報源。
(3)基于主機的威脅
對于基于主機的勒索軟件威脅,應該監控可能的惡意Power Shell、WMI和Python活動,以及導致PowerShell執行的惡意HTA有效負載。
企業的網絡安全團隊還應密切關注可能使用的憑據竊取工具,系統工具的異常枚舉和使用,以及主機上的新服務和計劃任務。
