当前位置: 首页 > 新闻动态 > 正文

工业企业成为勒索软件重点关注目标

发布时间:2021-02-02 来源:zdnet

勒索软件攻击对任何组织来说都是一种潜在的威胁,Conti、Egregor、Maze和许多其他勒索软件变种仍成功地影响着所有行业的受害者,但其中有一些行业是犯罪组织更关注的目标。

勒索软件攻击之所以成功,是因为许多组织无法承受其网络在持续一段时间内停止服务的代价,因此许多企业仍在采取他们认为最快、最简单的途径,即通过向犯罪分子提供勒索要求来恢复网络。

网络安全公司Digital Shadows最近发布的一份报告调查了2020年哪些行业最容易成为勒索软件的目标。在过去的12个月里,几乎所有行业都发现自己与勒索软件团伙打交道,但针对工业产品和服务的攻击最多,占29%,几乎是勒索软件攻击的三分之一。这一数字超过了针对建筑、科技和零售业这三个最具针对性行业的攻击总和。

制造商和基础设施很容易成为勒索软件攻击的目标,因为这些部门中的组织需要24小时不间断地运作,无论是运营工厂生产线还是运营公用设施工厂。如果他们不能提供这些服务,将会对供应链的下游产生广泛的影响。

Digital Shadows的网络威胁情报分析师杰米•哈特(Jamie Hart)表示:“由于无法操作的时期会对客户产生重大影响,因此工业组织将承受更大的支付赎金的压力。这可能会导致人们认为,即与其他行业的组织相比,该领域的组织更有可能支付赎金需求。”

此外,这些系统往往也在不断使用,这可能会造成另一个问题,因为操作员可能不愿意将它们脱机以应用稳定的例行软件补丁流,以保护其免受安全漏洞的侵害。这是因为在许多工业环境中,过时的、不受支持的技术仍然很常见。哈特表示:“这一垂直领域的组织严重依赖过时的系统,因此需要作出重大努力来维持漏洞管理。此外,这些系统对这些组织的日常运营至关重要,将它们离线进行修补是一项重要的任务。”

因此,这种对旧系统的依赖和对持续正常运行时间的需求,使得工业工厂成为勒索软件攻击的诱因。对于网络犯罪分子来说,这一切都与金钱有关,他们之所以把目标对准工厂,是因为他们知道有钱可以赚,可能是针对一个愿意付出代价的软目标。

专门从事工业网络安全的Dragos公司首席执行官兼联合创始人Rob Lee表示:“勒索企业是一回事,勒索一个每天有1500万条生产线的工业工厂是另一回事,对勒索软件运营商来说,这将是极其诱人的。”

大多数勒索软件会针对商业网络上的个人电脑和服务器(这通常足以关闭运营),但有些勒索软件也会进一步针对工业系统。有一些专业的勒索软件运营商正在寻求采取更进一步的攻击来赚钱,比如专门针对工业控制系统(ICS)的勒索软件变种EKANS。

工厂里的勒索软件加密ICS系统的前景令人担忧,但这些团伙也有可能以关键基础设施为目标,试图勒索能源、水利和其他公用事业。这些产品不是组织和个人几天内都无法获得的,如果一个网络犯罪分子有能力关闭一个城市的基础设施,那么影响将是无处不在。

有一些疑似国家资助的黑客入侵关键基础设施供应商并篡改系统的例子,比如Stuxnet,一种恶意软件攻击,通过将离心机旋转到最大程度,对伊朗核计划造成了实质性损害。还有一个工业化生产商(也称为Crashoveride),于2016年12月在乌克兰大片地区造成电网停电。

不可避免地,在国家支持的网络攻击者的领导下,网络犯罪分子将紧随其后,美国国家安全局(NSA)泄露的黑客工具EternalBlue的使用证明了这一点,该工具不仅有助于推动破坏性攻击,如朝鲜的WannaCry战役和俄罗斯的NotPetya攻击,而且被网络犯罪分子用来分发勒索软件、恶意软件、加密货币矿工和其他恶意有效载荷。

现在,网络犯罪分子越来越多地转向以工业控制系统为目标,因为他们了解以前的攻击是如何工作的,并试图模仿勒索软件活动中的技术和程序。DomainTools的高级安全研究员Joe Slowik表示:“我们发现越来越多的勒索软件参与者对进入这些领域更感兴趣,他们设计的技术非常粗糙,但是却涉及到诸如终止进程以扩展加密活动之类的技术。”

Ekans勒索软件于2020年初首次被记录在案,其设计目标是工业环境中的Windows机器,包括与许多工业控制系统特定功能相关的命令和进程,目的是作为勒索软件攻击的一部分阻止它们。这是一个纯粹为了经济利益而设计的网络犯罪行动,尤其是公用事业提供商不能等待数周才能恢复网络,因此可能被迫支付赎金,希望应用解密密钥解决眼前的问题。

但是加密工业控制系统不同于加密企业业务网络,这些系统可以控制在世界上有实际存在的机器,这些机器的中断可能会导致不可预见的后果。Slowik表示:“试图勒索工业运营的蓄意意图,以及如果你以错误的方式终止这些事情的无意影响,不仅会导致典型的勒索软件问题,还可能带来严重的影响。”。

当前,针对工业控制系统的勒索软件仍然很少出现,即使更广泛的工业环境仍然经常发现自己处于勒索软件攻击的接收端。但是在这两种情况下,这些组织都可以做一些事情,将成为勒索软件攻击受害者的可能性降到最低。

未修补的安全漏洞可能允许勒索软件和其他恶意软件进入网络并在网络中传播,因此强烈建议在发布关键安全更新后立即应用这些更新,因为它们可以防止已知漏洞。虽然短暂中断部分网络以确保应用了补丁程序可能会很痛苦,但这比成为网络攻击的受害者要轻松。

除此之外,如果由于某种原因而无法接收安全更新的任何内容,都应该从网络的其余部分中进行分割(即使它甚至需要完全面向互联网),以帮助防止网络犯罪分子使用更易受攻击的系统作为通向网络其他部分的网关。

至关重要的是,工业组织现在就应该加强其网络安全,而不是在已经来不及防范潜在的破坏性攻击的时候。Lee表示:“我认为我们现在不应该惊慌失措,我们已经进入了5年的活动窗口期,情况即将变得非常糟糕。如果你想领先,你最好现在就开始行动。”

 

 

 

 

原文地址:https://www.zdnet.com/article/ransomware-gangs-now-have-industrial-targets-in-their-sights-that-raises-the-stakes-for-everyone/