新型勒索软件严重扰乱了2020年的制造业,今年第三季度出现了令人不安的趋势,因为攻击者似乎将制造公司置于其勒索软件操作的中间。作为攻击目标。以下是来自趋势科技云安全智能防护网络的数据,显示了勒索软件活动对不同行业的影响。2020年第三季度受勒索软件影响的工业制造设施一般是一些大型物理设备(流水线、熔炉、电机等),但技术进步和工业4.0趋势也意味着计算机进入生产经营系统。这些大型工业设备由计算机控制或监控。这些计算机依次连接到其他计算机和网络以传递数据。下图是一个工业控制系统(ICS)的架构示意图。0级是大型硬件所在的地方,这些是人们在想到工厂或发电厂时通常会想到的设备。但是,要控制和监视这些设备,必须使用2级计算机。人机界面(HMI)和监控与数据采集(SCADA)计算机为操作员提供了对工业设备的可见性和控制,而工程工作站包含创建最终产品所需的蓝图、设计文档、设备代码、程序和配置。在许多情况下,可以在第3层找到包含供工程工作站共享访问的设计文件和产品文档的集中式文件服务器,以及历史数据库(包含设备、性能指标和产品质量的历史数据库)。如果勒索软件攻击能够渗透2级和3级计算机?新型勒索软件攻击的目标不是关闭或削弱受感染的计算机,上一个能够有效禁用受感染计算机的勒索软件是Petya,它于2017年和2018年投入使用。随后的勒索软件系列已被更加注意文件加密,故意排除计算机启动和运行所需的系统文件和可执行文件。其他一切都是加密的。这意味着,如果勒索软件攻击运营技术(OT)网络中的任何控制和监控计算机,工厂车间将不会突然停工。HMI示例然而,看起来像上图的HMI无法加载,并且会在勒索软件攻击后出错。人机界面可能遭遇勒索软件攻击的漏洞作为人机界面,人机界面非常依赖图像文件。HMI中表示的每个按钮、值、标志、管道和设备部件在HMI软件目录中的某处都有对应的文本文件。不仅如此,包含值、映射、逻辑、阈值和词汇的配置与图像文件一起存储在文本文件中。在一次影响HMI的勒索软件事件中,我们发现88%的加密文件是JPEG、BMP或GIF文件——HMI使用的图像。如果所有这些文件都被加密,那么恢复受影响的系统就不仅仅是重新安装ICS软件那么简单了。此外,需要恢复自定义HMI或SCADA接口。请注意,勒索软件不需要直接针对ICS软件进程来禁用ICS。通过加密HMI、SCADA或工程工作站(EWS)所依赖的文件,勒索软件可以禁用系统,导致操作员无法查看和控制现场,并最终破坏工厂生产力。窃取设备操作信息在制造环境中,网络文件共享是一种实际需要。在操作方面,工程师和设计师不仅将其用作共享设计和工程文档的方式,而且还将其用作参考文档、指南、零件列表、工具和工作流的存储库。在业务运营方面,管理人员和员工使用网络共享来存储供应商、供应商、采购订单、发票等信息。专用供应链管理(SCM)或产品生命周期管理(PLM)系统及其相关数据库甚至可以在第4级或第5级找到。虽然影响这些文件存储库和数据库的勒索软件攻击不一定会破坏生产线,但它可能会妨碍业务运营、供应链管理以及产品工程和设计。不幸的是,这些只是短期后果。现代勒索软件的操作还涉及数据盗窃,这可能会产生永久性影响。在Maze勒索病毒勒索模式的影响下,利用现成的文件备份工具窃取受害者数据几乎成为了勒索组织的标配。最初,这样做是为了增加受害者支付赎金的可能性,因为数据泄露会引发额外的勒索攻击。然而,勒索软件受害者的数据也被泄露或在地下出售。这对企业来说尤其不幸,因为设计和工程文件可能包含知识产权。此外,供应商和供应商信息可能包含机密的供应链数据,例如定价和订单信息。制造公司在遇到勒索软件事件时应考虑这些可能性。一旦恢复生产和业务运营,就需要对被盗数据进行评估。之后,组织应该问自己一个问题:如果数据泄露或出售,对生产、业务关系和客户有何影响?这个问题的答案将指导制造公司的事后行动,并使其能够制定更有效的应对策略。多年来,通过电子邮件附件或恶意网站安装勒索软件的事件显着减少(见图4)。然而,从头条新闻来看,许多人可能认为勒索软件的数量并没有减少。趋势科技多年来检测到的勒索软件最初是电子邮件附件或恶意网站,其背后的原因是勒索软件攻击者在过去几年中对目标的选择变得更加有选择性。他们已经从大规模传播勒索软件垃圾邮件转向更精确的方法,称为“大型游戏狩猎”。这意味着勒索软件攻击者不再关心个体受害者,而是更关注大中型企业。这种转变背后的原因是勒索软件攻击者现在每次攻击大中型企业时都会获得大笔报酬。对大中型企业的攻击更加复杂,需要更多的时间来观察、跟踪和采取行动。这就是为什么大多数影响大型行业(例如制造业)的勒索软件系列都被称为“入侵后勒索软件”的原因。简而言之,攻击者在安装勒索软件之前已经通过其他方式获得了对网络的访问权限。2020年第三季度影响制造网络的不同勒索软件系列的分布2020年第三季度,大多数影响制造的勒索软件是入侵后勒索软件。例如,在第三季度影响大多数制造网络的勒索软件Sodinokibi是在攻击者获得对易受攻击的OracleWebLogic服务器的访问权限后安装的。Gandcrab通常是在攻击者利用易受攻击的面向公众的MySQL服务器之后安装的。勒索软件Ryuk是由已经通过Emotet恶意软件在网络中站稳脚跟的攻击者安装的。安装Sodinokibi、Medusalocker、Crysis和其他勒索软件的攻击者被认为是在滥用弱RDP凭据。更重要的是,这表明勒索软件事件并非单一事件。相反,它是多个安全问题的外在表现,使攻击者能够访问网络、横向移动并以关键资产为目标勒索赎金。有关ICS系统中勒索软件制造和模式的最新数据都表明非军事区(DMZ)和网络分段中可能存在漏洞。这些因素使IT网络中的攻击场景能够遍历OT网络。另一个可能的问题是,一些直接连接到OT网络的远程访问连接很弱或无法解释。然而,当勒索软件事件得到缓解并且生产和运营可以恢复时,真正的恢复并没有结束。当导致勒索软件感染的安全漏洞最初得到解决时,它就结束了。保护制造网络正如我们在过去几年中看到的那样,制造网络与其他行业的网络一样容易受到破坏。即使使用专门的设备、软件、协议和网络分段,攻击者通常也能够劫持ICS系统。标准的安全最佳实践和解决方案应该是有效的,但它们的部署方式应该对生产环境敏感。除了安全解决方案的标准能力外,制造业安全官员在评估安全解决方案时应考虑的额外要求是:1.低延迟:解决方案应避免干扰时间敏感的生产流程;2.OT协议知识:安全产品应正确识别和监控进出ICS系统的流量;3.IT和OT网络的集成监控和检测:安全策略要求产品可以协同工作并在网段之间发送数据,从而提高易用性并简化监控和响应;参考及出处:https://www.trendmicro.com/en_us/research/20/l/the-impact-of-modern-ransomware-on-manufacturing-networks.html如有转载请注明原文地址。
