至少从2017年开始,公开披露的影响工业生产和关键基础设施组织的勒索软件事件显着增加。众所周知的勒索软件家族,WannaCry、LockerGoga、MegaCortex、Ryuk、Maze,以及现在的SNAKEHOSE(也被称为Snake/Ekans),已经让工业生产行业的受害者损失了数百万美元的赎金和各种费用,这些攻击也造成了重大损失使组织能够生产和交付商品和服务的物理过程中断和延迟。最近,随着金融犯罪分子的策略从机会主义演变为勒索软件攻击策略,研究人员发现攻击者在攻击时的内部侦察有所增加,使他们能够瞄准对生产链至关重要的系统。因此,勒索软件感染无论是影响企业网络中的关键资产还是OT网络中的计算机,往往都会导致相同的结果。这些攻击最终将导致产品或服务供应不足或延迟。要真正了解工业部门勒索软件交付操作的独特细微差别,需要结合跨IT和OT系统的技能和可见性。研究人员将使用收集到的示例来说明勒索软件如何破坏工业运营的能力加密来自各种受害者的文件和数据。使用这种攻击模式的攻击者平均会向受害者勒索500到1,000美元,希望从尽可能多的人那里得到报酬。虽然采用这种方法的早期勒索软件活动通常被认为超出了OT安全的范围,但最近针对整个工业和关键基础设施组织的活动已经转向更复杂的勒索软件操作方法。勒索软件安全措施完成后,攻击者可能仍经常依赖广泛传播的恶意软件来获得对受感染环境的初始访问权限,但一旦进入网络,他们将专注于获得特权访问,以便他们可以探索目标网络并识别关键网络。此外,这种方法允许攻击者禁用通常足以检测已知勒索软件指标或行为的安全进程。攻击者投放的监视网可能会影响关键系统,给受害者带来最大的痛苦,从而扩大其后期行动的规模和有效性。因此,他们在谈判中处于更有利的位置,并且通常可以要求更高的赎金,这通常与受害者的支付能力和赎金本身的价值相称。不分青红皂白的勒索软件方法与扫描启动的勒索软件方法的比较涉及机会性勒索软件部署的历史事件通常仅限于影响单台计算机,其中偶尔包括可通过互联网访问的OT中介系统、SegmentPoor或暴露于受感染的便携式媒体.2017年,研究人员还观察了NotPetya和BadRabbit等活动,在这些活动中,研究人员发现启用蠕虫的擦除器恶意软件通过伪装自己并在成功安装后开始进行攻击。具有基础设施性质的组织(例如,公用事业、医院和工业制造)和被认为有能力支付赎金的公司(例如,收入较高的公司)成为主要目标。这意味着金融犯罪攻击者正在将他们的目标扩大到包括直接处理可销售信息(例如信用卡号或客户数据)以轻松货币化的行业。由于攻击者在进行内部侦察和部署勒索软件之前已经横向进入目标网络,因此他们现在可以更好地跨网络发起攻击以瞄准关键资产。最重要的是,金融攻击者过去经常使用的许多策略、技术和程序(TTP)与过去OT安全事件的攻击生命周期的初始和中间阶段高技能攻击者所采用的策略、技术和程序(TTP)相似。因此,金融犯罪分子可能会求助于OT中介系统并在其上部署勒索软件,以进一步破坏运营。有组织的金融犯罪分子已证明有能力破坏OT资产。攻击者通过勒索软件获利的能力取决于许多因素,其中之一是破坏与受害组织的核心任务最相关的系统的能力。因此,研究人员可以预期老练的攻击者会逐渐将他们的选择从IT和业务流程扩展到OT资产监控和物理流程控制。这在SNAKEHOSE等勒索软件系列中表现得很明显,它们旨在仅在停止一系列进程后才执行其有效负载,其中包括来自通用电气和霍尼韦尔等供应商的一些工业软件。乍一看,SNAKEHOSE的攻击列表似乎是专门为OT环境量身定制的,因为用于初始分类的自动化工具识别出的进程相对较少(但有大量与OT相关的进程)。然而,在从终止进程的函数中手动提取列表后,我们确定SNAKEHOSE使用的kill列表实际上针对1000多个进程。事实上,研究人员观察到SNAKEHOSE执行的进程终止列表与其他勒索软件家族非常相似,包括LockerGoga、MegaCortex和Maze。毫不奇怪,所有这些代码系列都与过去两年中影响工业组织的重大事件有关。研究人员发现最早包含OT处理的列表是2019年1月与LockerGoga一起部署的批处理脚本。该列表与后来在MegaCortex事件中使用的批处理脚本非常相似,尽管有明显的例外,例如OT中的明显错字-相关进程,以及研究人员的SNAKEHOSE或MegaCortex样本中不存在“proficyclient.exe4”。SNAKEHOSE和MegaCortex示例中没有这个拼写错误可能表明这些恶意软件开发人员在最初复制LockerGoga列表中的OT进程时已经识别并纠正了错误,或者LockerGoga开发人员未能正确组合一些理论上的进程常见的。来源,如下图。使用LockerGoga(左)和SNAKEHOSE(右)部署的杀戮列表中“proficyclient.exe”的拼写列表似乎在恶意软件家族中无处不在,这表明该列表本身比实施它的任何恶意软件家族都更值得注意。虽然这些列表中确定的OT流程可能只是来自目标环境的自动收集流程的巧合输出,而不是影响OT的有针对性的努力,但此列表的存在为金融犯罪分子提供了破坏OT系统的机会。此外,研究人员预计,随着出于经济动机的攻击者继续以工业组织为目标,对OT越来越熟悉,并确定IT和OT系统之间的依赖关系,他们将开发更多运行工业软件产品和技术的系统以及操作环境。IT和OT系统中的勒索软件部署已影响工业生产由于攻击者提前扫描工业组织系统的策略以及对工业部门目标的攻击意识增强,勒索软件无论是在IT还是OT中部署软件事件会影响工业生产。勒索软件事件会对企业网络中服务器和计算机上的数据进行加密,从而对OT网络监管的物理生产流程造成直接或间接的损害。这会导致最终产品或服务供应不足或延迟,这代表了长期的经济损失,例如失去商业机会、事件响应成本、监管罚款、声誉受损,有时甚至是支付赎金。在公用事业和公共服务等某些部门,它们停止运作会对社会生活产生重要影响。使用IT网络感染工业生产的勒索软件最著名的例子是2019年3月对NorskHydro的攻击,挪威铝业巨头NorskHydro在2019年3月18日至19日午夜前后检测到该攻击,研究表明攻击者获得了在发现漏洞之前很久就可以访问他们的系统。据报道,此次攻击涉及一种名为LockerGoga的新型勒索软件,该软件旨在加密受感染计算机上的文件。该事件导致业务流程管理系统(BPMS)中断,迫使多个站点关闭自动化操作。除此之外,勒索软件还会破坏通常用于管理整个生产链资源的IT系统之间的通信。这些信息流中断,包括例如产品库存,迫使该公司暂时关闭了几家工厂,并将工厂转移到挪威、卡塔尔和巴西等国家的“可用”手动操作,以继续某些操作,例如让员工手动处理超过6,500个SKU和4,000个货架。根据FireEye旗下公司Mandiant的一项调查,在类似的案例中,TrickBot被用来在一家石油钻井平台制造商部署Ryuk勒索软件。虽然感染只发生在公司网络上,但最大的业务影响是由OracleERP软件中断造成的,这导致公司暂时下线并对生产造成负面影响。当勒索软件侵入OT网络中基于IT的资产(例如人机界面(HMI)、监控和数据采集(SCADA)软件以及工程工作站)时,也会出现类似的结果。大多数设备依赖于容易受到各种IT威胁的商品软件和标准操作系统。MandiantIntelligence根据敏感消息来源了解到至少一起事件,其中一家工业设施因大规模勒索软件攻击而关闭。该设施的网络分段不当,导致恶意软件从公司网络传播到OT网络,其中OT服务器对服务器、HMI、工作站和备份进行加密。如果要减轻勒索软件的影响,就需要在IT和OT中进行防御研究人员鼓励所有组织评估与勒索软件攻击相关的安全和工业风险。请注意,这些建议还有助于在业务运营面临其他威胁(例如加密挖掘恶意软件感染)时建立弹性。尽管每种情况都会有所不同,但研究人员强调了以下建议。进行渗透测试以评估您的组织当前的安全状况和响应勒索软件威胁的能力。模拟攻击场景(主要在非生产环境中)以了解事件响应团队对实际事件的意识和响应能力。审查运营、业务流程和工作流程,以确定对维持持续工业运营至关重要的资产。通过基于网络或基于主机的防火墙在逻辑上隔离主要和冗余资产,并进行后续资产加固,例如,禁用勒索软件传播常用的SMB、RDP和WMI等服务。除了创建禁用不必要的点对点和远程连接的策略外,我们还建议对可能托管这些服务和协议的所有系统进行定期审核。建立严格的备份制度,特别要注意确保备份的安全性和完整性。此外,关键备份必须离线保存,或至少保存在隔离网络中。根据恢复时间目标优化恢复计划,在恢复期间引入所需的可选工作流(包括手动流程),这对于关键资产冗余有限或没有冗余的组织尤为重要。从备份恢复时,加固恢复的资产和整个组织的基础设施,以防止勒索软件重复感染和传播。明确OT周界保护设备的所有权和管理权,以确保可以在整个企业范围内进行紧急更改。在遏制攻击的同时必须保持有效的网络分段。
