根据网络安全服务商Dragos的研究,针对运营技术的勒索软件攻击激增证明,此类威胁仅针对运营技术(即直接监控和操作硬件和软件)设备和工艺)是日常生活的重要组成部分。运营技术负责监控关键基础设施和制造运营,它的使用可以在公用事业、石油和天然气以及运输等行业组织的一系列关键任务领域中看到。然而,此类基础设施最近因勒索软件攻击而成为头条新闻,著名的例子是对肉类加工商JBS和燃料供应商ColonialPipeline的攻击。事实上,网络攻击者不再仅仅针对IT技术,而是其流程背后的技术,造成广泛的破坏,以及财务和声誉损失。根据Dragos进行的研究,出于地缘政治或金融原因,欧洲的工业基础设施正在成为勒索软件攻击的目标。根据Dragos观察的具体行业,勒索软件攻击最常针对的行业是:制造业(61%);运输(15%);水(9%);能量(8%)。考虑到这一点,下文探讨了勒索软件对运营技术的影响。勒索软件对运营技术的影响勒索软件威胁参与者一直在改进他们的策略,增加攻击次数,增加风险,并增加漏洞情报。由于基础设施运营的关键性和敏感性,受害者常常发现自己处于两难境地——是决定支付赎金(专家通常不建议这样做)还是关闭运营或暂停关键供应。根据Dragos的研究,对运营技术的影响体现在四个方面:先发制人地关闭运营,以防止勒索软件传播到运营技术,从而保护技术免受长期损害(例如对ColonialPipeline的勒索软件攻击)。由于扁平网络和缺乏可见性,勒索软件传播迅速。六种勒索软件类型包含一个内置的OT进程攻击列表:Cl0p、EKANS、LockerGog、Maze、MegaCortex和Netfilim。如果不支付赎金,仅针对企业IT的攻击可能会导致OT文档泄露到地下论坛,进而破坏OT流程。后续攻击。主要勒索软件攻击组织Dragos在其研究中发现了一些更为活跃的勒索软件攻击组织,他们利用勒索软件破坏欧洲的工业基础设施。受监控的一些最活跃的勒索软件攻击组织包括:ALLIANTE:ALLIANTE组织的目标是英国和美国的电力公司和运营技术网络,以及德国的工业基础设施。该小组一直在寻找运营技术环境中的漏洞。DYMALLOY:DYMALLOY团伙勒索软件攻击的受害者包括欧洲、北美和土耳其的电力、石油和天然气供应商。根据Dragos的说法,该团伙有能力进行长期持续的情报收集和未来的破坏活动。ELECTRUM:ELECTRUM团伙被发现是2016年乌克兰变电站CRASHOVERRIDE攻击的幕后黑手,他们可以开发利用操作技术协议和通信来修改电气设备流程的恶意软件。MAGNALLUM:这个团队最早出现在沙特阿拉伯,主要攻击航空和油气公司。2020年,MAGNALLUM将其勒索软件攻击扩展到欧洲和北美,重点是半导体制造和政府??机构。此处发现的恶意样本以超文本标记语言(HTML)的形式出现。PARASITE:该组织针对航空航天、石油和天然气以及公用事业公司进行勒索软件攻击,使用开源工具瞄准VPN漏洞并破坏基础设施。根据Dragos研究,PARASITE组织自2017年以来一直活跃。XENOTIME:XENOTIME团队的攻击活动最初始于中东,并于2018年扩展到欧洲,目标是石油和天然气公司。Dragos认为该组织有能力攻击北海的石油和天然气业务。展望未来,Dragos将继续密切监视这些团体的活动,因为它们不断发展以规避安全措施。保护运营技术免受勒索软件攻击为了保护运营技术免受勒索软件攻击,Dragos建议采取适当的措施进行初始入侵防御、网络访问防御和基于主机的防御。在保持警惕的同时考虑这些方面的策略对于防御勒索软件威胁行为者至关重要。(1)初始入侵为了防止对网络的初始入侵,企业必须不断发现并修复关键和已知的漏洞,同时监控网络的攻击企图。此外,尽可能使您的设备保持最新状态。VPN尤其需要网络安全人员的密切关注;必须创建新的VPN密钥和证书,并且必须启用通过VPN记录活动。通过VPN访问操作技术环境需要架构审查、多因素身份验证(MFA)和跳转主机。此外,用户应该只阅读纯文本格式的电子邮件,而不是渲染的HTML,并禁用MicrosoftOffice宏。(2)网络访问对于威胁行为者的网络访问尝试,组织应对涉及操作技术的路由协议进行架构审查,并监控开源工具的使用。组织应实施多因素身份验证(MFA)以访问运营技术系统和情报源,以识别和跟踪威胁和通信。(3)基于主机的威胁对于基于主机的勒索软件威胁,应监控可能的恶意PowerShell、WMI和Python活动,以及导致PowerShell执行的恶意HTA有效负载。您的网络安全团队还应留意可能的凭据窃取工具、系统工具的异常枚举和使用,以及主机上的新服务和计划任务。
