网络攻击者越来越多地使用勒索软件来攻击关键基础设施。今年2月,一家天然气压缩设施遭到勒索软件攻击,被迫关闭两天。自新冠疫情爆发以来,医疗保健企业和相关研究实验室成为攻击目标。现在,费城坦普尔大学的一个新学术项目跟踪了过去七年对关键基础设施的勒索软件攻击,显示2019年和2020年出现激增,占报告事件总数的一半以上。在本文中,我们结合最新数据,探讨如何防范此类攻击。什么是关键基础设施?根据美国网络安全和基础设施安全局(CISA)的说法,“关键基础设施”是对经济、公共卫生和国家安全的运作至关重要的“资产、系统和网络”,它们会影响关键基础设施的攻击可能具有“毁灭性”对国家运作能力的影响”。CISA指出,关键基础设施分布在16个行业,即:化工、商业设施、通信、关键制造、国防、教育、应急服务、能源、金融服务、食品和农业、政府设施、医疗保健、信息技术、核能、运输和供水系统。可以看出,这是一个相当大的攻击面,而且这些部门的许多组织都是公共资助的,往往缺乏预算和资源丰富的大型私营公司的专业知识,这使得防御更加脆弱。自2018年以来针对亚特兰大、格林维尔、巴尔的摩和里维埃拉比奇等城市的医院、学校和市议会的一系列勒索软件攻击是一些备受瞩目的案例。勒索软件攻击关键基础设施的频率如何?近两年针对关键基础设施的勒索软件攻击急剧上升,种种迹象表明,随着勒索软件工具和RaaS产品越来越多,攻击者的技术门槛越来越低,未来攻击频率会越来越高。根据天普大学整理的公开数据显示,在过去的七年里,针对关键基础设施的勒索软件攻击次数达到了近700次,平均每年不到100起,但实际上,其中一半以上是发生在2019年之后。在不到两年的时间里(到2020年还差四个月的数据收集时间),440次攻击相当于每周对关键基础设施进行的大约五次勒索软件攻击。攻击触及所有CI部门,从食品和农业到制造业、公共卫生甚至教育。国防部门也成为目标,可怕的是,核工业也成为目标。近年来,针对关键基础设施的大多数勒索软件攻击都针对政府运营的设施,据报道有199起勒索软件攻击。紧随其后的是对教育部门的攻击106起,还有61起针对紧急服务的勒索软件事件。谁在幕后策划对关键基础设施的攻击?随着暗网上销售的现成勒索软件工具(例如Netwalker)的流行,针对关键基础设施目标的攻击变得越来越频繁。NetWalker作为勒索软件,首次出现于2019年8月。在最初的版本中,该勒索软件名为Mailto,但在2019年底更名为NetWalker。NetWalker的开发人员似乎更喜欢可以对RDP服务器、网络进行入侵的关联公司设备、VPN服务器、防火墙等通过网络攻击。值得注意的是,笔名布加迪的NetWalker的作者只对雇佣说俄语的二流帮派感兴趣。McAfee专家表示,从历史上看,NetWalker曾通过利用OracleWebLogic和ApacheTomcat服务器中的漏洞、通过RDP端点以弱凭据进入网络或通过鱼叉式网络钓鱼关键企业员工进行入侵。安全公司McAfee在8月份发布的一份报告中表示,自3月份以来,NetWalker勒索软件的运营商已经支付了超过2500万美元的赎金。但从勒索软件中获利最多的是Maze,它在过去12个月左右的时间里一直在传播,不仅要获取加密数据,还要威胁泄露数据。REvil、Snatch、Netwalker、DoppelPaymer、Nemty和其他勒索软件运营商都采用了这种勒索策略。截至目前,Maze已发起至少57次针对关键基础设施的攻击事件。除了Maze,Wannacry发起的“15分钟成名”攻击导致16个重要行业的企业受到约33次攻击。除了上述勒索病毒,Ryuk等还对关键基础设施发起了多次攻击。比如DoppelPaymer(12次)、Netwalker(11次)、BitPaymer(8次)、CryptoLocker(7次)和CryptoWall(5次)。对关键基础设施进行勒索软件攻击的成本是多少?与可能试图渗透关键基础设施以进行间谍活动或破坏的APT和国家支持的攻击组织不同,使用勒索软件的普通攻击者通常只会针对一件感兴趣的事情:经济利益。为此,有13起记录在案的案件要求赎金总额超过500万美元,另有13起要求赎金金额在100万至500万美元之间。大约有31起勒索软件事件要求赎金金额为100万美元,而66起勒索软件事件要求的赎金金额低于5万美元。如上所述,勒索病毒的流行与其技术门槛低有关,这也是为什么会出现如此多所谓新型攻击的原因。统计数据显示,针对关键基础设施目标的54次勒索软件攻击耗资1,000美元或更少。这些攻击者可能采用“霰弹枪”或“散弹枪”的方式来攻击他们的目标,并且没有完全意识到他们正在破坏的组织的性质。此外,一些RaaS工具对初次购买者和“试用”软件的新手设置了较低的赎金限额,以诱使这些新手在尝到成功的甜头后继续购买“优质服务”。就NetWalker而言,勒索软件作为封闭访问RaaS(勒索软件即服务)门户运行。其他黑客组织注册并通过审查,之后他们被授予访问门户网站的权限,在那里他们可以构建勒索软件的自定义版本。NetWalker如此受欢迎的原因之一还在于它的“漏洞门户”,该团伙会在其中公布拒绝支付赎金要求的受害者的姓名,并发布数据。一旦网行者联盟入侵网络,他们首先窃取公司的敏感数据,然后对文件进行加密。如果受害者在最初的谈判中拒绝支付解密文件的费用,勒索软件团伙就会在他们的泄密网站上创建一个条目。该条目有一个计时器,如果受害者仍然拒绝付款,该团伙就会泄露他们从受害者网络中窃取的文件。您如何保护关键基础设施免受勒索软件的侵害?由于现代勒索软件攻击的本质是窃取数据和加密文件,因此防御勒索软件的关键是预防。换句话说,将攻击者拒之门外,并在攻击生命周期的早期检测并阻止他们。首先,防御者需要了解您的网络,连接了哪些设备,以及它们在做什么?主动和被动的发现和指纹识别是抵御攻击者的先决条件。通过频繁打补丁来控制访问、强化配置和减少漏洞也很重要。加强VPN连接、强制执行磁盘加密和端口控制也将减少勒索软件的攻击面。其次,电子邮件和网络钓鱼仍然是勒索软件的主要载体,因此良好且频繁的模拟培训计划很重要。最重要的是,设置员工访问权限,这样即使用户受到威胁,他们也只能访问完成工作所需的服务和资源。这些都是可以阻止攻击的补丁措施,但针对关键基础设施的攻击者会找到绕过这些保护的方法。因此,使用经过验证的EDR解决方案是最终的解决方案。本文翻译自:https://www.sentinelone.com/blog/how-ransomware-attacks-are-threating-our-critical-infrastructure/如有转载请注明出处。
