天地和兴总结梳理的上半年工业企业10起典型攻击事件中,有7起是勒索攻击。2月,勒索攻击殃及美国天然气管道公司,CISA未透露勒索软件名称。勒索软件Nefilim攻击澳大利亚Toll集团;3月,勒索软件Ryuk攻击钢铁制造商EVRAZ公司及其北美分支机构,包括加拿大和美国的钢铁生产厂;4月,Ragnar Locker勒索软件袭击了葡萄牙跨国能源公司EDP(Energias de Portugal),并且索要1580个比特币赎金(折合约1090万美元/990万欧元);5月,勒索软件Nefilim袭击了台湾石油、汽油和天然气公司CPC公司及其竞争对手台塑石化公司(FPCC)。另有未透露名称的勒索软件攻击了瑞士铁路机车制造商Stadler;6月,勒索软件EKANS/Snake攻击了本田
汽车制造商。
2020上半年十大典型勒索软件事件
1、美国天然气管道遭受勒索软件攻击
2月,美国网络安全和基础设施安全局(CISA)发布公告,称一家未公开名字的天然气公司因遭受勒索软件攻击后被迫关闭设施两天。根据CISA报告中提供的有限细节,攻击者最初使用包含恶意链接的鱼叉式网络钓鱼邮件攻击未公开名字的美国天然气管道运营商。
为了排查问题并恢复运营,工作人员关闭了压缩设施两天,尽管勒索病毒仅直接锁定了一个控制设备的网络数据,但由于天然气传输对管道的依赖性,一个控制设备的停摆最终导致这家企业关闭运营持续了两天时间。而作为下游能源供应商,受天然气供应关闭影响的上游企业虽未公布,但波及范围可想而知。
2、澳大利亚一航运及物流公司持续遭受勒索软件攻击
2月,澳大利亚一航运及物流公司遭到勒索软件攻击,随后该公司便清理服务器,防止数据被盗。据悉,该公司四个月内已遭受二次勒索软件攻击。经调查发现,被攻击系统中存在Nefilim勒索软件(由Nemty演变而来的新一代勒索软件)。在盗走企业资料后,不法分子会以公布机密资料作为理由来勒索企业。
3、钢铁制造商遭受勒索软件攻击
3月,一家钢铁制造商在北美分支机构,包括加拿大和美国的钢铁生产厂均遭受了勒索软件Ryuk攻击,导致其在北美的分支机构瘫痪,大多数工厂都已停止生产。该公司是全球最大的跨国垂直整合炼钢和采矿公司之一,主要在俄罗斯运营,但在乌克兰、哈萨克斯坦、意大利、捷克共和国、美国、加拿大和南非也有业务。
4、以色列水利基础设施遭受重大网络攻击
4月,黑客攻击了以色列的水利设施。该国的废水处理厂、泵站、污水处理设施的SCADA系统多次遭受了网络攻击,以色列国家网络局发布公告称,各能源和水行业企业需要紧急更改所有联网系统的口令,以应对网络攻击的威胁。以色列计算机紧急响应团队(CERT)和以色列政府水利局也发布了类似的安全警告,水利局告知企业“重点更改运营系统和液氯控制设备”的口令,因为这两类系统遭受的攻击最多。
5、欧洲能源巨头遭勒索软件攻击
4月,葡萄牙一跨国能源公司遭到勒索软件攻击。攻击者声称,已获取该公司10TB的敏感数据文件,并且索要1580的比特币赎金(折合约1090万美元/990万欧元)。
6、伊朗霍尔木兹海峡的重要港口遭受网络攻击
5月9日,伊朗霍尔木兹海峡的重要港口沙希德·拉贾伊遭遇网络攻击。调节船只、卡车、货物流通的计算机系统一度崩溃,致使该港口水路和道路运行发生严重混乱。据《以色列时报》报道,5月9日通往沙希德·拉贾伊港的高速公路上出现了长达数公里的交通拥堵,甚至一连几天,大量船只仍无法入港进行卸载。
7、台湾两大炼油厂遭受勒索软件攻击
5月,台湾两大炼油厂在两天内都受到了网络攻击。一家公司首先受到攻击,而另一家在第二天也遭受攻击。尽管仍接受信用卡和现金,但客户无法在加油站使用VIP支付卡或电子支付应用程序。其中一家公司高管声称,破坏是由勒索软件引起的。
8、瑞士铁路机车制造商遭勒索攻击
5月,瑞士一铁路机车制造商对外披露,其近期遭受了网络攻击,攻击者设法渗透其IT网络,并用恶意软件感染了部分计算机,很可能已经窃取到部分数据。未知攻击者试图勒索该公司巨额赎金,否则将会公开所盗取的数据。
9、汽车制造商遭受勒索软件Snake攻击
6月7日,某汽车制造商位于美国、欧洲及日本分公司的服务器,遭勒索软件攻击。BBC的报道显示该公司过去48小时遭遇了极为惨烈的勒索软件攻击:勒索软件已经传播到其整个网络,影响了该公司的计算机服务器、电子邮件以及其他内网功能,目前企业正在努力将影响降到最低,并恢复生产、销售和开发活动的全部功能。
10、阿塞拜疆政府和能源部门遭受黑客攻击
思科Talos威胁情报和研究小组的报告显示,已经发现有针对阿塞拜疆能源领域的威胁攻击,特别是与风力涡轮机相关的SCADA系统。这些攻击针对的目标是阿塞拜疆政府和公用事业公司,恶意代码旨在感染广泛用于能源和制造业的监督控制和数据采集(SCADA)系统,在这些攻击中使用的新的基于Python的远程访问木马(RAT),称其为恶意软件PoetRAT。
思考及建议
2020年,热度飙升的勒索软件已经成为与
APT并列的最危险的网络安全威胁。针对性、复杂化和高伤害成本是2020年勒索软件加速“进化”的三大特征。勒索软件不仅数量增幅快,而且危害日益严重,特别是针对关键基础设施和重要信息系统的勒索攻击,影响更为广泛。被勒索机构既有巨额经济损失,又有数据无法恢复甚至被恶意泄露的风险,双重勒索的阴影挥之不去。勒索攻击的危害远不止赎金造成的经济损失,更严重的是会给企业和组织机构带来额外的复杂性,造成数据损毁或遗失、生产力破坏、正常业务中断、企业声誉损害等多方面的损失。比如3月初,美国精密零件制造商Visser Precision遭受勒索软件DoppelPayment攻击,攻击者入侵了Visser的电脑对其文件进行加密,并要求Visser在3月底支付赎金,否则将把机密文件内容公开到网络上。由于没有收到勒索款项,DoppelPaymer在网上公开了关于SpaceX、Lockheed-Martin、特斯拉、波音等公司的机密信息,被泄露的资讯包括Lockheed-Martin设计的军事装备的细节,比如反迫击炮防御系统中的天线规格、账单和付款表格、供应商资讯、数据分析报告以及法律文书等。此外,Visser与特斯拉SpaceX之间的保密协议也在泄露文件中。
毫无疑问,勒索软件攻击在今后很长一段时间内仍然是政府、企业、个人共同面对的主要安全威胁。勒索软件的攻击方式随着新技术的应用发展不断变化,有针对性的勒索软件事件给不同行业和地区的企业带来了破坏性攻击威胁,勒索攻击产业化、场景多样化、平台多元化的特征会更加突出。在工业企业场景中,勒索软件惯用的攻击向量主要是弱口令、被盗凭据、RDP服务、USB设备、钓鱼邮件等,有效防范勒索软件攻击,仍需要针对性做好基础防御工作,构建和扩张深度防御,从而保障企业数据安全,促进业务良性发展。
1、强化端点防护
及时加固终端、服务器,所有服务器、终端应强行实施复杂口令策略,杜绝弱口令;安装杀毒软件、终端安全管理软件并及时更新病毒库;及时安装漏洞补丁;服务器开启关键日志收集功能,为安全事件的追溯提供基础。
2、关闭不需要的端口和服务
严格控制端口管理,尽量关闭不必要的文件共享权限以及关闭不必要的端口(RDP服务的3389端口),同时使用适用的防恶意代码软件进行安全防护。
3、采用多因素认证
利用被盗的员工凭据来进入网络并分发勒索软件是一种常见的攻击方式。这些凭据通常是通过网络钓鱼收集的,或者是从过去的入侵活动中获取的。为了减少攻击的可能性,务必在所有技术解决方案中采用多因素身份验证(MFA)。
4、全面强化资产细粒度访问
增强资产可见性,细化资产访问控制。员工、合作伙伴和客户均遵循身份和访问管理为中心。合理划分安全域,采取必要的微隔离。落实好最小权限原则。
5、深入掌控威胁态势
持续加强威胁监测和检测能力,依托资产可见能力、威胁情报共享和态势感知能力,形成有效的威胁早发现、早隔离、早处置的机制。
6、制定业务连续性计划
强化业务数据备份,对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性;建立安全灾备预案。同时,做好备份系统与主系统的安全隔离,避免主系统和备份系统同时被攻击,影响业务连续性。业务连续性和灾难恢复(BCDR)解决方案应成为在发生攻击时维持运营的策略的一部分。
7、加强安全意识培训和教育
员工安全意识淡漠,是一个重要问题。必须经常提供网络安全培训,以确保员工可以发现并避免潜在的网络钓鱼电子邮件,这是勒索软件的主要入口之一。将该培训与网络钓鱼演练结合使用,以掌握员工的脆弱点。确定最脆弱的员工,并为他们提供更多的支持或安全措施,以降低风险。
8、定期检查
每三到六个月对网络卫生习惯、威胁状况、业务连续性计划以及关键资产访问日志进行一次审核。通过这些措施不断改善安全计划。及时了解风险,主动防御勒索软件攻击并减轻其影响。
此外,无论是企业还是个人受害者,都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。