针对能源行业的勒索软件攻击呈上升趋势——核能和石油天然气是2024年的主要目标
Resecurity已经确定了针对能源部门的勒索软件运营商的惊人增长,包括核设施和相关研究实体。在过去的一年中,勒索软件攻击者瞄准了北美、亚洲和欧盟的能源设施。在欧盟,德国商报(Handelsblatt)报告称,2022年针对能源行业的勒索软件攻击比前一年增加了一倍多,截至去年10月,防御者记录了21次攻击。
在2021年殖民地管道勒索软件攻击后的短暂行业“停火”后,网络犯罪分子再次瞄准能源行业目标。威胁者认为,扣押这些公司处理的价值较高的关键基础设施(CI)资产将在赎金谈判中产生更丰厚的回报。使能源公司更容易受到勒索软件攻击的因素包括融合IT和运营技术(OT)网络的复杂性、第三方风险和历史地缘政治碎片。
在乌克兰和加沙冲突的背景下,Resecurity还观察到国家支持的间谍活动伪装成经济动机的勒索软件攻击的可疑案件。虽然以色列实体尚未报告任何有意义的勒索软件攻击,但10月份加沙爆发的战争导致针对以色列能源设施的威胁行为体活动同时增加。这些活动包括以宣传为导向的黑客活动,以及微软威胁研究人员最初标记的Storm-1133等更严重的威胁行为者。
Resecurity的研究更深入地研究了国土安全部在其最近发布的情报企业国土威胁评估中引用的独特勒索软件趋势。“在2020年1月至2022年12月期间,美国已知的勒索软件攻击数量增加了47%,”根据国土安全部的报告。该机构还指出,“在2023年上半年,勒索软件攻击者在全球范围内勒索了至少4.491亿美元,预计这将是他们第二个最赚钱的一年。”
在MOVEit Transfer供应链勒索活动之后,到目前为止已经有超过2180名受害者,2023年实际上可能会被载入史册,成为勒索软件演员有史以来最赚钱的一年。根据美国国土安全部的报告,推动勒索软件行业增加投资回报率的更广泛的趋势是“大猎物狩猎”的回归,或针对大型组织。勒索软件参与者在他们的大游戏中部署的新兴战术,勒索"狩猎"包括间歇性加密,使用更现代化的专业编程语言,以及涉及多个变体的双重勒索软件攻击。
根据联邦调查局的说法,这些双重变体的活动通常会在48小时内对攻击进行排序。正如Cl0p在他们的MOVEit活动中所展示的那样,人们也越来越担心攻击者可能完全避开内部开发的加密锁,而倾向于更有效的数据窃取方案。通过快速获取和泄露数据,勒索软件参与者可以更迅速地进入攻击周期的勒索阶段。根据美国国土安全部的报告,关于前两个新兴的勒索软件战术,间歇性加密使威胁行为者能够“更快地加密系统,减少被检测到的机会”。
美国国土安全部的报告指出,上述技术所提供的增强的效率和规避性是卖点,可以帮助网络勒索团伙“吸引子公司加入他们的勒索软件即服务操作”。该报告还说,下一代编程语言,如Rust和Golang,例如,可以提高威胁行为者的能力,以“适应和个性化的攻击。”
总体而言,能源行业是去年第四大目标行业,占所有网络攻击的10.7%。美国国土安全部的报告警告说,“国家和非国家网络行为者继续寻求机会进入关键基础设施部门的目标,进行破坏性和毁灭性的攻击。”此外,“自俄乌冲突开始以来,针对美国的恶意网络活动有所增加,”国土安全部的报告指出。
