网安 - 专业的网络安全产业、社区、知识平台

勒索软件攻击对运营技术的影响越来越大

VSole2022-07-19 08:41:48

根据网络安全服务商Dragos公司的一项研究,针对运营技术的勒索软件攻击激增,证明此类威胁仅针对运营技术(就是直接监控和运行设备和流程的硬件和软件)是日常生活的关键部分。运营技术负责监控关键基础设施和制造运营,在公用事业公司、石油和天然气以及运输等行业组织的一系列关键任务领域中都可以看到运营技术的使用。

然而,此类基础设施最近由于受到勒索软件的攻击而成为头条新闻,著名的例子是肉类加工商JBS公司和燃料供应商Colonial Pipeline公司遭到的攻击事件。事实上,网络攻击者不再只是针对IT技术,还针对其流程背后的技术,造成广泛的破坏,以及财务和声誉损失。

根据Dragos公司进行的研究,欧洲的工业基础设施正因地缘政治或金融原因成为勒索软件攻击的目标。根据Dragos公司观察的特定行业,勒索软件攻击最常针对的行业是:

·制造业(61%);

·交通(15%);

·水(9%);

·能源(8%)。

考虑到这一点,以下探索勒索软件对运营技术的影响。

勒索软件对运营技术的影响

勒索软件威胁参与者总是在不断发展他们的策略、增加攻击次数、提高风险,并增加漏洞情报。由于基础设施运营的关键和敏感性质,受害者往往发现自己陷入了两难境地——是决定支付赎金(专家通常不建议)还是关闭业务或暂停关键供应。

根据Dragos公司的研究,对运营技术的影响体现在四个方面:

(1)先发制人地关闭操作以防止勒索软件传播到运营技术,从而保护技术免受长期损害(例如Colonial Pipeline公司遭到的勒索软件攻击)。

(2)由于网络扁平化和缺乏可见性,勒索软件快速传播。

(3)六种勒索病毒包含内置的运营技术进程攻击列表:Cl0p、 EKANS、LockerGog、Maze、MegaCortex、Netfilim.

(4)如果不支付赎金,仅针对企业IT的攻击可能导致运营技术文档泄露到地下论坛,进而对运营技术进行后续攻击。

主要勒索软件攻击团伙

Dragos公司在研究中发现了一些比较活跃的勒索软件攻击团伙,他们采用勒索软件破坏欧洲的工业基础设施。其中监控的一些最活跃的勒索软件攻击团伙包括:

·ALLANITE:ALLIANTE团伙的目标是英国和美国的电力企业和运营技术网络,以及德国的工业基础设施。该团伙不断查找运营技术环境中的漏洞。

·DYMALLOY:DYMALLOY团伙开展勒索软件攻击的受害者包括欧洲、北美和土耳其的电力、石油和天然气供应商。根据Dragos公司的调查,该团伙能够进行长期和持续的情报收集和未来的破坏事件。

·ELECTRUM:ELECTRUM团伙被发现是2016年乌克兰的一个变电站遭到CRASHOVERRIDE攻击事件的幕后黑手,它可以开发利用运营技术协议和通信来修改电气设备流程的恶意软件。

·MAGNALLUM:该团队首先出现沙特阿拉伯,主要攻击航空和石油和天然气公司。2020年,MAGNALLUM 将其勒索软件攻击扩展到欧洲和北美地区,重点关注半导体制造和政府​​机构。此处发现的恶意样本以超文本标记语言(HTML)的形式出现。

·PARASITE:该团伙针对航空航天、石油和天然气以及公用事业公司进行勒索软件攻击,使用开源工具针对VPN漏洞和破坏基础设施。根据Dragos公司的研究,PARASITE团伙自从2017年以来一直很活跃。

·XENOTIME:XENOTIME团队的攻击活动最初从中东地区开始,2018年开始扩展到欧洲,其目标是石油和天然气公司。Dragos公司认为,该集团有能力攻击北海的石油和天然气业务。

展望未来,Dragos公司将继续密切关注这些团体的活动,这些团体将继续发展以规避安全措施

保护运营技术免受勒索软件攻击

为了保护运营技术免受勒索软件攻击,Dragos公司建议对初始入侵防御、网络访问防御和基于主机的防御采取适当的措施。在保持警惕的同时,将这些方面考虑在内的战略对于防范勒索软件威胁行为者至关重要。

(1)初始入侵

为了防止对网络的初始入侵,企业必须始终如一地发现和修复关键漏洞和已知漏洞,同时监控网络是否有攻击企图。此外,尽可能使设备保持最新状态。

VPN尤其需要网络安全人员的密切关注;必须创建新的VPN密钥和证书,并启用通过VPN进行的活动日志记录。通过VPN访问运营技术环境需要架构审查、多因素身份验证(MFA)和跳转主机。

此外,用户应该只阅读纯文本的电子邮件,而不是呈现HTML,并禁用Microsoft Office宏。

(2)网络访问

对于来自威胁参与者的网络访问尝试,企业应该对涉及运营技术的路由协议进行架构审查,并监控开源工具的使用。

企业应实施多因素身份认证(MFA)以访问运营技术系统以及用于威胁和通信识别和跟踪的情报源。

(3)基于主机的威胁

对于基于主机的勒索软件威胁,应该监控可能的恶意Power Shell、WMI和Python活动,以及导致PowerShell执行的恶意HTA有效负载。

企业的网络安全团队还应密切关注可能使用的凭据窃取工具,系统工具的异常枚举和使用,以及主机上的新服务和计划任务。

网络安全勒索
本作品采用《CC 协议》,转载必须注明作者和本文链接
Fortinet发布《2021勒索软件调查报告》
2022-01-02 04:22:18
报告显示,2021上半年全球威胁态势保持严峻,94%的受访者担心遭受勒索软件攻击的威胁。
黑客勒索网络安全公司 Dragos 失败,反被禁!
2023-05-11 14:38:11
国土安全部前助理部长布莱恩·哈雷尔对此事高度评价。
网络安全” 杀手 “勒索组织是如何选择” 猎物 “的?
2021-05-26 16:45:02
“虽然每周都有一个新组织面临勒索软件攻击,但在新闻中看到的事件只是受害者中的一小部分。“网络安全研究工作人员称。2021年1月1日至4月31日期间,6个勒索软件组织就危害了292个组织,保守估计至少勒索获利4500万美元。 这个网络安全团队研究了Ryuk / Conti,Sodin / REvil,CLOP和DoppelPaymer勒索软件组织,以及DarkSide和Avaddon中两个新兴但值得
2022年网络安全预测:勒索软件将蔓延到物联网
2021-11-16 10:09:43
RSA大会的内容策划Kacy Zurkus基于大会专家委员会的思考,发布了2022年网络安全预测,内容涵盖供应链安全、勒索软件、安全人员供给等。
四种主流勒索软件占据勒索事件的70%
2022-03-21 22:06:46
无论哪种勒索软件都能造成麻烦,但某些勒索软件显然抢钱功力更为深厚,其中四种就占了所有攻击的近70%。 根据网络安全公司Intel 471的分析,到2021年底,最常见的勒索软件威胁是LockBit 2.0,占所有报告事件的29.7%。最近埃森哲和法国司法部都沦为了LockBit的受害者。 报告事件中近五分之一涉及Conti勒索软件,其中包括去年发生的几起重大事件,比如爱尔兰健康服务管理署
2023年企业将会面临的五大网络安全风险
2023-01-03 16:22:15
API安全性包括防止网络攻击者利用和滥用API的实践和技术。API攻击的类型包括:注入攻击:这种类型的攻击发生在API没有正确验证其输入时,并允许攻击者提交恶意代码作为API请求的一部分。大多数类型的注入攻击,传统上针对网站和数据库,也可以用于API。如果API不正确地处理数据,如果它很容易被欺骗向未经授权的用户提供数据,并且如果攻击者设法破坏API服务器,则数据可能会被破坏。
2022年网络安全趋势甲方观点调研报告
2021-11-30 07:16:25
行业内首次基于甲方用户评价的网络安全市场趋势调研,GoUpSec对网络安全企业的口碑、2022年安全威胁、安全需求和安全预算调研了一百多家行业企业用户的CISO/CSO,期望能为我国网络安全产业提供一些有价值的参考。
关键基础设施安全资讯周报20220523期
2022-05-23 13:18:26
技术标准规范 硬件安全,科技强“芯” | “纳米级芯片硬件综合安全评估关键技术研究”项目启动会线上召开 行业发展动态 继美国之后,欧盟推出关键领域网络安全新立法 加拿大空军关键供应商遭勒索攻击,疑泄露44GB内部数据 链家IT管理员删除数据库,被判7年有期徒刑 这个医生不简单!!美司法部指控委内瑞拉55岁心脏病专家开发、使用、销售“Thanos”勒索软件 亲俄黑客攻击意大利政府网站
如何在网络攻击发生前保护关键基础设施
2023-05-24 08:42:33
勒索软件攻击使美国Colonial Pipeline输油管道输送中断了几天的时间。这一攻击事件是美国历史上针对关键基础设施的规模最大一次的攻击,影响了美国东海岸将近一半的燃料供应,包括汽油、航空燃料和家庭取暖油的成品油。他们受到勒索软件攻击的成功率不仅高于平均水平,而且,这些关键的基础设施也最有可能受到多重攻击的影响。
如果你阅读网络安全文章,这个勒索软件将免费解锁你的文件
2022-08-04 23:53:18
库洛娃勒索软件是由安全研究员迈克尔·吉莱斯皮发现的,它没有经过专业编码,似乎正在开发中。一旦感染,库洛娃会对受害者的文件进行加密,然后显示一个警告屏幕,其中的文本告诉受害者在获得勒索软件解密密钥之前打开并阅读两篇文章。虽然勒索软件攻击背后的动机不是伤害人,但在许多国家,此类行为被认为是非法的。1月1日,一项新法律在加利福尼亚州生效,禁止使用勒索软件。
VSole
网络安全专家