最近,隨著金融犯罪分子的策略已從機會主義演變為勒索軟件攻擊策略,研究人員發現攻擊者在攻擊時的內部偵察的增加,使他們能夠瞄準對生產鏈至關重要的系統。因此,勒索軟件感染無論是影響企業網絡中的關鍵資產,還是影響OT網絡中的計算機,往往會導致同樣的結果,這些攻擊最終都會造成產品或服務供應不足或供應延遲。
要真正理解工業部門勒索軟件發送操作的獨特細微差別,需要結合IT和OT系統的技能和可視性來講解。使用收集的例子,研究人員將說明勒索軟件是如何破壞工業運營能力的?
傳統的勒索軟件攻擊方法主要依賴于一種叫做“shotgun”的方法,這種方法包括不加選擇地傳播惡意軟件,以加密來自各種受害者的文件和數據。攻擊者使用這種攻擊模式的攻擊者將向受害者平均勒索500至1000美元,并希望能從盡可能多的人那里得到付款。雖然采用這種方法的早期勒索軟件活動通常被認為超出了OT安全的范圍,但最近針對整個工業和關鍵基礎設施組織的活動已經轉向采用一種更復雜的勒索操作方法。
在勒索軟件安全完成后,攻擊者可能仍然經常依靠分布廣泛的惡意軟件來獲得對受害環境的初始訪問權限,但是一旦進入網絡,他們將專注于獲得特權訪問權限,以便他們能夠在部署勒索軟件之前探索目標網絡并確定關鍵網絡。另外,這種方法還使攻擊者可以禁用通常足以檢測已知勒索軟件指標或行為的安全過程。攻擊者投下的監測網可能會影響關鍵系統,從而給受害者造成最大的痛苦,進而擴大其后期行動的規模和效力。因此,他們在談判中處于更有利的地位,往往可以要求更高的贖金,這通常與受害者的支付能力和贖金本身的價值相稱。
不加區別的勒索軟件方法與掃描后開始進行的勒索軟件方法的比較
涉及機會性勒索軟件部署的歷史事件通常僅限于影響單個計算機,其中偶爾包括OT中間系統,這些系統可以通過互聯網訪問,分段不佳或暴露于受感染的便攜式媒體。在2017年,研究人員還觀察到諸如NotPetya和BadRabbit之類的活動,在這些活動中研究人員發現了具有蠕蟲功能的雨刷惡意軟件(wipermalware),通過偽裝,在成功安裝后,勒索軟件會開始進行攻擊操作。
當攻擊者針對特定行業或組織量身定制攻擊時,具有基礎設施性質的組織(例如,公用事業,醫院和工業制造)和被認為有能力支付贖金的公司(例如,收入更高的公司)成為主要目標。這意味著金融犯罪攻擊者將目標擴大到直接處理有市場價值的信息(如信用卡號碼或客戶數據)的行業,以方便變現。
由于攻擊者在進行內部偵察并在部署勒索軟件之前,已經橫向移動到目標網絡中,現在他們可以更好的在整個網絡中發起攻擊,從而對關鍵資產發起攻擊。
最重要的是,金融攻擊者過去經常使用的許多戰術、技術和程序(TTP)與過去OT安全事件的攻擊生命周期的初始和中間階段高技能攻擊者所采用的策略、技術和程序相似。因此,金融犯罪分子很可能能夠轉向OT中介系統并在其中間系統部署勒索軟件,以進一步破壞運營。
有組織的金融犯罪分子已經顯示出破壞OT資產的能力
攻擊者通過勒索軟件獲得經濟利益的能力取決于許多因素,其中之一就是破壞與受害組織的核心使命最相關的系統的能力。因此,研究人員可以期望成熟的攻擊者逐漸將其選擇范圍從IT和業務流程擴展到OT資產監視和控制物理流程。這在勒索軟件家族中表現得很明顯,例如SNAKEHOSE,其設計僅在停止一系列進程后才執行其有效載荷,比如包括來自通用電氣(GeneralElectric)和霍尼韋爾(Honeywell)等供應商的一些工業軟件。乍一看,SNAKEHOSE的攻擊列表似乎是專門為OT環境量身定制的,因為初始分類的自動化工具識別的進程相對較少(但與OT相關的進程數量較多)。然而,在手動從終止進程的函數中提取列表之后,我們確定SNAKEHOSE使用的終止列表實際上針對超過1000個進程。
實際上,研究人員觀察到SNAKEHOSE與其他勒索軟件家族(包括LockerGoga,MegaCortex和Maze)執行的進程終止列表非常相似。其實,這也不奇怪,在過去的兩年中,所有這些代碼家族都與影響工業組織的重大事件相關。研究人員確定的最早包含OT處理的列表是2019年1月與LockerGoga一起部署的批處理腳本。該列表與后來在MegaCortex事件中使用的批處理腳本非常相似,盡管有明顯的例外,例如與OT相關的流程出現明顯的錯字,在研究人員的SNAKEHOSE或MegaCortex樣本中不存在“proficyclient.exe4”。SNAKEHOSE和MegaCortex示例中沒有這種錯別字可能表明這些惡意軟件開發者在最初復制LockerGoga列表中的OT進程時已識別并糾正了該錯誤,或者LockerGoga開發者未能正確地結合某些理論上的進程常見的來源,如下所示。
使用LockerGoga(左)和SNAKEHOSE(右)部署的終止列表中的“proficyclient.exe”的拼寫
無論哪個勒索軟件家族首先在終止列表中使用了與OT相關的過程,還是由惡意軟件開發者獲得該列表的位置,該列表似乎在各個惡意軟件家族中普遍存在,這表明這個列表本身比任何實現它的惡意軟件家族更值得注意。盡管這些列表中標識的OT流程可能只是代表從目標環境自動收集流程的巧合輸出,而不是影響OT的有針對性的努力,但此列表的存在為金融犯罪分子提供了破壞OT系統的機會。此外,研究人員預計隨著出于財務動機的攻擊者繼續將工業組織作為攻擊對象,對OT更加熟悉并確定IT和OT系統之間的依存關系,他們將開發其他運行工業軟件產品和技術的系統和運行環境。
IT和OT系統中的勒索軟件部署已經影響了工業生產
由于攻擊者采取了提前掃描工業組織系統的策略,并且對工業部門目標的攻擊意識增強,因此無論惡意軟件是部署在IT還是OT中,勒索軟件事件都會影響工業生產。勒索軟件事件對公司網絡中服務器和計算機的數據進行加密,導致對由OT網絡監管的物理生產過程的直接或間接破壞。這導致了最終產品或服務的供應不足或延遲,這代表了長期的經濟損失,如失去商業機會、事件響應成本、監管罰款、聲譽損害,有時甚至支付了贖金。在某些部門,如公用事業和公共服務,它們一旦停止運轉,就會對社會生活產生重要影響。
勒索軟件使用IT網絡感染工業生產的最著名例子是NorskHydro公司2019年3月遭受的攻擊,挪威鋁業巨頭NorskHydro在2019年3月18日和19日的午夜左右發現了這次攻擊,研究表明攻擊者早在發現漏洞之前就可以訪問其系統。據報道,該攻擊涉及一個名為LockerGoga的較新的勒索軟件,該勒索軟件旨在對受感染計算機上的文件進行加密。該事件導致業務流程管理系統(BPMS)中斷,迫使多個站點關閉自動化操作。除此之外,勒索軟件還中斷了通常用于管理整個生產鏈中的資源的IT系統之間的通信。這些信息流(例如包含產品庫存)中斷,迫使該公司臨時關閉多個工廠并將挪威、卡塔爾和巴西等國家的工廠運營模式改為“可以使用的”手動運營模式,以繼續執行某些運營,比如讓員工手動處理6500多個庫存單位和4000個貨架。根據FireEye旗下的公司Mandiant對一個類似的案例的調查,在該案例中,TrickBot被用于在一家石油鉆機制造商處部署Ryuk勒索軟件。盡管感染僅發生在公司網絡上,但最大的業務影響是由OracleERP軟件的中斷引起的,該中斷使公司暫時脫機,并對生產產生負面影響。
當勒索軟件到達OT網絡中基于IT的資產時,例如人機界面(HMI),監督控制和數據采集(SCADA)軟件以及工程工作站,可能會產生類似的結果。大多數設備依賴于易受各種IT威脅影響的商品軟件和標準操作系統。MandiantIntelligence根據敏感消息源了解到至少有一次事件,該事件是由于大規模勒索軟件攻擊而導致工業設施停產。由于該設施的網絡分段不當,從而使惡意軟件從公司網絡傳播到OT網絡,在此OT服務器對服務器,HMI,工作站和備份進行加密。
如果要緩解勒索軟件的影響,需要在IT和OT上進行防御
研究人員鼓勵所有組織評估與勒索軟件攻擊有關的安全和工業風險。請注意,這些建議還有助于在面對其他對業務運營的威脅(例如加密采礦惡意軟件感染)時增強抵御能力。盡管每種情況都會有所不同,但研究人員重點介紹以下建議。
進行滲透測試,以評估你組織的當前安全狀況以及對勒索軟件威脅做出響應的能力。模擬攻擊場景(主要在非生產環境中)以了解事件響應團隊對實際事件的意識和響應能力。
審查運營、業務流程和工作流,以識別對于維持連續工業運營至關重要的資產。
通過基于網絡或基于主機的防火墻邏輯隔離主資產和冗余資產,并進行后續的資產加固,例如,禁用通常被勒索軟件用于其傳播的服務,如SMB、RDP和WMI。除了創建策略來禁用不必要的對等和遠程連接之外,我們還建議對可能承載這些服務和協議的所有系統進行常規審查。
建立嚴格的備份制度,應特別注意確保備份的安全性和完整性。另外,關鍵備份必須保持脫機狀態,或至少保持在隔離的網絡上。
根據恢復時間目標優化恢復計劃,在恢復期間引入所需的可選工作流程(包括手動流程),這對于關鍵資產有限或沒有冗余的組織尤其重要。當從備份中恢復時,加強恢復的資產和整個組織的基礎結構,以防止重復的勒索病毒感染和傳播。
建立對OT外圍保護設備的明確所有權和管理,以確保可以在企業范圍內進行緊急更改。在遏制攻擊時,必須保持有效的網絡分段。
