根據(jù)美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)的說法，“關(guān)鍵基礎(chǔ)設(shè)施”是對(duì)經(jīng)濟(jì)運(yùn)行、公共衛(wèi)生和國(guó)家安全至關(guān)重要的“資產(chǎn)、系統(tǒng)和網(wǎng)絡(luò)”，影響關(guān)鍵基礎(chǔ)設(shè)施的攻擊可能會(huì)對(duì)國(guó)家的運(yùn)作能力造成“破壞性影響”。

 

　　CISA表示，關(guān)鍵基礎(chǔ)設(shè)施分布在16個(gè)行業(yè)，即:化工、商業(yè)設(shè)施、通信、關(guān)鍵制造業(yè)、國(guó)防、教育、應(yīng)急服務(wù)、能源、金融服務(wù)、食品和農(nóng)業(yè)、政府設(shè)施、醫(yī)療保健、信息技術(shù)、核能、運(yùn)輸和供水系統(tǒng)。可以看到這是一個(gè)相當(dāng)大的攻擊面，而這些部門中的許多組織都是由公共資金資助的，往往既缺乏預(yù)算，又缺乏大型、資源充足的私營(yíng)企業(yè)的專業(yè)知識(shí)，這使得防御更加脆弱。自2018年以來，針對(duì)醫(yī)院、學(xué)校和亞特蘭大、格林維爾等城市，巴爾的摩和里維埃拉比奇市議會(huì)的一系列勒索軟件攻擊便是其中一些比較引人注目的案例。

 

 

　　在過去兩年中，對(duì)關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊急劇上升，并且所有跡象表明，隨著勒索軟件工具和RaaS產(chǎn)品變得越來越多并且攻擊者的技術(shù)門檻越來越低，將來的攻擊頻率還會(huì)更高。

 

　　坦普爾大學(xué)(TempleUniversity)整理的公開數(shù)據(jù)顯示，在過去7年里，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊次數(shù)達(dá)到了近700次，平均下來每年不到100起，但事實(shí)上，其中超過一半是在2019年以后發(fā)生的。在不到兩年的時(shí)間里(差四個(gè)月的數(shù)據(jù)要收集到2020年)，440次攻擊相當(dāng)于每周發(fā)生了約5次對(duì)關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊。

 

　　攻擊涉及所有CI部門，從糧食、農(nóng)業(yè)到制造業(yè)、公共衛(wèi)生甚至教育行業(yè)。國(guó)防部門也被列為攻擊目標(biāo)，恐怖的是核工業(yè)也被列為攻擊目標(biāo)。

 

　　近年來針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊大多針對(duì)的是政府運(yùn)營(yíng)的設(shè)施，據(jù)報(bào)道有199起勒索軟件攻擊。對(duì)教育行業(yè)的攻擊數(shù)量緊隨其后，有106起，另外針對(duì)緊急服務(wù)的勒索軟件事件就有61起。

 

 

　　隨著在暗網(wǎng)上出售的Netwalker等現(xiàn)成的勒索軟件工具的普及，對(duì)關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)的攻擊變得越來越頻繁。NetWalker作為一個(gè)勒索軟件，最早出現(xiàn)在2019年8月。在最初的版本中，該勒索軟件的名稱為Mailto，但在2019年年底重新命名為NetWalker。NetWalker的開發(fā)者似乎更青睞于能夠通過網(wǎng)絡(luò)攻擊，對(duì)RDP服務(wù)器、網(wǎng)絡(luò)設(shè)備、VPN服務(wù)器、防火墻等執(zhí)行入侵的關(guān)聯(lián)公司。值得注意的是，NetWalker的作者化名為Bugatti，只對(duì)雇傭說俄語的二級(jí)幫派感興趣。McAfee專家表示，從歷史上看，NetWalker通過利用OracleWebLogic和ApacheTomcat服務(wù)器中的漏洞，通過RDP端點(diǎn)以薄弱的憑證進(jìn)入網(wǎng)絡(luò)，或者通過對(duì)重要公司的工作人員進(jìn)行魚叉式釣魚來進(jìn)行入侵。安全公司McAfee在8月份發(fā)布的一份報(bào)告中表示，NetWalker勒索軟件的運(yùn)營(yíng)者自今年3月以來已經(jīng)賺取了超過2500萬美元的贖金。不過依靠勒索軟件獲利最多的還是Maze，它在過去12個(gè)月左右的時(shí)間里一直四處傳播，不僅獲取加密數(shù)據(jù)，更是以泄漏這些數(shù)據(jù)為要挾的手段。這一勒索策略已經(jīng)被REvil、Snatch、Netwalker、DoppelPaymer、Nemty和其他勒索軟件運(yùn)營(yíng)商所采用。截止目前Maze至少發(fā)起過57次針對(duì)關(guān)鍵基礎(chǔ)設(shè)施事件的攻擊，除了Maze，Wannacry發(fā)起的“15minutesoffame”攻擊導(dǎo)致它在16個(gè)重要行業(yè)中對(duì)企業(yè)造成了約33起攻。除上述勒索軟件外，還有Ryuk等也針對(duì)關(guān)鍵基礎(chǔ)設(shè)施發(fā)起了多次攻擊。比如DoppelPaymer(12次)，Netwalker(11次)，BitPaymer(8次)，CryptoLocker(7次)和CryptoWall(5次)。

 

 

　　與APT和有國(guó)家支撐的攻擊組織可能會(huì)尋求侵入關(guān)鍵基礎(chǔ)設(shè)施發(fā)起間諜或破壞活動(dòng)的不同，使用勒索軟件的一般攻擊者通常只會(huì)對(duì)一件事感興趣：財(cái)務(wù)收益。為此，記錄在案的13起案件要求的贖金總額超過500萬美元，另有13起的贖金金額在100萬至500萬美元之間。大約31起勒索軟件事件要求的贖金金額為100萬美元，而66起勒索軟件事件的贖金金額為5萬美元以下。

 

　　如上所述，勒索軟件的普及程度與其較低的技術(shù)門檻相關(guān)，這也是很過所謂的新攻擊形式發(fā)生的原因。統(tǒng)計(jì)數(shù)據(jù)表明，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)的54個(gè)勒索軟件攻擊所需的費(fèi)用僅僅為1000美元或更少。這些行動(dòng)者很可能采取了“shotgun”或“scattergun”的方法來攻擊目標(biāo)，并且沒有完全意識(shí)到他們所破壞的組織的性質(zhì)。此外，一些RaaS工具對(duì)首次購(gòu)買者和“試用”該軟件的新手設(shè)定了相當(dāng)?shù)偷内H金限制，以誘使這些新手在嘗到成功的甜頭后繼續(xù)購(gòu)買“高級(jí)服務(wù)”。以NetWalker為例，該勒索軟件以封閉訪問的RaaS(勒索軟件即服務(wù))門戶的形式運(yùn)行。其他黑客團(tuán)伙注冊(cè)并通過審查，之后他們被授予訪問一個(gè)門戶網(wǎng)站的權(quán)限，在那里他們可以構(gòu)建定制版本的勒索軟件。而NetWalker如此受歡迎的原因之一，也是因?yàn)樗?quot;泄密門戶"，該團(tuán)伙在網(wǎng)站上公布拒絕支付其贖金要求的受害者的姓名，并且發(fā)布數(shù)據(jù)。一旦NetWalker聯(lián)盟入侵網(wǎng)絡(luò)，他們首先會(huì)竊取公司的敏感數(shù)據(jù)，然后對(duì)文件進(jìn)行加密。如果受害者在最初的談判中拒絕支付解密文件的費(fèi)用，勒索軟件團(tuán)伙就會(huì)在他們的泄密網(wǎng)站上創(chuàng)建一個(gè)條目。該條目有一個(gè)計(jì)時(shí)器，如果受害者仍然拒絕支付，該團(tuán)伙就會(huì)泄公布他們從受害者網(wǎng)絡(luò)中竊取的文件。

 

 

　　由于現(xiàn)代勒索軟件攻擊的本質(zhì)是竊取數(shù)據(jù)并加密文件，因此，勒索軟件防御的關(guān)鍵是預(yù)防。換句話說，就是防止攻擊者進(jìn)入，并在攻擊生命周期中盡早發(fā)現(xiàn)并阻止它們。

 

　　首先，防護(hù)者需要了解你的網(wǎng)絡(luò)，連接了哪些設(shè)備，它們的作用是什么?通過主動(dòng)和被動(dòng)進(jìn)行的發(fā)現(xiàn)和指紋識(shí)別是防御攻擊者的先決條件。通過頻繁的修補(bǔ)程序來控制訪問，強(qiáng)化配置并減少漏洞也很重要。加強(qiáng)VPN連接、強(qiáng)制磁盤加密和端口控制也將減少勒索軟件的攻擊面。

 

　　其次電子郵件和網(wǎng)絡(luò)釣魚仍然是勒索軟件的主要傳播媒介，所以一個(gè)良好的和頻繁的模擬訓(xùn)練計(jì)劃是重要的。最重要的是，設(shè)置員工的訪問權(quán)限，確保即使用戶受到攻擊，他們也只能訪問其工作所需的服務(wù)和資源。

 

　　以上都是可以阻止攻擊的修補(bǔ)性措施，但是針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊者將找到解決這些防護(hù)措施的方法。因此，使用一種行之有效的EDR解決方案，才是最終解決方案。

 

　　本文翻譯自：https://www.sentinelone.com/blog/how-ransomware-attacks-are-threatening-our-critical-infrastructure/如若轉(zhuǎn)載，請(qǐng)注明原文地址。