勒索软件攻击对运营技术的影响越来越大

​根据网络安全服务商Dragos公司的一项研究，针对运营技术的勒索软件攻击激增，证明此类威胁仅针对运营技术(就是直接监控和运行设备和流程的硬件和软件)是日常生活的关键部分。运营技术负责监控关键基础设施和制造运营，在公用事业公司、石油和天然气以及运输等行业组织的一系列关键任务领域中都可以看到运营技术的使用。

然而，此类基础设施最近由于受到勒索软件的攻击而成为头条新闻，著名的例子是肉类加工商JBS公司和燃料供应商Colonial Pipeline公司遭到的攻击事件。事实上，网络攻击者不再只是针对IT技术，还针对其流程背后的技术，造成广泛的破坏，以及财务和声誉损失。

根据Dragos公司进行的研究，欧洲的工业基础设施正因地缘政治或金融原因成为勒索软件攻击的目标。根据Dragos公司观察的特定行业，勒索软件攻击最常针对的行业是：

• 制造业(61%);
• 交通(15%);
• 水(9%);
• 能源(8%)。

考虑到这一点，以下探索勒索软件对运营技术的影响。

勒索软件对运营技术的影响

勒索软件威胁参与者总是在不断发展他们的策略、增加攻击次数、提高风险，并增加漏洞情报。由于基础设施运营的关键和敏感性质，受害者往往发现自己陷入了两难境地——是决定支付赎金(专家通常不建议)还是关闭业务或暂停关键供应。

根据Dragos公司的研究，对运营技术的影响体现在四个方面：

• 先发制人地关闭操作以防止勒索软件传播到运营技术，从而保护技术免受长期损害(例如Colonial Pipeline公司遭到的勒索软件攻击)。
• 由于网络扁平化和缺乏可见性，勒索软件快速传播。
• 六种勒索病毒包含内置的运营技术进程攻击列表：Cl0p、 EKANS、LockerGog、Maze、MegaCortex、Netfilim.
• 如果不支付赎金，仅针对企业IT的攻击可能导致运营技术文档泄露到地下论坛，进而对运营技术进行后续攻击。

主要勒索软件攻击团伙

Dragos公司在研究中发现了一些比较活跃的勒索软件攻击团伙，他们采用勒索软件破坏欧洲的工业基础设施。其中监控的一些最活跃的勒索软件攻击团伙包括：

• ALLANITE：ALLIANTE团伙的目标是英国和美国的电力企业和运营技术网络，以及德国的工业基础设施。该团伙不断查找运营技术环境中的漏洞。
• DYMALLOY：DYMALLOY团伙开展勒索软件攻击的受害者包括欧洲、北美和土耳其的电力、石油和天然气供应商。根据Dragos公司的调查，该团伙能够进行长期和持续的情报收集和未来的破坏事件。
• ELECTRUM：ELECTRUM团伙被发现是2016年乌克兰的一个变电站遭到CRASHOVERRIDE攻击事件的幕后黑手，它可以开发利用运营技术协议和通信来修改电气设备流程的恶意软件。
• MAGNALLUM：该团队首先出现沙特阿拉伯，主要攻击航空和石油和天然气公司。2020年，MAGNALLUM 将其勒索软件攻击扩展到欧洲和北美地区，重点关注半导体制造和政府机构。此处发现的恶意样本以超文本标记语言(HTML)的形式出现。
• PARASITE：该团伙针对航空航天、石油和天然气以及公用事业公司进行勒索软件攻击，使用开源工具针对VPN漏洞和破坏基础设施。根据Dragos公司的研究，PARASITE团伙自从2017年以来一直很活跃。
• XENOTIME：XENOTIME团队的攻击活动最初从中东地区开始，2018年开始扩展到欧洲，其目标是石油和天然气公司。Dragos公司认为，该集团有能力攻击北海的石油和天然气业务。

展望未来，Dragos公司将继续密切关注这些团体的活动，这些团体将继续发展以规避安全措施。

保护运营技术免受勒索软件攻击

为了保护运营技术免受勒索软件攻击，Dragos公司建议对初始入侵防御、网络访问防御和基于主机的防御采取适当的措施。在保持警惕的同时，将这些方面考虑在内的战略对于防范勒索软件威胁行为者至关重要。

(1) 初始入侵

为了防止对网络的初始入侵，企业必须始终如一地发现和修复关键漏洞和已知漏洞，同时监控网络是否有攻击企图。此外，尽可能使设备保持最新状态。

VPN尤其需要网络安全人员的密切关注;必须创建新的VPN密钥和证书，并启用通过VPN进行的活动日志记录。通过VPN访问运营技术环境需要架构审查、多因素身份验证(MFA)和跳转主机。

此外，用户应该只阅读纯文本的电子邮件，而不是呈现HTML，并禁用Microsoft Office宏。

(2) 网络访问

对于来自威胁参与者的网络访问尝试，企业应该对涉及运营技术的路由协议进行架构审查，并监控开源工具的使用。

企业应实施多因素身份认证(MFA)以访问运营技术系统以及用于威胁和通信识别和跟踪的情报源。

(3) 基于主机的威胁

对于基于主机的勒索软件威胁，应该监控可能的恶意Power Shell、WMI和Python活动，以及导致PowerShell执行的恶意HTA有效负载。

企业的网络安全团队还应密切关注可能使用的凭据窃取工具，系统工具的异常枚举和使用，以及主机上的新服务和计划任务。