至少從2017年開始，對影響工業(yè)生產(chǎn)和關(guān)鍵基礎(chǔ)設(shè)施組織的勒索軟件事件的公開披露大幅增加。知名的勒索軟件家族，有WannaCry、LockerGoga、MegaCortex、Ryuk、Maze，以及現(xiàn)在的SNAKEHOSE(也稱為Snake / Ekans)，已經(jīng)讓工業(yè)生產(chǎn)行業(yè)的受害者付出了數(shù)百萬美元的贖金和各種成本，這些攻擊還對使各組織能夠生產(chǎn)和提供貨物和服務(wù)的物理過程造成重大中斷和延誤。

最近，隨著金融犯罪分子的策略已從機會主義演變?yōu)槔账鬈浖舨呗?，研究人員發(fā)現(xiàn)攻擊者在攻擊時的內(nèi)部偵察的增加，使他們能夠瞄準(zhǔn)對生產(chǎn)鏈至關(guān)重要的系統(tǒng)。因此，勒索軟件感染無論是影響企業(yè)網(wǎng)絡(luò)中的關(guān)鍵資產(chǎn)，還是影響OT網(wǎng)絡(luò)中的計算機，往往會導(dǎo)致同樣的結(jié)果，這些攻擊最終都會造成產(chǎn)品或服務(wù)供應(yīng)不足或供應(yīng)延遲。

要真正理解工業(yè)部門勒索軟件發(fā)送操作的獨特細微差別，需要結(jié)合IT和OT系統(tǒng)的技能和可視性來講解。使用收集的例子，研究人員將說明勒索軟件是如何破壞工業(yè)運營能力的?

傳統(tǒng)的勒索軟件攻擊方法主要依賴于一種 叫做“shotgun” 的方法，這種方法包括不加選擇地傳播惡意軟件，以加密來自各種受害者的文件和數(shù)據(jù)。攻擊者使用這種攻擊模式的攻擊者將向受害者平均勒索500至1000美元，并希望能從盡可能多的人那里得到付款。雖然采用這種方法的早期勒索軟件活動通常被認(rèn)為超出了OT安全的范圍，但最近針對整個工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施組織的活動已經(jīng)轉(zhuǎn)向采用一種更復(fù)雜的勒索操作方法。

在勒索軟件安全完成后，攻擊者可能仍然經(jīng)常依靠分布廣泛的惡意軟件來獲得對受害環(huán)境的初始訪問權(quán)限，但是一旦進入網(wǎng)絡(luò)，他們將專注于獲得特權(quán)訪問權(quán)限，以便他們能夠在部署勒索軟件之前探索目標(biāo)網(wǎng)絡(luò)并確定關(guān)鍵網(wǎng)絡(luò)。另外，這種方法還使攻擊者可以禁用通常足以檢測已知勒索軟件指標(biāo)或行為的安全過程。攻擊者投下的監(jiān)測網(wǎng)可能會影響關(guān)鍵系統(tǒng)，從而給受害者造成最大的痛苦，進而擴大其后期行動的規(guī)模和效力。因此，他們在談判中處于更有利的地位，往往可以要求更高的贖金，這通常與受害者的支付能力和贖金本身的價值相稱。

不加區(qū)別的勒索軟件方法與掃描后開始進行的勒索軟件方法的比較

涉及機會性勒索軟件部署的歷史事件通常僅限于影響單個計算機，其中偶爾包括OT中間系統(tǒng)，這些系統(tǒng)可以通過互聯(lián)網(wǎng)訪問，分段不佳或暴露于受感染的便攜式媒體。在2017年，研究人員還觀察到諸如NotPetya和BadRabbit之類的活動，在這些活動中研究人員發(fā)現(xiàn)了具有蠕蟲功能的雨刷惡意軟件(wiper malware)，通過偽裝，在成功安裝后，勒索軟件會開始進行攻擊操作。

當(dāng)攻擊者針對特定行業(yè)或組織量身定制攻擊時，具有基礎(chǔ)設(shè)施性質(zhì)的組織(例如，公用事業(yè)，醫(yī)院和工業(yè)制造)和被認(rèn)為有能力支付贖金的公司(例如，收入更高的公司)成為主要目標(biāo)。這意味著金融犯罪攻擊者將目標(biāo)擴大到直接處理有市場價值的信息(如信用卡號碼或客戶數(shù)據(jù))的行業(yè)，以方便變現(xiàn)。

由于攻擊者在進行內(nèi)部偵察并在部署勒索軟件之前，已經(jīng)橫向移動到目標(biāo)網(wǎng)絡(luò)中，現(xiàn)在他們可以更好的在整個網(wǎng)絡(luò)中發(fā)起攻擊，從而對關(guān)鍵資產(chǎn)發(fā)起攻擊。

最重要的是，金融攻擊者過去經(jīng)常使用的許多戰(zhàn)術(shù)、技術(shù)和程序(TTP)與過去OT安全事件的攻擊生命周期的初始和中間階段高技能攻擊者所采用的策略、技術(shù)和程序相似。因此，金融犯罪分子很可能能夠轉(zhuǎn)向OT中介系統(tǒng)并在其中間系統(tǒng)部署勒索軟件，以進一步破壞運營。

有組織的金融犯罪分子已經(jīng)顯示出破壞OT資產(chǎn)的能力

攻擊者通過勒索軟件獲得經(jīng)濟利益的能力取決于許多因素，其中之一就是破壞與受害組織的核心使命最相關(guān)的系統(tǒng)的能力。因此，研究人員可以期望成熟的攻擊者逐漸將其選擇范圍從IT和業(yè)務(wù)流程擴展到OT資產(chǎn)監(jiān)視和控制物理流程。這在勒索軟件家族中表現(xiàn)得很明顯，例如SNAKEHOSE，其設(shè)計僅在停止一系列進程后才執(zhí)行其有效載荷，比如包括來自通用電氣(General Electric)和霍尼韋爾(Honeywell)等供應(yīng)商的一些工業(yè)軟件。乍一看，SNAKEHOSE的攻擊列表似乎是專門為OT環(huán)境量身定制的，因為初始分類的自動化工具識別的進程相對較少(但與OT相關(guān)的進程數(shù)量較多)。然而，在手動從終止進程的函數(shù)中提取列表之后，我們確定SNAKEHOSE使用的終止列表實際上針對超過1000個進程。

實際上，研究人員觀察到SNAKEHOSE與其他勒索軟件家族(包括LockerGoga，MegaCortex和Maze)執(zhí)行的進程終止列表非常相似。其實，這也不奇怪，在過去的兩年中，所有這些代碼家族都與影響工業(yè)組織的重大事件相關(guān)。研究人員確定的最早包含OT處理的列表是2019年1月與LockerGoga一起部署的批處理腳本。該列表與后來在MegaCortex事件中使用的批處理腳本非常相似，盡管有明顯的例外，例如與OT相關(guān)的流程出現(xiàn)明顯的錯字，在研究人員的SNAKEHOSE或MegaCortex樣本中不存在“proficyclient.exe4”。 SNAKEHOSE和MegaCortex示例中沒有這種錯別字可能表明這些惡意軟件開發(fā)者在最初復(fù)制LockerGoga列表中的OT進程時已識別并糾正了該錯誤，或者LockerGoga開發(fā)者未能正確地結(jié)合某些理論上的進程常見的來源，如下所示。

使用LockerGoga(左)和SNAKEHOSE(右)部署的終止列表中的“proficyclient.exe”的拼寫

無論哪個勒索軟件家族首先在終止列表中使用了與OT相關(guān)的過程，還是由惡意軟件開發(fā)者獲得該列表的位置，該列表似乎在各個惡意軟件家族中普遍存在，這表明這個列表本身比任何實現(xiàn)它的惡意軟件家族更值得注意。盡管這些列表中標(biāo)識的OT流程可能只是代表從目標(biāo)環(huán)境自動收集流程的巧合輸出，而不是影響OT的有針對性的努力，但此列表的存在為金融犯罪分子提供了破壞OT系統(tǒng)的機會。此外，研究人員預(yù)計隨著出于財務(wù)動機的攻擊者繼續(xù)將工業(yè)組織作為攻擊對象，對OT更加熟悉并確定IT和OT系統(tǒng)之間的依存關(guān)系，他們將開發(fā)其他運行工業(yè)軟件產(chǎn)品和技術(shù)的系統(tǒng)和運行環(huán)境。

IT和OT系統(tǒng)中的勒索軟件部署已經(jīng)影響了工業(yè)生產(chǎn)

由于攻擊者采取了提前掃描工業(yè)組織系統(tǒng)的策略，并且對工業(yè)部門目標(biāo)的攻擊意識增強，因此無論惡意軟件是部署在IT還是OT中，勒索軟件事件都會影響工業(yè)生產(chǎn)。勒索軟件事件對公司網(wǎng)絡(luò)中服務(wù)器和計算機的數(shù)據(jù)進行加密，導(dǎo)致對由OT網(wǎng)絡(luò)監(jiān)管的物理生產(chǎn)過程的直接或間接破壞。這導(dǎo)致了最終產(chǎn)品或服務(wù)的供應(yīng)不足或延遲，這代表了長期的經(jīng)濟損失，如失去商業(yè)機會、事件響應(yīng)成本、監(jiān)管罰款、聲譽損害，有時甚至支付了贖金。在某些部門，如公用事業(yè)和公共服務(wù)，它們一旦停止運轉(zhuǎn)，就會對社會生活產(chǎn)生重要影響。

勒索軟件使用IT網(wǎng)絡(luò)感染工業(yè)生產(chǎn)的最著名例子是Norsk Hydro公司 2019年3月遭受的攻擊，挪威鋁業(yè)巨頭Norsk Hydro在2019年3月18日和19日的午夜左右發(fā)現(xiàn)了這次攻擊，研究表明攻擊者早在發(fā)現(xiàn)漏洞之前就可以訪問其系統(tǒng)。據(jù)報道，該攻擊涉及一個名為LockerGoga的較新的勒索軟件，該勒索軟件旨在對受感染計算機上的文件進行加密。該事件導(dǎo)致業(yè)務(wù)流程管理系統(tǒng)(BPMS)中斷，迫使多個站點關(guān)閉自動化操作。除此之外，勒索軟件還中斷了通常用于管理整個生產(chǎn)鏈中的資源的IT系統(tǒng)之間的通信。這些信息流(例如包含產(chǎn)品庫存)中斷，迫使該公司臨時關(guān)閉多個工廠并將挪威、卡塔爾和巴西等國家的工廠運營模式改為“可以使用的”手動運營模式，以繼續(xù)執(zhí)行某些運營，比如讓員工手動處理6500多個庫存單位和4000個貨架。根據(jù)FireEye旗下的公司 Mandiant對一個類似的案例的調(diào)查，在該案例中，TrickBot被用于在一家石油鉆機制造商處部署Ryuk勒索軟件。盡管感染僅發(fā)生在公司網(wǎng)絡(luò)上，但最大的業(yè)務(wù)影響是由Oracle ERP軟件的中斷引起的，該中斷使公司暫時脫機，并對生產(chǎn)產(chǎn)生負面影響。

當(dāng)勒索軟件到達OT網(wǎng)絡(luò)中基于IT的資產(chǎn)時，例如人機界面(HMI)，監(jiān)督控制和數(shù)據(jù)采集(SCADA)軟件以及工程工作站，可能會產(chǎn)生類似的結(jié)果。大多數(shù)設(shè)備依賴于易受各種IT威脅影響的商品軟件和標(biāo)準(zhǔn)操作系統(tǒng)。 Mandiant Intelligence根據(jù)敏感消息源了解到至少有一次事件，該事件是由于大規(guī)模勒索軟件攻擊而導(dǎo)致工業(yè)設(shè)施停產(chǎn)。由于該設(shè)施的網(wǎng)絡(luò)分段不當(dāng)，從而使惡意軟件從公司網(wǎng)絡(luò)傳播到OT網(wǎng)絡(luò)，在此OT服務(wù)器對服務(wù)器，HMI，工作站和備份進行加密。

如果要緩解勒索軟件的影響，需要在IT和OT上進行防御

研究人員鼓勵所有組織評估與勒索軟件攻擊有關(guān)的安全和工業(yè)風(fēng)險。請注意，這些建議還有助于在面對其他對業(yè)務(wù)運營的威脅(例如加密采礦惡意軟件感染)時增強抵御能力。盡管每種情況都會有所不同，但研究人員重點介紹以下建議。

• 進行滲透測試，以評估你組織的當(dāng)前安全狀況以及對勒索軟件威脅做出響應(yīng)的能力。模擬攻擊場景(主要在非生產(chǎn)環(huán)境中)以了解事件響應(yīng)團隊對實際事件的意識和響應(yīng)能力。
• 審查運營、業(yè)務(wù)流程和工作流，以識別對于維持連續(xù)工業(yè)運營至關(guān)重要的資產(chǎn)。
• 通過基于網(wǎng)絡(luò)或基于主機的防火墻邏輯隔離主資產(chǎn)和冗余資產(chǎn)，并進行后續(xù)的資產(chǎn)加固，例如，禁用通常被勒索軟件用于其傳播的服務(wù)，如SMB、RDP和WMI。除了創(chuàng)建策略來禁用不必要的對等和遠程連接之外，我們還建議對可能承載這些服務(wù)和協(xié)議的所有系統(tǒng)進行常規(guī)審查。
• 建立嚴(yán)格的備份制度，應(yīng)特別注意確保備份的安全性和完整性。另外，關(guān)鍵備份必須保持脫機狀態(tài)，或至少保持在隔離的網(wǎng)絡(luò)上。
• 根據(jù)恢復(fù)時間目標(biāo)優(yōu)化恢復(fù)計劃，在恢復(fù)期間引入所需的可選工作流程(包括手動流程)，這對于關(guān)鍵資產(chǎn)有限或沒有冗余的組織尤其重要。當(dāng)從備份中恢復(fù)時，加強恢復(fù)的資產(chǎn)和整個組織的基礎(chǔ)結(jié)構(gòu)，以防止重復(fù)的勒索病毒感染和傳播。
• 建立對OT外圍保護設(shè)備的明確所有權(quán)和管理，以確?？梢栽谄髽I(yè)范圍內(nèi)進行緊急更改。在遏制攻擊時，必須保持有效的網(wǎng)絡(luò)分段。