新型勒索軟件在2020年嚴重擾亂了制造業(yè)，今年第三季度出現(xiàn)了一種令人不安的趨勢，攻擊者似乎在其勒索軟件運營中把制造企業(yè)作為攻擊目標。

一下是來自趨勢科技智能保護網(wǎng)絡的數(shù)據(jù)，顯示了勒索軟件攻擊行動對不同行業(yè)的影響。

2020年第三季度受勒索軟件影響的行業(yè)

制造設施一般都是一些大型物理設備(裝配線，熔爐，電動機等)，但是技術(shù)的進步和工業(yè)4.0的趨勢也意味著將計算機引入生產(chǎn)和運營系統(tǒng)中。這些大型工業(yè)設備由計算機控制或監(jiān)控。這些計算機又連接到其他計算機和網(wǎng)絡，以便傳遞數(shù)據(jù)。

下圖就是工業(yè)控制系統(tǒng)(ICS)的體系結(jié)構(gòu)示意圖。

0級是大型硬件所在的位置，這些是人們想到工廠或發(fā)電廠時通常想到的設備。

但是，要控制和監(jiān)控這些設備，必須使用2級計算機。人機界面(HMI)和監(jiān)督控制與數(shù)據(jù)采集(SCADA)計算機為運營員提供了對工業(yè)設備的可見性和控制力，而工程工作站則包含了所需的藍圖、設計文檔、設備人代碼、程序和配置創(chuàng)建最終產(chǎn)品。

在許多情況下，可以在級別3上找到包含設計文件和產(chǎn)品文檔以在工程工作站之間進行共享訪問的集中式文件服務器，以及歷史數(shù)據(jù)庫(包含設備、性能指標和產(chǎn)品質(zhì)量的歷史數(shù)據(jù)庫)。

如果勒索軟件攻擊能夠穿透2級和3級計算機，會發(fā)生什么?

新型勒索軟件的攻擊目的并非關(guān)閉或削弱受感染的計算機，能夠有效停用受感染計算機的最后勒索軟件是Petya，該勒索軟件于2017年和2018年投入使用。隨后的勒索軟件家族在文件加密方面更加小心，故意將系統(tǒng)文件和可執(zhí)行文件排除在外，因為電腦啟動和運營需要這些文件。其他一切都被加密了。這意味著，如果勒索軟件攻擊運營技術(shù)(OT)網(wǎng)絡中的任何控制和監(jiān)控計算機，則工廠車間不會突然停機。

HMI示例

但是，看起來像上圖的HMI無法被加載，并且在勒索軟件遭到攻擊后會出錯。

由于勒索軟件的攻擊，HMI可能遇到的漏洞

作為人機界面，HMI非常依賴于映像文件。 HMI中表示的每個按鈕、值、標識、管道和設備部件都在HMI軟件目錄的某個地方有一個對應的文本文件。不僅如此，包含值、映射、邏輯、閾值和詞匯的配置與映像文件一起存儲在文本文件中。在一起影響人機界面的勒索事件中，我們發(fā)現(xiàn)88%的加密文件是JPEG、BMP或GIF文件——人機界面使用的映像。如果所有這些文件都被加密，恢復受影響的系統(tǒng)將不僅僅是重新安裝ICS軟件。此外，還需要恢復定制的HMI或SCADA接口。

請注意，勒索軟件不需要直接針對ICS軟件的進程，以使ICS失去能力。通過對HMI、SCADA或工程工作站(EWS)所依賴的文件進行加密，勒索軟件可以使系統(tǒng)失效，導致運營員失去查看和控制場景，并最終破壞工廠的生產(chǎn)力。

盜竊設備運營信息

在制造環(huán)境中，網(wǎng)絡文件共享實際上是必要的。在運營方面，工程師和設計師不僅將其作為共享設計和工程文檔的手段，而且還將其作為參考文件、指導方針、部件列表、工具和工作流的存儲庫。

在業(yè)務運營方面，管理人員和員工使用網(wǎng)絡共享存儲有關(guān)供應商、供應商、采購訂單、發(fā)票等信息。專門的供應鏈管理(SCM)或產(chǎn)品生命周期管理(PLM)系統(tǒng)及其相關(guān)的數(shù)據(jù)庫甚至可以在4級或5級找到。

盡管影響這些文件存儲庫和數(shù)據(jù)庫的勒索軟件攻擊不一定會破壞生產(chǎn)線，但它會妨礙商業(yè)運營、供應鏈管理以及產(chǎn)品工程和設計。不幸的是，這些只是短期后果?，F(xiàn)代勒索軟件的操作還涉及數(shù)據(jù)盜竊，這會造成永久性影響。

在Maze勒索軟件的勒索模式影響下，勒索軟件組織利用現(xiàn)成的文件備份工具，竊取受害者的數(shù)據(jù)幾乎成為了標準做法。最初，這樣做的目的是為了增加受害者支付贖金的可能性，因為數(shù)據(jù)泄漏會帶來額外的敲詐攻擊。然而，勒索軟件受害者的數(shù)據(jù)也被泄漏給或在地下出售。這對企業(yè)來說尤其不幸，因為設計和工程文件可能包含知識產(chǎn)權(quán)。此外，供應商和供應商信息可能包含機密的供應鏈數(shù)據(jù)，如定價和訂單信息。

制造公司應該考慮這些可能性，以防他們遇到勒索軟件事件。一旦生產(chǎn)和業(yè)務操作恢復，就需要對被盜數(shù)據(jù)進行評估。之后，組織應該問自己一個問題：如果數(shù)據(jù)泄漏或出售，對生產(chǎn)、業(yè)務關(guān)系和客戶的影響是什么?這個問題的答案將指導制造公司的事后分析行動，并使其能夠制定更有效的響應策略。

這些年來，勒索軟件通過電子郵件附件或惡意網(wǎng)站安裝的事件大幅減少(見圖4)。然而，從新聞標題來看，很多人可能認為勒索軟件的數(shù)量并沒有減少。

趨勢科技多年來檢測到的勒索軟件都是以電子郵件附件或惡意網(wǎng)站開始發(fā)起攻擊的

這背后的原因是，在過去幾年里，勒索軟件的攻擊者對他們的目標變得更加有選擇性。他們已經(jīng)開始擺脫大規(guī)模傳播勒索軟件垃圾廣告的做法，開始采用一種被稱為“大獵物搜尋”(big game hunting)的精準方法。這意味著勒索軟件攻擊者不再不關(guān)心那些個體受害者，而是更感興趣那些大中型企業(yè)。這種轉(zhuǎn)變背后的原因是，勒索軟件攻擊者現(xiàn)在對大中型企業(yè)的攻擊，每次都會獲得很大的賠償。

對大中型企業(yè)的攻擊更加復雜，需要更多的時間來觀察、追蹤和行動。這就是為什么大多數(shù)影響大型行業(yè)(如制造業(yè))的勒索軟件家族被稱為“侵入后勒索軟件(post-intrusion ransomware)”。簡而言之，攻擊者在安裝勒索軟件之前就已經(jīng)通過其他途徑進入了網(wǎng)絡。

影響制造業(yè)網(wǎng)絡的不同勒索軟件家族在2020年第三季度的分布

在2020年第三季度，大多數(shù)影響制造業(yè)的勒索軟件都是入侵后勒索軟件。比如在第三季度期間影響了大部分制造網(wǎng)絡的勒索軟件Sodinokibi，是在攻擊者獲得訪問易受攻擊的Oracle WebLogic服務器的權(quán)限后安裝的。Gandcrab通常是在攻擊者利用易受攻擊的面向公眾的MySQL服務器后安裝的。勒索軟件Ryuk是由攻擊者安裝的，他們已經(jīng)通過Emotet惡意軟件在網(wǎng)絡中獲得了一席之地。安裝Sodinokibi、Medusalocker、Crysis和其他勒索軟件的攻擊者被認為濫用弱RDP憑據(jù)。

更重要的是，這表明勒索軟件事件不是單一的事件。相反，它是幾個安全問題的外在表現(xiàn)，使攻擊者能夠進入網(wǎng)絡，橫向移動，并確定關(guān)鍵資產(chǎn)進行勒索。

最近關(guān)于制造業(yè)的數(shù)據(jù)和ICS系統(tǒng)中勒索軟件的模式都表明，在非軍事區(qū)(DMZ)和網(wǎng)絡分割中可能存在漏洞。這些因素使得IT網(wǎng)絡中的攻擊方案能夠穿越到OT網(wǎng)絡中。另一個可能的問題是，有些直接到OT網(wǎng)絡的遠程訪問連接很弱或無法解釋。然而，當勒索軟件事件得到緩解，生產(chǎn)和運營能夠恢復時，真正的恢復并不會結(jié)束。當最初解決了導致勒索軟件感染的安全漏洞時，它就結(jié)束了。

保護制造網(wǎng)絡

正如我們在過去幾年所看到的，制造業(yè)的網(wǎng)絡和其他行業(yè)的網(wǎng)絡一樣容易被破壞。即使有專門的設備、軟件、協(xié)議和網(wǎng)絡分段，攻擊者通常也能夠劫持ICS系統(tǒng)。

標準的安全最佳實踐和解決方案應該是有效的，但是應該以一種對生產(chǎn)環(huán)境敏感的方式部署它們。除了安全解決方案的標準能力之外，制造業(yè)的安全官員在評估安全解決方案時應該考慮的額外要求是:

1.低延遲：解決方案應避免干擾對時間敏感的生產(chǎn)過程;

2.了解OT協(xié)議： 安全產(chǎn)品應正確識別和監(jiān)控進出ICS系統(tǒng)的流量;

3.對IT和OT網(wǎng)絡的集成監(jiān)控和檢測：安全策略需要能夠協(xié)同工作并在網(wǎng)絡段之間發(fā)送數(shù)據(jù)的產(chǎn)品，從而提高易用性并簡化監(jiān)控和響應;

參考及來源：https://www.trendmicro.com/en_us/research/20/l/the-impact-of-modern-ransomware-on-manufacturing-networks.html如若轉(zhuǎn)載，請注明原文地址。