?根據(jù)網(wǎng)絡(luò)安全服務(wù)商Dragos公司的一項(xiàng)研究，針對(duì)運(yùn)營(yíng)技術(shù)的勒索軟件攻擊激增，證明此類威脅僅針對(duì)運(yùn)營(yíng)技術(shù)(就是直接監(jiān)控和運(yùn)行設(shè)備和流程的硬件和軟件)是日常生活的關(guān)鍵部分。運(yùn)營(yíng)技術(shù)負(fù)責(zé)監(jiān)控關(guān)鍵基礎(chǔ)設(shè)施和制造運(yùn)營(yíng)，在公用事業(yè)公司、石油和天然氣以及運(yùn)輸?shù)刃袠I(yè)組織的一系列關(guān)鍵任務(wù)領(lǐng)域中都可以看到運(yùn)營(yíng)技術(shù)的使用。

然而，此類基礎(chǔ)設(shè)施最近由于受到勒索軟件的攻擊而成為頭條新聞，著名的例子是肉類加工商JBS公司和燃料供應(yīng)商Colonial Pipeline公司遭到的攻擊事件。事實(shí)上，網(wǎng)絡(luò)攻擊者不再只是針對(duì)IT技術(shù)，還針對(duì)其流程背后的技術(shù)，造成廣泛的破壞，以及財(cái)務(wù)和聲譽(yù)損失。

根據(jù)Dragos公司進(jìn)行的研究，歐洲的工業(yè)基礎(chǔ)設(shè)施正因地緣政治或金融原因成為勒索軟件攻擊的目標(biāo)。根據(jù)Dragos公司觀察的特定行業(yè)，勒索軟件攻擊最常針對(duì)的行業(yè)是：

• 制造業(yè)(61%);
• 交通(15%);
• 水(9%);
• 能源(8%)。

考慮到這一點(diǎn)，以下探索勒索軟件對(duì)運(yùn)營(yíng)技術(shù)的影響。

勒索軟件對(duì)運(yùn)營(yíng)技術(shù)的影響

勒索軟件威脅參與者總是在不斷發(fā)展他們的策略、增加攻擊次數(shù)、提高風(fēng)險(xiǎn)，并增加漏洞情報(bào)。由于基礎(chǔ)設(shè)施運(yùn)營(yíng)的關(guān)鍵和敏感性質(zhì)，受害者往往發(fā)現(xiàn)自己陷入了兩難境地——是決定支付贖金(專家通常不建議)還是關(guān)閉業(yè)務(wù)或暫停關(guān)鍵供應(yīng)。

根據(jù)Dragos公司的研究，對(duì)運(yùn)營(yíng)技術(shù)的影響體現(xiàn)在四個(gè)方面：

• 先發(fā)制人地關(guān)閉操作以防止勒索軟件傳播到運(yùn)營(yíng)技術(shù)，從而保護(hù)技術(shù)免受長(zhǎng)期損害(例如Colonial Pipeline公司遭到的勒索軟件攻擊)。
• 由于網(wǎng)絡(luò)扁平化和缺乏可見性，勒索軟件快速傳播。
• 六種勒索病毒包含內(nèi)置的運(yùn)營(yíng)技術(shù)進(jìn)程攻擊列表：Cl0p、 EKANS、LockerGog、Maze、MegaCortex、Netfilim.
• 如果不支付贖金，僅針對(duì)企業(yè)IT的攻擊可能導(dǎo)致運(yùn)營(yíng)技術(shù)文檔泄露到地下論壇，進(jìn)而對(duì)運(yùn)營(yíng)技術(shù)進(jìn)行后續(xù)攻擊。

主要勒索軟件攻擊團(tuán)伙

Dragos公司在研究中發(fā)現(xiàn)了一些比較活躍的勒索軟件攻擊團(tuán)伙，他們采用勒索軟件破壞歐洲的工業(yè)基礎(chǔ)設(shè)施。其中監(jiān)控的一些最活躍的勒索軟件攻擊團(tuán)伙包括：

• ALLANITE：ALLIANTE團(tuán)伙的目標(biāo)是英國(guó)和美國(guó)的電力企業(yè)和運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)，以及德國(guó)的工業(yè)基礎(chǔ)設(shè)施。該團(tuán)伙不斷查找運(yùn)營(yíng)技術(shù)環(huán)境中的漏洞。
• DYMALLOY：DYMALLOY團(tuán)伙開展勒索軟件攻擊的受害者包括歐洲、北美和土耳其的電力、石油和天然氣供應(yīng)商。根據(jù)Dragos公司的調(diào)查，該團(tuán)伙能夠進(jìn)行長(zhǎng)期和持續(xù)的情報(bào)收集和未來(lái)的破壞事件。
• ELECTRUM：ELECTRUM團(tuán)伙被發(fā)現(xiàn)是2016年烏克蘭的一個(gè)變電站遭到CRASHOVERRIDE攻擊事件的幕后黑手，它可以開發(fā)利用運(yùn)營(yíng)技術(shù)協(xié)議和通信來(lái)修改電氣設(shè)備流程的惡意軟件。
• MAGNALLUM：該團(tuán)隊(duì)首先出現(xiàn)沙特阿拉伯，主要攻擊航空和石油和天然氣公司。2020年，MAGNALLUM 將其勒索軟件攻擊擴(kuò)展到歐洲和北美地區(qū)，重點(diǎn)關(guān)注半導(dǎo)體制造和政府機(jī)構(gòu)。此處發(fā)現(xiàn)的惡意樣本以超文本標(biāo)記語(yǔ)言(HTML)的形式出現(xiàn)。
• PARASITE：該團(tuán)伙針對(duì)航空航天、石油和天然氣以及公用事業(yè)公司進(jìn)行勒索軟件攻擊，使用開源工具針對(duì)VPN漏洞和破壞基礎(chǔ)設(shè)施。根據(jù)Dragos公司的研究，PARASITE團(tuán)伙自從2017年以來(lái)一直很活躍。
• XENOTIME：XENOTIME團(tuán)隊(duì)的攻擊活動(dòng)最初從中東地區(qū)開始，2018年開始擴(kuò)展到歐洲，其目標(biāo)是石油和天然氣公司。Dragos公司認(rèn)為，該集團(tuán)有能力攻擊北海的石油和天然氣業(yè)務(wù)。

展望未來(lái)，Dragos公司將繼續(xù)密切關(guān)注這些團(tuán)體的活動(dòng)，這些團(tuán)體將繼續(xù)發(fā)展以規(guī)避安全措施。

保護(hù)運(yùn)營(yíng)技術(shù)免受勒索軟件攻擊

為了保護(hù)運(yùn)營(yíng)技術(shù)免受勒索軟件攻擊，Dragos公司建議對(duì)初始入侵防御、網(wǎng)絡(luò)訪問(wèn)防御和基于主機(jī)的防御采取適當(dāng)?shù)拇胧?。在保持警惕的同時(shí)，將這些方面考慮在內(nèi)的戰(zhàn)略對(duì)于防范勒索軟件威脅行為者至關(guān)重要。

(1) 初始入侵

為了防止對(duì)網(wǎng)絡(luò)的初始入侵，企業(yè)必須始終如一地發(fā)現(xiàn)和修復(fù)關(guān)鍵漏洞和已知漏洞，同時(shí)監(jiān)控網(wǎng)絡(luò)是否有攻擊企圖。此外，盡可能使設(shè)備保持最新狀態(tài)。

VPN尤其需要網(wǎng)絡(luò)安全人員的密切關(guān)注;必須創(chuàng)建新的VPN密鑰和證書，并啟用通過(guò)VPN進(jìn)行的活動(dòng)日志記錄。通過(guò)VPN訪問(wèn)運(yùn)營(yíng)技術(shù)環(huán)境需要架構(gòu)審查、多因素身份驗(yàn)證(MFA)和跳轉(zhuǎn)主機(jī)。

此外，用戶應(yīng)該只閱讀純文本的電子郵件，而不是呈現(xiàn)HTML，并禁用Microsoft Office宏。

(2) 網(wǎng)絡(luò)訪問(wèn)

對(duì)于來(lái)自威脅參與者的網(wǎng)絡(luò)訪問(wèn)嘗試，企業(yè)應(yīng)該對(duì)涉及運(yùn)營(yíng)技術(shù)的路由協(xié)議進(jìn)行架構(gòu)審查，并監(jiān)控開源工具的使用。

企業(yè)應(yīng)實(shí)施多因素身份認(rèn)證(MFA)以訪問(wèn)運(yùn)營(yíng)技術(shù)系統(tǒng)以及用于威脅和通信識(shí)別和跟蹤的情報(bào)源。

(3) 基于主機(jī)的威脅

對(duì)于基于主機(jī)的勒索軟件威脅，應(yīng)該監(jiān)控可能的惡意Power Shell、WMI和Python活動(dòng)，以及導(dǎo)致PowerShell執(zhí)行的惡意HTA有效負(fù)載。

企業(yè)的網(wǎng)絡(luò)安全團(tuán)隊(duì)還應(yīng)密切關(guān)注可能使用的憑據(jù)竊取工具，系統(tǒng)工具的異常枚舉和使用，以及主機(jī)上的新服務(wù)和計(jì)劃任務(wù)。