勒索軟件參與者已因利用VPN漏洞進(jìn)入關(guān)鍵工業(yè)系統(tǒng)并維持持久性而日益受到關(guān)注。

2024年，隨著執(zhí)法部門(mén)對(duì)LockBit等勒索巨頭的大力打擊，勒索軟件領(lǐng)域發(fā)生了震蕩，焦點(diǎn)轉(zhuǎn)向了關(guān)鍵業(yè)務(wù)運(yùn)營(yíng)，今年發(fā)生的重大攻擊事件包括針對(duì)哈里伯頓(Halliburton)、倫敦交通局(TfL)和阿肯色州水廠(chǎng)等目標(biāo)。

Dragos公司2024年第三季度的研究報(bào)告指出，新出現(xiàn)的RansomHub、Play和Fog等團(tuán)伙利用VPN漏洞和竊取的憑證，通過(guò)各種“生活在本地”(LOTL)技術(shù)，在關(guān)鍵系統(tǒng)中站穩(wěn)腳跟，活動(dòng)激增。

Dragos在報(bào)告中表示：“從傳統(tǒng)金融勒索轉(zhuǎn)向運(yùn)營(yíng)破壞，特別是黑客活動(dòng)分子所為，加劇了勒索軟件的風(fēng)險(xiǎn)，這種動(dòng)機(jī)的融合進(jìn)一步模糊了網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)戰(zhàn)爭(zhēng)之間的界限，需要對(duì)工業(yè)控制系統(tǒng)(ICS)和運(yùn)營(yíng)技術(shù)(OT)環(huán)境加強(qiáng)防御。”

報(bào)告補(bǔ)充稱(chēng)，該時(shí)期的地緣政治緊張局勢(shì)加劇了這一復(fù)雜局面，黑客活動(dòng)分子利用攻擊針對(duì)工業(yè)運(yùn)營(yíng)。

VPN漏洞成為新手入侵的首選

報(bào)告指出，針對(duì)工業(yè)組織的新勒索軟件團(tuán)伙數(shù)量激增，他們混合使用各種技術(shù)來(lái)利用遠(yuǎn)程和虛擬網(wǎng)絡(luò)應(yīng)用程序的弱點(diǎn)。Fog、Helldown、Elderado、Play和RansomHub等新出現(xiàn)的團(tuán)伙是濫用VPN漏洞的主要團(tuán)伙。

Fog利用了臭名昭著的SonicWall漏洞攻擊未打補(bǔ)丁的系統(tǒng)，而Elderado和Play則專(zhuān)注于存在漏洞的VMware ESXi環(huán)境。與此同時(shí)，Helldown利用Zyxel VPN漏洞侵入企業(yè)網(wǎng)絡(luò)并鎖定敏感數(shù)據(jù)。

報(bào)告指出，VPN漏洞原本只是偶爾用于初始訪(fǎng)問(wèn)，現(xiàn)已成為主流勒索軟件攻擊中不可或缺的一部分。

Dragos表示：“(2021-2023年)VPN漏洞利用主要與機(jī)會(huì)性攻擊相關(guān)，攻擊者專(zhuān)注于Pulse Secure和Fortinet等設(shè)備中未打補(bǔ)丁的漏洞?，F(xiàn)在勒索軟件運(yùn)營(yíng)者通過(guò)將這些漏洞利用與基于憑證的攻擊相結(jié)合，以繞過(guò)多因素身份驗(yàn)證(MFA)保護(hù)，從而提升了他們的戰(zhàn)術(shù)水平?！?/p>

該時(shí)期觀(guān)察到的其他主要勒索軟件新參與者包括KillSec和APT73(推測(cè)為L(zhǎng)ockBit的分支)。

新態(tài)勢(shì)擾亂關(guān)鍵行業(yè)

Dragos強(qiáng)調(diào)，勒索軟件攻擊不斷給工業(yè)組織造成重大干擾，導(dǎo)致運(yùn)營(yíng)中斷、財(cái)務(wù)損失和數(shù)據(jù)泄露。

對(duì)工業(yè)控制系統(tǒng)(ICS)領(lǐng)域事件的分析顯示，以施耐德電氣(Schneider Electric)為首的“制造業(yè)”遭受了最嚴(yán)重的打擊，394起事件占所有勒索軟件攻擊的71%。受影響最嚴(yán)重的制造子領(lǐng)域包括建筑業(yè)(30%)、食品和飲料業(yè)(11%)以及電子業(yè)(7%)。

ICS設(shè)備、交通運(yùn)輸和通信行業(yè)受影響較小，分別觀(guān)察到10%(56起)、7%(38起)和5%(17起)事件。

RansomHub、Play和DragonForce成為新主角

據(jù)Dragos稱(chēng)，RansomHub在第三季度以90起事件領(lǐng)跑，占所有勒索軟件攻擊的16%，得益于其強(qiáng)大的勒索軟件即服務(wù)(RaaS)模式，并吸引了如Velvet Tempest等LockBit附屬機(jī)構(gòu)，這些機(jī)構(gòu)使用先進(jìn)的惡意廣告和VPN漏洞利用技術(shù)。自2024年5月以來(lái)，該團(tuán)伙已與168起事件有關(guān)，主要集中在北美和歐洲，且以工業(yè)目標(biāo)為重點(diǎn)。

針對(duì)哈里伯頓的一次顯著攻擊擾亂了包括發(fā)票處理在內(nèi)的關(guān)鍵業(yè)務(wù)。LockBit3.0造成了78起事件，占2024年第三季度總數(shù)的14%，然而，Dragos發(fā)現(xiàn)，自2月以來(lái)宣布的新受害者中有三分之二可能是虛假的，這是在“Cronos行動(dòng)”干擾后為了夸大活動(dòng)而采取的行動(dòng)。Play造成了52起事件(9%)，主要針對(duì)關(guān)鍵基礎(chǔ)設(shè)施，而DragonForce有35起事件(6%)，Qilin有23起(4%)。