报告｜勒索病毒肆虐，工业企业首当其冲

近几年全球工业信息安全事件频发，工业网络也面临着前所未有的威胁。而在诸多威胁当中，肆虐的勒索软件无疑已成为如今工业网络中面临的最艰巨的挑战。

由于工业网络的特殊性，即便是部分设备感染勒索病毒也可能造成整个生产线停工，甚至威胁到设备的物理安全。从减少损失的角度来看，恢复系统正常运转的代价远高于支付赎金，因此，工业生产的运营管理者很难有其他选择。也因此，工业企业成为勒索病毒聚集攻击的焦点，安全形势十分严峻。（文末附《勒索病毒应急与响应手册》下载）

一

工业企业遭遇的勒索软件盘点

2017年WannaCry和NotPetya蠕虫病毒对企业，尤其是工业企业，造成的巨大破坏引起了公众对于勒索病毒和恶意软件的广泛重视。从汽车制造到物流运输再到半导体制，工业安全事件频发，造成的损失不计其数。而在本就动荡的2020年，勒索病毒更是肆无忌惮地席卷摧毁着全球工业生产，一时企业危机四起，四面楚歌。

1月

大型高科技织机制造商Picanol在比利时、罗马尼亚和中国的工厂先后遭到了勒索软件的攻击，导致2300多名员工被迫停工一个星期。

2月

丹麦设施服务公司ISS被勒索软件攻击，数据库被加密，60个国家数十万雇员无法连接企业的网络服务，整个事件的损失大约在7500万至1.14亿美元之间。

3月

Ryuk勒索软件攻击了美国钢铁制造商EVRAZ并导致其生产停工，1000多名工人停工四天。

4月

Ryuk勒索软件攻击了美国钢铁制造商EVRAZ并导致其生产停工，1000多名工人停工四天。

5月

英国的Elexon和巴西的Light S.A.两家电力公司先后受到Sodinokibi勒索软件的攻击，勒索金额约700万美元。

6月

EKANS勒索病毒感染日本摩托车和汽车制造商本田，工业控制系统被锁定，生产核心遭受重创，致其全球多地业务陷入停顿。

7月

Ryuk勒索软件攻击了美国钢铁制造商EVRAZ并导致其生产停工，1000多名工人停工四天。

8月

勒索软件Maze攻击了著名数码摄像机厂商佳能（Canon），导致10GB的用户数据丢失，在未收到赎金后，Maze又在暗网泄露2.2GB公司敏感数据。

10月

美国费城开发临床试验软件的公司被一种专门针对医疗技术的勒索软件攻击，拖慢了两周新冠病毒临床测试试验的进度；类似事件在美国各城市记录超过一千条，被评为美国历史上“最大的医疗网络攻击之一”。

11月

全球电子巨头富士康在墨西哥的工厂遭遇勒索软件DoppelPaymer攻击，窃取100GB文件并删除了20-30TB备份内容，并要求富士康支付3400万美金作为赎金以获取解密工具。

12月

家电巨头惠而浦（Whirlpool）成为Netfilim勒索软件攻击的最新受害者，大量敏感数据被泄露到暗网上。

研究显示，从2018年到2020年，工业勒索事件增长率高达500%，每月对工业组织发动的攻击频率随时间推移也在不断升高——并且在2020年5月达到了峰值。

不难理解，新冠疫情为黑客开辟了新的攻击面，勒索攻击事件的增长趋势与全球新冠病毒的蔓延趋势也大相吻合。攻击者利用公众对健康和安全的关注，以新冠病毒为主题进行鱼叉式攻击，研究发明病毒疫苗和分配渠道的冷库、生物医学和制药企业都成为了潜在的攻击对象。

接近一半的勒索软件攻击发生在北美（45%），其次是欧洲（31%）和亚洲（18%）。在这些目标企业中，涨幅最大的为制造业，从2018年到2020年增长了接近3倍，超过所有勒索事件数量的三分之一。公用事业排名第二，占比10%。

在目前已知的勒索病毒中，Sodinokibi，Ryuk和Maze是在这两年中最常被监测到的工业勒索病毒。Sodinokibi攻击占17%，Ryuk和Maze分别占14%和13%。Doppelpaymer和WannaCry并列第四，占比7%。

二

勒索攻击的台前幕后

虽然勒索软件类型众多，但是他们在ICS网络中使用的攻击、凭证盗窃、横向渗透、信息加密等有很多共通性。最常见的传播媒介为钓鱼邮件，远程桌面协议（RDP）访问点，以及利用虚拟专用网络（VPN）集中器和企业网络设备的漏洞和弱口令。

许多勒索病毒例如LockerGoga，Maze和EKANS都可以通过Windows活动目录（Active Directory）对整个组织计算机域内的主机系统进行加密。而令人更加不安的是，新型病毒EKANS则已经具备可以破坏工控设备的能力，HMI和工程师站的攻破都将给ICS系统带来沉重的打击。

勒索软件的攻击行为也在悄然发生转变：

对象从最初面向个人消费者的"广撒网式"安全威胁，完成了向具有高度针对性和定向性的企业级安全威胁的演变；

商业合作趋势也越来越明显，许多勒索病毒作者与网络犯罪团伙直接加入黑客组织，或者以“勒索软件即服务”（RaaS）的方式成立“勒索联盟”。一些证据表示一些勒索软件组织正在将各路“散兵游勇”拉上自己的战车，以合作资源共享的方式酝酿更大的阴谋。

从单纯的勒索渐渐演变到数据勒索，“双重勒索”成为新常态。

“双重勒索”使企业不仅面临破坏性的数据泄露，同时还要承受相关法律法规、声誉影响的压力。因此被攻击的企业通常别无选择只能支付赎金以减少损失。但事实上，企业对已被窃取的数据根本没有控制权，也无从得知在支付赎金之后攻击者们会如何处置这些数据。而且，一旦支付了赎金，实际是证实了这种网络犯罪的商业模式的可行性，反而会激励“勒索联盟”发起更多的勒索攻击。

很多被泄露的数据甚至会涉及到受害者公司的上下游客户，比如制造业，公用事业，国防和航天航空业。美国某石油石化公司就曾被Maze勒索，被公开的数据里就包含了大量利益相关的敏感信息：客户名单，员工信息，天然气流量数据，加拿大政府能源调节器的信息，以及供应链上下游的地区数据。

有时，即便无法成功加密文件，攻击者们仍可以通过盗取数据来进行勒索。例如，2020年8月，Sodinokibi软件试图攻击一家美国的制酒工厂，公司很快识别并且在系统被加密前成功阻止了攻击，但是攻击者还是窃取到了1TB敏感信息并泄露到了自建的的拍卖网站上。

此外，即使没有在网络上公开，竞争对手们也可能会从攻击者手中购买这些数据。

即使大多数攻击者泄露数据只是出于金钱上的目的，某些专门针对ICS渗透或者破坏的攻击者也会利用获取到的情报，为今后实施针对第三方的攻击提供便利。

随着勒索攻击的愈演愈烈，某些国防项目承包商和私营交易商也开始进入交易市场。比如极具破坏性的WannaCry病毒与NotPetya攻击都被认为与背后的国家势力有着千丝万缕的关系。

然而，由于威胁的共性和勒索行为的高度相似性，明确地将勒索事件与国家赞助行为相关联十分困难。而这些为政府工作的犯罪团伙在未来也很可能利用勒索软件来掩盖他们背后真正的间谍和蓄意破坏的目的。

三

警钟长鸣

未来，勒索软件仍会是工业运作中的重大威胁。尽管许多商业企业试图提供安全产品与服务，不完善的安全措施使勒索病毒仍可以轻易在企业与工业控制系统之间传播。除此之外，软件开发者也在不断根据被泄露的数据和企业防御举措进行攻击的升级，未来的安全态势仍旧是风起云涌。

面对现代勒索软件的挑战，安恒信息提出了以下几点安全建议：

在保证系统可用性的前提下，对生产系统进行纵深防护，实现“垂直分层，水平分区；边界控制，内部监测，统一管理”。即各工业控制系统之间应该从网络上隔离开，处于不同的安全区；对系统边界即各操作站、工业控制系统连接处、无线网络等要进行边界防护和准入控制等，以实现对勒索软件的有效防护。

在CAM终端、工艺终端上安装防病毒软件配合终端安全管理系统，实现终端的 USB、光驱、无线等接口进行严格外设控制，防止勒索软件通过这些接口进行传播。

对工业控制网络进行安全配置核查审计，对于安全配置较差的设备在保证生产的前提下进行安全配置修改，实现对工控网络设备安全配置进行审计与完善。

在生产管理网与管理网间部署工业防火墙，在机床前部署防护装置，实现阻断勒索软件从管理网到工控网络的访问控制转移。

在生产车间部署工控异常监测系统，实时监测针对工控系统入侵行为及异常行为。

采用存储冗余机制，确保将企业和生产网络进行周期性备份，并在模拟攻击时对备份进行测试。最安全的方式是将备份文件离线储存；非离线状态下，也需确保对备份的访问权限只有只读而非编辑，防止攻击者访问、加密并破坏这些备份文件。

提高员工的网络安全意识，不点来路不明的邮件或链接，在发现网络钓鱼时能向安全运维人员报告。

制定专门针对勒索事件的响应策略，并进行实战演练。勒索攻击行往往非常迅速，因此训练安全团队应对攻击的肌肉记忆和抗压作战的心理素质至关重要。

参考资料：

2020 Ransomware Attack List and Alerts, Cloudian, 2021.01  (https://cloudian.com/ransomware-attack-list-and-alerts/)

Ransomware in ICS Environment, Dragos Inc. 2020.12. (https://www.dragos.com/resource/ransomware-in-ics-environments/)

Ransomware Demands continue to rise as Data Exfiltration becomes common, and Maze subdues， 2020.11 （https://www.coveware.com/blog/q3-2020-ransomware-marketplace-report）

COVID-19 Exploited by Malicious Cyber Actors, CISA, 2020.04 (https://us-cert.cisa.gov/ncas/alerts/aa20-099a)

REvil Ransomware-as-a-Service – An analysis of a ransomware affiliate operation, Intel 471, 2020.03 (https://blog.intel471.com/2020/03/31/revil-ransomware-as-a-service-an-analysis-of-a-ransomware-affiliate-operation/)

U.S. spirits and wine giant hit by cyberattack, 1TB of data stolen, Bleeping Computer, 2020.08 (https://www.bleepingcomputer.com/news/security/us-spirits-and-wine-giant-hit-by-cyberattack-1tb-of-data-stolen/) 

如何应对勒索病毒？

勒索病毒猖獗，该如何应对？

扫描下方二维码

下载《勒索病毒应急与响应手册》来傍身吧！