新型勒索軟件在2020年嚴重擾亂了制造業，今年第三季度出現了一種令人不安的趨勢，攻擊者似乎在其勒索軟件運營中把制造企業作為攻擊目標。

一下是來自趨勢科技智能保護網絡的數據，顯示了勒索軟件攻擊行動對不同行業的影響。

2020年第三季度受勒索軟件影響的行業

制造設施一般都是一些大型物理設備(裝配線，熔爐，電動機等)，但是技術的進步和工業4.0的趨勢也意味著將計算機引入生產和運營系統中。這些大型工業設備由計算機控制或監控。這些計算機又連接到其他計算機和網絡，以便傳遞數據。

下圖就是工業控制系統(ICS)的體系結構示意圖。

0級是大型硬件所在的位置，這些是人們想到工廠或發電廠時通常想到的設備。

但是，要控制和監控這些設備，必須使用2級計算機。人機界面(HMI)和監督控制與數據采集(SCADA)計算機為運營員提供了對工業設備的可見性和控制力，而工程工作站則包含了所需的藍圖、設計文檔、設備人代碼、程序和配置創建最終產品。

在許多情況下，可以在級別3上找到包含設計文件和產品文檔以在工程工作站之間進行共享訪問的集中式文件服務器，以及歷史數據庫(包含設備、性能指標和產品質量的歷史數據庫)。

如果勒索軟件攻擊能夠穿透2級和3級計算機，會發生什么?

新型勒索軟件的攻擊目的并非關閉或削弱受感染的計算機，能夠有效停用受感染計算機的最后勒索軟件是Petya，該勒索軟件于2017年和2018年投入使用。隨后的勒索軟件家族在文件加密方面更加小心，故意將系統文件和可執行文件排除在外，因為電腦啟動和運營需要這些文件。其他一切都被加密了。這意味著，如果勒索軟件攻擊運營技術(OT)網絡中的任何控制和監控計算機，則工廠車間不會突然停機。

HMI示例

但是，看起來像上圖的HMI無法被加載，并且在勒索軟件遭到攻擊后會出錯。

由于勒索軟件的攻擊，HMI可能遇到的漏洞

作為人機界面，HMI非常依賴于映像文件。 HMI中表示的每個按鈕、值、標識、管道和設備部件都在HMI軟件目錄的某個地方有一個對應的文本文件。不僅如此，包含值、映射、邏輯、閾值和詞匯的配置與映像文件一起存儲在文本文件中。在一起影響人機界面的勒索事件中，我們發現88%的加密文件是JPEG、BMP或GIF文件——人機界面使用的映像。如果所有這些文件都被加密，恢復受影響的系統將不僅僅是重新安裝ICS軟件。此外，還需要恢復定制的HMI或SCADA接口。

請注意，勒索軟件不需要直接針對ICS軟件的進程，以使ICS失去能力。通過對HMI、SCADA或工程工作站(EWS)所依賴的文件進行加密，勒索軟件可以使系統失效，導致運營員失去查看和控制場景，并最終破壞工廠的生產力。

盜竊設備運營信息

在制造環境中，網絡文件共享實際上是必要的。在運營方面，工程師和設計師不僅將其作為共享設計和工程文檔的手段，而且還將其作為參考文件、指導方針、部件列表、工具和工作流的存儲庫。

在業務運營方面，管理人員和員工使用網絡共享存儲有關供應商、供應商、采購訂單、發票等信息。專門的供應鏈管理(SCM)或產品生命周期管理(PLM)系統及其相關的數據庫甚至可以在4級或5級找到。

盡管影響這些文件存儲庫和數據庫的勒索軟件攻擊不一定會破壞生產線，但它會妨礙商業運營、供應鏈管理以及產品工程和設計。不幸的是，這些只是短期后果。現代勒索軟件的操作還涉及數據盜竊，這會造成永久性影響。

在Maze勒索軟件的勒索模式影響下，勒索軟件組織利用現成的文件備份工具，竊取受害者的數據幾乎成為了標準做法。最初，這樣做的目的是為了增加受害者支付贖金的可能性，因為數據泄漏會帶來額外的敲詐攻擊。然而，勒索軟件受害者的數據也被泄漏給或在地下出售。這對企業來說尤其不幸，因為設計和工程文件可能包含知識產權。此外，供應商和供應商信息可能包含機密的供應鏈數據，如定價和訂單信息。

制造公司應該考慮這些可能性，以防他們遇到勒索軟件事件。一旦生產和業務操作恢復，就需要對被盜數據進行評估。之后，組織應該問自己一個問題：如果數據泄漏或出售，對生產、業務關系和客戶的影響是什么?這個問題的答案將指導制造公司的事后分析行動，并使其能夠制定更有效的響應策略。

這些年來，勒索軟件通過電子郵件附件或惡意網站安裝的事件大幅減少(見圖4)。然而，從新聞標題來看，很多人可能認為勒索軟件的數量并沒有減少。

趨勢科技多年來檢測到的勒索軟件都是以電子郵件附件或惡意網站開始發起攻擊的

這背后的原因是，在過去幾年里，勒索軟件的攻擊者對他們的目標變得更加有選擇性。他們已經開始擺脫大規模傳播勒索軟件垃圾廣告的做法，開始采用一種被稱為“大獵物搜尋”(big game hunting)的精準方法。這意味著勒索軟件攻擊者不再不關心那些個體受害者，而是更感興趣那些大中型企業。這種轉變背后的原因是，勒索軟件攻擊者現在對大中型企業的攻擊，每次都會獲得很大的賠償。

對大中型企業的攻擊更加復雜，需要更多的時間來觀察、追蹤和行動。這就是為什么大多數影響大型行業(如制造業)的勒索軟件家族被稱為“侵入后勒索軟件(post-intrusion ransomware)”。簡而言之，攻擊者在安裝勒索軟件之前就已經通過其他途徑進入了網絡。

影響制造業網絡的不同勒索軟件家族在2020年第三季度的分布

在2020年第三季度，大多數影響制造業的勒索軟件都是入侵后勒索軟件。比如在第三季度期間影響了大部分制造網絡的勒索軟件Sodinokibi，是在攻擊者獲得訪問易受攻擊的Oracle WebLogic服務器的權限后安裝的。Gandcrab通常是在攻擊者利用易受攻擊的面向公眾的MySQL服務器后安裝的。勒索軟件Ryuk是由攻擊者安裝的，他們已經通過Emotet惡意軟件在網絡中獲得了一席之地。安裝Sodinokibi、Medusalocker、Crysis和其他勒索軟件的攻擊者被認為濫用弱RDP憑據。

更重要的是，這表明勒索軟件事件不是單一的事件。相反，它是幾個安全問題的外在表現，使攻擊者能夠進入網絡，橫向移動，并確定關鍵資產進行勒索。

最近關于制造業的數據和ICS系統中勒索軟件的模式都表明，在非軍事區(DMZ)和網絡分割中可能存在漏洞。這些因素使得IT網絡中的攻擊方案能夠穿越到OT網絡中。另一個可能的問題是，有些直接到OT網絡的遠程訪問連接很弱或無法解釋。然而，當勒索軟件事件得到緩解，生產和運營能夠恢復時，真正的恢復并不會結束。當最初解決了導致勒索軟件感染的安全漏洞時，它就結束了。

保護制造網絡

正如我們在過去幾年所看到的，制造業的網絡和其他行業的網絡一樣容易被破壞。即使有專門的設備、軟件、協議和網絡分段，攻擊者通常也能夠劫持ICS系統。

標準的安全最佳實踐和解決方案應該是有效的，但是應該以一種對生產環境敏感的方式部署它們。除了安全解決方案的標準能力之外，制造業的安全官員在評估安全解決方案時應該考慮的額外要求是:

1.低延遲：解決方案應避免干擾對時間敏感的生產過程;

2.了解OT協議： 安全產品應正確識別和監控進出ICS系統的流量;

3.對IT和OT網絡的集成監控和檢測：安全策略需要能夠協同工作并在網絡段之間發送數據的產品，從而提高易用性并簡化監控和響應;

參考及來源：https://www.trendmicro.com/en_us/research/20/l/the-impact-of-modern-ransomware-on-manufacturing-networks.html如若轉載，請注明原文地址。