對(duì)于勒索軟件組織及其附屬機(jī)構(gòu)來(lái)說(shuō)，去年是關(guān)鍵的一年，勒索軟件成為工業(yè)領(lǐng)域遭受入侵的首要原因。在2021年，遭受勒索軟件攻擊最多的工業(yè)部門(mén)是制造業(yè)，幾乎是其他工業(yè)部門(mén)的兩倍。對(duì)此，Dragos在《2021年ICS/OT網(wǎng)絡(luò)安全年度回顧》中分析了工業(yè)基礎(chǔ)設(shè)施中勒索軟件攻擊的趨勢(shì)。

一、針對(duì)OT的勒索軟件威脅

在許多針對(duì)工業(yè)部門(mén)的攻擊中，OT和IT之間的界限模糊，以及對(duì)這些系統(tǒng)之間的交互知之甚少，再加上遠(yuǎn)程訪(fǎng)問(wèn)的增加，因?yàn)樵絹?lái)越多的組織依賴(lài)遠(yuǎn)程辦公的員工，增加了整體風(fēng)險(xiǎn)。雖然勒索軟件主要針對(duì)企業(yè)IT系統(tǒng)，但在許多情況下，勒索軟件確實(shí)會(huì)直接影響OT，并在集成的IT和OT環(huán)境中產(chǎn)生影響。

一些勒索軟件運(yùn)營(yíng)者在攻擊企業(yè)IT時(shí)會(huì)間接影響OT。一旦攻擊者獲得初始訪(fǎng)問(wèn)權(quán)限，就可以執(zhí)行勒索軟件，以在關(guān)鍵的企業(yè)IT系統(tǒng)中站穩(wěn)腳跟，并可能橫向進(jìn)入OT系統(tǒng)。在破壞組織后，他們要求受害者支付用于解密文件的密鑰的贖金。通常受害者幾乎沒(méi)有辦法恢復(fù)其系統(tǒng)功能。

然而一些勒索軟件組織專(zhuān)門(mén)針對(duì)OT系統(tǒng)。EKANS是一款專(zhuān)門(mén)攻擊ICS的勒索軟件，在2020年針對(duì)電力、石油和天然氣、醫(yī)療和制藥制造以及汽車(chē)行業(yè)的公司。Dragos分析了EKANS惡意軟件的多個(gè)變種，發(fā)現(xiàn)EKANS變種能夠在啟動(dòng)加密之前停止與ICS相關(guān)的Windows進(jìn)程。

二、工業(yè)安全勒索軟件趨勢(shì)

Dragos分析匯總了2021年針對(duì)ICS行業(yè)的勒索軟件趨勢(shì)，其中制造業(yè)占65%，其次是餐飲業(yè)11%和交通運(yùn)輸業(yè)8%。在制造業(yè)中，金屬部件占17%，其次是汽車(chē)8%和技術(shù)6%。制造業(yè)在OT安全防御方面是最不安全的。

三、勒索軟件組織

勒索軟件組織Conti和Lockbit 2.0的攻擊次數(shù)占總勒索軟件攻擊的51%，其中70%的惡意活動(dòng)針對(duì)制造業(yè)。Conti可以追溯到2020年，最近確認(rèn)的攻擊針對(duì)的是CS Energy和Shutterfly。2021年6月，Lockbit 2.0進(jìn)行了重組，現(xiàn)在專(zhuān)注于竊取數(shù)據(jù)并通過(guò)威脅勒索受害者來(lái)獲取經(jīng)濟(jì)利益，如果受害者不支付贖金就發(fā)布泄露的數(shù)據(jù)。

根據(jù)Lockbit 2.0在暗網(wǎng)論壇上的一篇帖子，2021年，Lockbit 2.0聲稱(chēng)擁有能源設(shè)備供應(yīng)商施耐德電氣的數(shù)據(jù)。該事件從未得到證實(shí)，施耐德電氣發(fā)布的數(shù)據(jù)似乎來(lái)自之前對(duì)丹麥風(fēng)力渦輪機(jī)制造商維斯塔斯的攻擊。

勒索軟件攻擊的激增可歸因于勒索軟件即服務(wù)(RaaS)現(xiàn)象。然而另一個(gè)關(guān)鍵因素是，工業(yè)部門(mén)的數(shù)字化轉(zhuǎn)型，以及IT和OT之間的連接性增強(qiáng)。Conti和Lockbit 2.0等勒索軟件組織已經(jīng)動(dòng)員了一個(gè)地下市場(chǎng)，他們的開(kāi)發(fā)人員將業(yè)務(wù)外包給執(zhí)行攻擊的附屬機(jī)構(gòu)。附屬機(jī)構(gòu)不需要高水平的專(zhuān)業(yè)技術(shù)知識(shí)，因?yàn)槔账鬈浖呀?jīng)開(kāi)發(fā)出來(lái)，他們可以購(gòu)買(mǎi)系統(tǒng)訪(fǎng)問(wèn)權(quán)限并雇傭黑客，這大大降低了進(jìn)入門(mén)檻。

四、勒索軟件業(yè)務(wù)日益成熟

隨著勒索軟件行為者的進(jìn)入壁壘減少，對(duì)工業(yè)部門(mén)的財(cái)務(wù)影響越來(lái)越大。通常，勒索軟件組織會(huì)威脅要在加密目標(biāo)文件系統(tǒng)之前發(fā)布泄露的公司和個(gè)人信息，然后將信息轉(zhuǎn)儲(chǔ)到暗網(wǎng)泄漏站點(diǎn)。2021年上半年，針對(duì)ICS行業(yè)的勒索軟件攻擊的平均修復(fù)成本持續(xù)上升，原因包括停機(jī)時(shí)間、人員配備、設(shè)備和網(wǎng)絡(luò)運(yùn)營(yíng)中斷、失去商機(jī)以及支付贖金。

勒索軟件組織DarkSide現(xiàn)已更名為REvil，為客戶(hù)服務(wù)提供實(shí)時(shí)聊天支持，并在宣布關(guān)閉業(yè)務(wù)之前至少獲得了6000萬(wàn)美元的收入。勒索軟件組織正在投資他們的業(yè)務(wù)，資助研發(fā)，隨著勒索方法變得越來(lái)越極端，研發(fā)正在推動(dòng)其行業(yè)。

勒索軟件趨勢(shì)可能會(huì)繼續(xù)發(fā)生變化，隨著組織進(jìn)行改革，重新確定優(yōu)先級(jí)順序，以及執(zhí)法部門(mén)會(huì)追蹤勒索軟件并將其離線(xiàn)。隨著勒索軟件組織的解散和改革，勒索軟件變種混合在一起，并且更有可能在2022年開(kāi)發(fā)出更多具有ICS/OT功能的變種。

五、趨勢(shì)預(yù)測(cè)

Dragos評(píng)估，勒索軟件將繼續(xù)破壞工業(yè)運(yùn)營(yíng)和OT環(huán)境，無(wú)論是通過(guò)將OT結(jié)束進(jìn)程集成到勒索軟件中、還是通過(guò)存在扁平化網(wǎng)絡(luò)以防止勒索軟件傳播到OT環(huán)境中，或者通過(guò)運(yùn)營(yíng)商關(guān)閉OT環(huán)境作為預(yù)防措施，同時(shí)試圖阻止IT勒索軟件傳播到OT系統(tǒng)。

Dragos評(píng)估，國(guó)家支持的攻擊者可能利用勒索軟件來(lái)掩蓋其替代行動(dòng)、盜竊知識(shí)產(chǎn)權(quán)(包括關(guān)鍵的OT示意圖細(xì)節(jié))、偵察目標(biāo)網(wǎng)絡(luò)、以及ICS網(wǎng)絡(luò)殺傷鏈的其他第一階段組件。

最后Dragos表示，勒索軟件攻擊者的勒索技術(shù)將繼續(xù)提升，因?yàn)楣粽邥?huì)使用任何手段來(lái)追索贖金。