2023年針對能源部門和關鍵基礎設施的勒索軟件攻擊爆發式增長，包括BlackCat/ALPHV、Medusa（美杜莎）和LockBit3.0等十幾個知名勒索軟件組織紛紛加強了對能源行業高價值目標的攻擊，能源行業面臨的威脅態勢急速惡化。

2023年能源行業重大勒索軟件/數據泄漏事件如下：

• 2023年11月，勒索軟件組織BlackCat/ALPHV將臺灣中國石化添加到泄漏站點受害者名單中，泄漏數據大小為41.9GB。
• 2023年11月，美國愛達荷國家實驗室（INL）遭黑客組織SiegedSec攻擊，運行OracleHCM系統的服務器遭到入侵，包括工作人員在內的數十萬個人數據泄漏。INL是美國能源部運營的核研究中心，擁有50座實驗核反應堆。
• 2023年9月7日，親俄羅斯的“STORMOUS”勒索軟件團伙宣布泄漏了越南國家石油天然氣集團（PVN）旗下的越南石油建設股份公司（PVC）成員公司JSC(PVC-MS)的300GB數據。后者成立于1983年，主要從事石油和天然氣領域建造、制造、安裝平臺、儲罐、管道。
• 2023年8月，以色列Neve Ne'eman核反應堆數據庫在暗網論壇中以900美元的價格出售，黑客聲稱數據庫中包括官員和教授的全名及其居住地址的所有信息；10GB機密文件，包括實驗中使用的組件和材料；反應堆的尺寸、水平和位置；用于登錄的電子郵件、ip和密碼（ssh smtp服務器）。
• 2023年5月，黑客在暗網論壇上泄露了從伊朗核電生產和開發公司(AEOI)竊取的10萬多封電子郵件。
• 2023年3月，黑客在暗網論壇上泄露了從印度尼西亞國家核能機構(Batan)竊取的1.4GB數據。
• 2023年2月，勒索軟件組織美杜莎聲稱攻擊了中國石油（印尼公司）并索要贖金40萬美元。
• 2023年2月，中國臺灣電池制造商菲宏（Phihong）公司遭Lockbit3.0攻擊，遭數據泄漏勒索。
• 2023年2月，為羅馬市提供電力和供水服務的意大利公司Acea遭Black Basta勒索軟件組織攻擊，導致網站服務癱瘓。

2023年能源行業勒索軟件攻擊六大趨勢

根據Resecurity最新發布的《2022-2023能源行業勒索軟件攻擊報告》，2023年能源行業勒索軟件攻擊呈現以下六大趨勢：

針對能源行業的勒索軟件攻擊顯著增加。在北美、亞洲和歐盟(EU)都發現了針對能源行業的惡意活動。網絡犯罪分子瞄準這一領域的原因是涉及的數據資產價值更高，可以索取更多贖金。這些攻擊也表面，對于勒索軟件組織而言，關鍵基礎設施的數據資產比其他經濟部門的數據資產更有價值。

采用新的攻擊策略提高加密速度，逃避檢測。勒索軟件攻擊者在針對能源企業和機構的“大型狩獵”中部署的新攻擊策略包括間歇性加密、使用更現代的專業編程語言以及涉及多個變體的雙重勒索軟件攻擊。根據美國國土安全部的報告，這些新興技術策略使攻擊者能夠“更快地加密系統并減少被檢測到的機會。

能源行業勒索軟件攻擊的生態化協作。能源行業的勒索軟件攻擊并非單一組織的孤立行動，而是得到了包括初始訪問權限經紀人（IAB）和工具開發商組成的蓬勃發展的攻擊生態系統的支持，這些網絡犯罪組織的橫向合作表明能源行業已經被攻擊者眼中的高價值數據金礦。

初始訪問經紀人積極尋找能源行業的憑據和身份數據。Resecurity已識別出幾家在暗網上運營的初始訪問經紀人(IAB)，正在積極尋找能源行業的憑據和其他未經授權的入侵方法。其中一些IAB甚至兜售核能公司的未授權訪問。此外，Resecurity還發現主要網絡犯罪論壇上的大量帖子，包括RAMP（俄羅斯匿名市場），攻擊者已經并繼續從購買能源行業非法網絡訪問權限中獲利。

勒索贖金金額高漲。針對能源公司的勒索軟件攻擊贖金金額不斷增長，最高超過了700萬美元。勒索軟件組織向受害組織索要巨額贖金的另外一個關鍵因素是：受害者周圍環境中的工業流程可能遭受毀滅性破壞。

核能設施和機構成熱門目標。核能組織是勒索軟件組織和從事網絡間諜活動的APT組織的高優先級目標。因為核能設施遭受勒索軟件攻擊會對地緣政治關系、資本市場、公共安全和國家安全產生重大影響。

2024年展望

2024年，預計將有越來越多的勒索軟件組織優先考慮能源行業的高價值目標，尤其是核能行業以及石油和天然氣供應商的下游和上游業務。隨著能源行業數字化的不斷發展，IT與OT加快融合，攻擊面隨之不斷擴大，資產和數據多樣化、為攻擊者提供了更多利用機會。

此外，由于能源屬于關鍵基礎設施行業，支付巨額贖金的可能性較高，進一步增加了對勒索軟件組織的吸引力。因此，2024年能源行業將迎來勒索軟件攻擊的“大考”，能源企業必須大力加強網絡防御，為即將出現的破壞性極高的復雜攻擊做好準備。