卡巴斯基預計2024年工業網絡威脅形勢不會發生急劇變化。下面描述的大多數趨勢以前就已被觀察到，其中許多趨勢甚至已經存在了很多年。然而，其中一些趨勢已經達到了緩慢變化的臨界點，這可能導致威脅格局最早在明年發生質的變化。

勒索軟件

2024年，勒索軟件仍將是工業企業的頭號禍患。

2023年，勒索軟件攻擊鞏固了其在工業企業信息安全威脅排行榜上的領先地位。從2023年上半年受網絡事件影響的組織的官方聲明中來看，至少六分之一的勒索軟件攻擊導致產品生產或交付停止。在某些情況下，攻擊造成的損失估計高達數億美元。目前，似乎沒有理由相信這種威脅會在不久的將來會減少。

【勒索軟件受災行業分布，圖源：卡巴斯基】

針對大型組織、獨特產品（設備、材料）供應商或大型物流和運輸公司的勒索軟件攻擊可能會造成嚴重的經濟和社會后果。

如今，根據目標公司的數據顯示，不少于18%的針對工業企業的勒索軟件攻擊導致生產和/或產品交付中斷。此外，網絡犯罪分子在選擇受害者時明顯瞄準了“高端市場”，他們更傾向于以能夠支付巨額贖金的大型組織為目標。

這就造成了一種局面，即攻擊者可能故意或意外地再次越過界限，造成基礎設施級別的攻擊后果，就像Colonial Pipeline的情況一樣。另一個例子是，最近對迪拜國際集裝箱碼頭和供應鏈運營商 DP World的攻擊活動，導致墨爾本、悉尼、布里斯班和弗里曼特爾港口的工作陷入停頓，致使約 3萬個集裝箱無法交付。

勒索軟件市場正在走向高峰，隨后可能會出現下滑或停滯。

不過，潛在受害者不太可能在短期內對攻擊免疫。但他們可以學習如何更有效地減輕影響（例如，通過更好地保護最機密的數據，并制定適當的備份和事件響應計劃）。

如果這導致受害者支付的金額減少，網絡犯罪分子將不得不尋找新的目標類型和攻擊貨幣化方案。潛在的發展途徑包括以下幾條：

(1) 對物流和運輸公司的攻擊可能不再針對支持運營的IT基礎設施，而是針對車輛本身（汽車、輪船）。

乍一看，停車場和車隊中種類繁多的車輛似乎阻礙了此類攻擊的實施，大大增加了攻擊者的開發成本。然而，攻擊的目標不是某個特定的車主或運營商，而是具有相同或類似內部控制系統的多輛同類型車輛。

另一個促進攻擊的因素是車隊所有者和運營商額外為車輛配備了他們自己定制的遙測收集系統，這些系統通常默認具有遠程控制功能（例如，遠程重新刷新固件或更改要收集的數據集）。汽車制造商和服務提供商有時也會這樣做。因此，這種攻擊向量是可行的。

在這種攻擊情況下，受害者將無法自行恢復運營，否則將產生使企業無法繼續生存的成本。恢復加密的IT系統的運行（例如，從備份中恢復）比解決一個技術上簡單的問題要容易得多，即使是影響分散在廣泛區域的車輛的問題（例如，刪除阻止車輛發動機啟動或切斷船舶內部電力的惡意軟件）。公司可能會發現自己無法在不造成不可接受的經濟損失的情況下及時自行恢復正常運營。

(2) 同樣的攻擊向量也適用于在偏遠地點（例如礦業或農業領域）作業的各種專用設備的所有者和運營商。

(3) 多個偏遠地點的網絡安全問題也與石油和天然氣公司、公用事業以及任何具有高度分布式OT基礎設施的組織有關。對偏遠地點的攻擊排除了遠程恢復的可能性（例如，由于常規的遠程訪問通道被惡意軟件阻塞），從而保證了贖金的支付。

(4) 非常規的貨幣化攻擊方式（例如，通過股市投機）針對經濟上重要的企業，如大型運輸和物流組織、大型礦業公司、材料制造商和供應商（如金屬、合金或復合材料）、農業和食品產品、難以迅速彌補短缺的獨特/緊缺產品（如微型芯片或化肥）的供應商。

這些企業的產品供應中斷會嚴重影響其市場價格。除直接后果外，還可能產生連鎖反應和間接副作用。例如，Shamoon在攻擊沙特阿美石油公司（Saudi Aramco）后對全球硬盤價格產生了爆炸性影響，因為該公司出人意料地決定將所有受攻擊影響的計算機硬盤更換為新硬盤。

黑客行為主義者

在地緣政治分歧線上，出于政治動機的黑客行動主義將變得更加尖銳，并產生更具破壞性的后果。

我們都記得，親以色列的黑客組織聲稱對2021年伊朗鐵路和加油站遭受的黑客攻擊負責。去年，我們又看到了更多的案例：以色列的灌溉系統遭到襲擊，以色列制造的Unitronics Vision All-in-One（PLC與集成HMI）解決方案在美國和愛爾蘭遭到攻擊，2023年伊朗加油站也遭到攻擊。撇開公關效應不談，在所有這些案例中，負面影響的實際規模都相當有限。

這就是說，最近的黑客行為主義攻擊活動已經證實了其攻擊OT系統的能力。在卡巴斯基 ICS CERT 今年調查的一些類似案例中，攻擊者只是稍微欠缺一些準備工作和毅力，才使受害者免于遭受物理損害。不斷升級的緊張局勢很可能會將出于政治動機的黑客攻擊提升到一個全新的威脅水平。

世界政治抗議黑客行為主義（cosmopolitical protest hacktivism）日益增長。

例如由引入新的社會文化和宏觀經濟議程所驅動的，或者相反地，旨在反對引入新的社會文化和宏觀經濟議程的抗議。一個與環境保護和綠色技術有關的例子是所謂的“生態黑客行為主義”（eco-hacktivism），如 Guacamaya Roja 黑客行為主義團體對危地馬拉一家礦業公司的攻擊。

黑客行為主義在全球范圍內的全面興起，將激發更多的個人和團體開始為“無所謂的理由”，甚至“只是為了好玩”而戰。

具體案例可以參見今年黑客組織SiegedSec對愛達荷國家實驗室實施的攻擊活動。

【愛達荷國家實驗室鳥瞰圖。圖源：Sam Beebe via Flickr】

從灰色地帶走向陰影

廣泛使用“進攻性網絡安全”來收集網絡威脅情報將產生積極和消極的后果。

一方面，我們將看到企業安全方面的一些改進，因為進攻性網絡威脅情報將為用戶提供潛在威脅跡象，它并非像傳統的網絡威脅情報那樣，通過安全解決方案的遙測、事件研究、間接來源和暗網來獲取情報，還可以直接從攻擊者控制的基礎設施中獲取情報。這將使受害者能夠更快、更有效地恢復系統安全。

另一方面，進攻性網絡情報的發展在成為新規范（盡管沒有正式合法化，但在政府的默許下應用）的同時也將產生負面影響，因為灰色地帶與陰影之間的邊界可能過于模糊，越過它的誘惑可能難以抗拒。在一些國家的支持下，一些商業企業可能會嘗試從商業進攻性情報解決方案和服務提供商的幫助中受益，甚至可能不僅限于網絡安全目的。一些工業企業也可能參與其中。對于高度競爭的生態系統（例如建筑、采礦和能源以及許多其他工業部門），情況尤為如此。

這些“利益驅動”的網絡活動將比我們在APT活動中看到的更加精確。這些活動將主要使用商業和開源工具，這將使他們能夠在網絡犯罪攻擊普遍高發的背景下掩蓋自己的活動。因此，這些操作被發現和調查的幾率甚至會低于APT活動。

與物流和運輸相關的威脅

物流和運輸行業的快速自動化和數字化將導致：

1. 網絡犯罪和傳統犯罪更加緊密地交織在一起，特別是在由來已久的犯罪領域。

具體表現在以下方面：

• 汽車盜竊，適用于所有現代汽車，但尤其適用于亞洲品牌，預計也同樣適用于新汽車品牌，因為要迎合快速進入市場的激進戰略，新汽車品牌通常會將網絡安全成熟度作為首要犧牲的事項之一。
• 由網絡手段驅動的海盜和物流中斷——作為已知攻擊戰術和技術的合理延續，如最近在紅海和印度洋對自動跟蹤系統（AIS）的攻擊，或者在2020年對伊朗Shahid Rajaee港口碼頭的攻擊。
• 利用網絡手段盜竊物品。
• 通過網絡手段進行走私——就像在Antwerp港臭名昭著的“十三羅漢”（Ocean’s Thirteen）案件中使用的戰術一樣。
• 其他物流和運輸欺詐，例如與保險索賠/取消罰款相關的款項，以及許多其他欺詐手段，有些難以預料，例如最近在波蘭一起案例中觀察到的利用DRM作為不公平競爭的手段。

2. 非針對性攻擊造成物理后果的可能性增加。

目前已經有各類車輛感染惡意軟件的已知案例。如果我們展望不久的將來，由于“傳統”操作系統（如Android和Linux）在交通領域的采用，標準IT組件和通信協議的廣泛集成，以及涉及云服務連接的用例數量的增加，這種感染預計會成倍增加。其中一些可能會導致關鍵監測和控制系統的故障，從而造成難以預測的后果。最重要的是，這種風險涉及河運、海運、卡車運輸和緊急運輸——這些車輛的信息安全情況通常不如客車。

原文鏈接：https://securelist.com/ksb-ics-predictions-2024/111835/