2020年,新的勒索软件严重扰乱了制造业,今年第三季度出现了令人不安的趋势。攻击者似乎把制造商作为勒索软件运营中的攻击目标。
来自趋势技术智能保护网络的数据显示了勒索软件攻击对不同行业的影响。
2020第三季度受勒索软件影响的行业
制造设施一般是一些大型物理设备(装配线、熔炉、电机等),但技术进步和工业进步4.0趋势也意味着将计算机引入生产和操作系统。这些大型工业设备由计算机控制或监控。这些计算机连接到其他计算机和网络,以传输数据。
下图是工业控制系统(ICS)系统结构示意图。
0等级是大型硬件的位置,这是人们在想到工厂或电厂时通常想到的设备。
但必须使用二级计算机来控制和监控这些设备。人机界面(HMI)监督控制和数据采集(SCADA)计算机为运营商提供了工业设备的可见性和控制,而工程工作站包括所需的蓝图、设计文档、设备代码、程序和配置来创建最终产品。
在许多情况下,集中文件服务器包括设计文件和产品文件,以及历史数据库(包括设备、性能指标和产品质量的历史数据库)。
如果勒索软件攻击能穿透2级和3级计算机,会发生什么?
新型勒索软件的攻击目的并非关闭或削弱受感染的计算机,能够有效停用受感染计算机的最后勒索软件是Petya,勒索软件于2017年和2018年投入使用。随后,由于计算机启动和操作需要这些文件,勒索软件家族在文件加密方面更加谨慎,故意排除系统文件和可执行文件。其他一切都被加密了。这意味着如果勒索软件攻击操作技术(OT)工厂车间不会突然关闭网络中的任何控制和监控计算机。
HMI示例
然而,它看起来像上图HMI不能加载,勒索软件攻击后会出错。
由于勒索软件的攻击,HMI可能遇到的漏洞
作为人机界面,HMI非常依赖图像文件。HMI每个按钮、值、标志、管道和设备部件都在HMI软件目录的某个地方有相应的文本文件。不仅如此,文本文件中还存储了包含值、映射、逻辑、阈值和词汇的配置,以及图像文件。在影响人机界面的勒索事件中,我们发现88%的加密文件是JPEG、BMP或GIF文件——使用人机界面的图像。如果所有这些文件都被加密,受影响的恢复系统将不仅仅是重新安装ICS软件。此外,还需要恢复定制HMI或SCADA接口。
请注意,勒索软件不需要直接针对ICS使用软件的过程ICS失去能力。通过对HMI、SCADA或工程工作站(EWS)对所依赖的文件进行加密,勒索软件会使系统失效,导致运营商失去查看和控制场景,最终破坏工厂的生产力。
盗窃设备操作信息
在制造环境中,网络文件共享实际上是必要的。在操作方面,工程师和设计师不仅将其作为共享设计和工程文件的手段,还将其作为参考文件、指导方针、组件列表、工具和工作流的存储库。
在业务运营方面,管理人员和员工使用网络共享存储相关供应商、供应商、采购订单、发票等信息。特殊的供应链管理(SCM)或产品生命周期管理(PLM)甚至可以在4级或5级找到系统及其相关数据库。
虽然影响这些文件存储库和数据库的勒索软件攻击不一定会破坏生产线,但它会阻碍商业运营、供应链管理、产品工程和设计。不幸的是,这些只是短期后果。现代勒索软件的操作还涉及数据盗窃,这将产生永久性影响。
在Maze在勒索软件的勒索模式的影响下,勒索软件组织利用现成的文件备份工具窃取受害者的数据几乎成为一种标准做法。最初,这样做的目的是增加受害者支付赎金的可能性,因为数据泄露会带来额外的勒索攻击。然而,勒索软件受害者的数据也被泄露或出售在地下。这对企业来说尤其不幸,因为设计和工程文件可能包含知识产权。此外,供应商和供应商的信息可能包含机密的供应链数据,如定价和订单信息。
制造商应考虑这些可能性,以防止他们遇到勒索软件事件。一旦生产和业务运营恢复,就需要评估被盗数据。之后,组织应该问自己一个问题:如果数据泄露或销售,对生产、业务关系和客户的影响是什么?这个问题的答案将指导制造商事后分析行动,并制定更有效的响应策略。
多年来,通过电子邮件附件或恶意网站安装勒索软件的事件大幅减少(见图4)。然而,从新闻标题来看,许多人可能认为勒索软件的数量并没有减少。
多年来,趋势来检测到的勒索软件都是通过电子邮件附件或恶意网站发起攻击的
这背后的原因是,在过去的几年里,勒索软件的攻击者对他们的目标变得更有选择性。他们已经开始摆脱大规模传播勒索软件垃圾广告的做法,并开始使用被称为垃圾广告“大猎物搜寻”(big game hunting)准确的方法。这意味着勒索软件攻击者不再关心那些个人受害者,而是对那些大中型企业更感兴趣。这种变化背后的原因是勒索软件攻击者每次攻击大中型企业都会得到很大的补偿。
攻击大中型企业需要更多的时间来观察、跟踪和行动。这就是为什么大多数影响大型行业(如制造业)的勒索软件家族被称为“入侵后勒索软件(post-intrusion ransomware)”。简而言之,攻击者在安装勒索软件之前就已经通过其他途径进入了网络。
影响制造业网络的不同勒索软件家族在2020年第三季度的分布
2020年第三季度,影响制造业的勒索软件大多是入侵后勒索软件。例如,在第三季度,勒索软件影响了大多数制造网络Sodinokibi,攻击者获得访问容易攻击Oracle WebLogic安装后的服务器权限。Gandcrab攻击者通常利用易受攻击的方式面对公众MySQL安装后的服务器。勒索软件Ryuk由攻击者安装,他们已经通过了Emotet恶意软件在网络中占有一席之地。Sodinokibi、Medusalocker、Crysis其他勒索软件的攻击者被认为滥用弱点RDP凭据。
更重要的是,这表明勒索软件事件不是一个单一的事件。相反,它是几个安全问题的外部表现,使攻击者能够进入网络,横向移动,并确定勒索的关键资产。
最近关于制造业的数据和ICS系统中的勒索软件模式表明,在非军事区(DMZ)网络分割中可能存在漏洞。这些因素使得IT网络中的攻击方案可以穿越OT网络。另一个可能的问题是,有些直接到达OT网络的远程访问连接非常弱或无法解释。然而,当勒索软件事件得到缓解,生产和操作可以恢复时,真正的恢复就不会结束。当勒索软件感染的安全漏洞最初得到解决时,它就结束了。
保护制造网络
正如我们在过去几年看到的,制造网络和其他行业一样容易被破坏。攻击者通常可以劫持特殊的设备、软件、协议和网络分段ICS系统。
最好的标准安全实践和解决方案应该是有效的,但它们应该以对生产环境敏感的方式部署。除了安全解决方案的标准能力外,制造业安全官员在评估安全解决方案时应考虑的额外要求是:
1.低延迟:解决方案应避免干扰对时间敏感的生产过程;
2.了解OT协议: 安全产品应正确识别和监控进出ICS系统流量;
3.对IT和OT网络集成监控测网络:安全策略需要能够协同工作并在网络段之间发送数据的产品,从而提高易用性,简化监控和响应;
参考及来源:https://www.trendmicro.com/en_us/research/20/l/the-impact-of-modern-ransomware-on-manufacturing-networks.html如若转载,请注明原文地址。