石化、鋼鐵等行業成勒索軟件重災區 2020上半年十大典型勒索軟件攻擊事件盤點

  天地和興總結梳理的上半年工業企業10起典型攻擊事件中，有7起是勒索攻擊。2月，勒索攻擊殃及美國天然氣管道公司，CISA未透露勒索軟件名稱。勒索軟件Nefilim攻擊澳大利亞Toll集團；3月，勒索軟件Ryuk攻擊鋼鐵制造商EVRAZ公司及其北美分支機構，包括加拿大和美國的鋼鐵生產廠；4月，Ragnar Locker勒索軟件襲擊了葡萄牙跨國能源公司EDP(Energias de Portugal)，并且索要1580個比特幣贖金(折合約1090萬美元/990萬歐元)；5月，勒索軟件Nefilim襲擊了臺灣石油、汽油和天然氣公司CPC公司及其競爭對手臺塑石化公司(FPCC)。另有未透露名稱的勒索軟件攻擊了瑞士鐵路機車制造商Stadler；6月，勒索軟件EKANS/Snake攻擊了本田汽車制造商。

  2020上半年十大典型勒索軟件事件

  1、美國天然氣管道遭受勒索軟件攻擊

  2月，美國網絡安全和基礎設施安全局（CISA）發布公告，稱一家未公開名字的天然氣公司因遭受勒索軟件攻擊后被迫關閉設施兩天。根據CISA報告中提供的有限細節，攻擊者最初使用包含惡意鏈接的魚叉式網絡釣魚郵件攻擊未公開名字的美國天然氣管道運營商。

  為了排查問題并恢復運營，工作人員關閉了壓縮設施兩天，盡管勒索病毒僅直接鎖定了一個控制設備的網絡數據，但由于天然氣傳輸對管道的依賴性，一個控制設備的停擺最終導致這家企業關閉運營持續了兩天時間。而作為下游能源供應商，受天然氣供應關閉影響的上游企業雖未公布，但波及范圍可想而知。

  2、澳大利亞一航運及物流公司持續遭受勒索軟件攻擊

  2月，澳大利亞一航運及物流公司遭到勒索軟件攻擊，隨后該公司便清理服務器，防止數據被盜。據悉，該公司四個月內已遭受二次勒索軟件攻擊。經調查發現，被攻擊系統中存在Nefilim勒索軟件（由Nemty演變而來的新一代勒索軟件）。在盜走企業資料后，不法分子會以公布機密資料作為理由來勒索企業。

  3、鋼鐵制造商遭受勒索軟件攻擊

  3月，一家鋼鐵制造商在北美分支機構，包括加拿大和美國的鋼鐵生產廠均遭受了勒索軟件Ryuk攻擊，導致其在北美的分支機構癱瘓，大多數工廠都已停止生產。該公司是全球最大的跨國垂直整合煉鋼和采礦公司之一，主要在俄羅斯運營，但在烏克蘭、哈薩克斯坦、意大利、捷克共和國、美國、加拿大和南非也有業務。

  4、以色列水利基礎設施遭受重大網絡攻擊

  4月，黑客攻擊了以色列的水利設施。該國的廢水處理廠、泵站、污水處理設施的SCADA系統多次遭受了網絡攻擊，以色列國家網絡局發布公告稱，各能源和水行業企業需要緊急更改所有聯網系統的口令，以應對網絡攻擊的威脅。以色列計算機緊急響應團隊(CERT)和以色列政府水利局也發布了類似的安全警告，水利局告知企業“重點更改運營系統和液氯控制設備”的口令，因為這兩類系統遭受的攻擊最多。

  5、歐洲能源巨頭遭勒索軟件攻擊

  4月，葡萄牙一跨國能源公司遭到勒索軟件攻擊。攻擊者聲稱，已獲取該公司10TB的敏感數據文件，并且索要1580的比特幣贖金（折合約1090萬美元/990萬歐元）。

  6、伊朗霍爾木茲海峽的重要港口遭受網絡攻擊

  5月9日，伊朗霍爾木茲海峽的重要港口沙希德·拉賈伊遭遇網絡攻擊。調節船只、卡車、貨物流通的計算機系統一度崩潰，致使該港口水路和道路運行發生嚴重混亂。據《以色列時報》報道，5月9日通往沙希德·拉賈伊港的高速公路上出現了長達數公里的交通擁堵，甚至一連幾天，大量船只仍無法入港進行卸載。

  7、臺灣兩大煉油廠遭受勒索軟件攻擊

  5月，臺灣兩大煉油廠在兩天內都受到了網絡攻擊。一家公司首先受到攻擊，而另一家在第二天也遭受攻擊。盡管仍接受信用卡和現金，但客戶無法在加油站使用VIP支付卡或電子支付應用程序。其中一家公司高管聲稱，破壞是由勒索軟件引起的。

  8、瑞士鐵路機車制造商遭勒索攻擊

  5月，瑞士一鐵路機車制造商對外披露，其近期遭受了網絡攻擊，攻擊者設法滲透其IT網絡，并用惡意軟件感染了部分計算機，很可能已經竊取到部分數據。未知攻擊者試圖勒索該公司巨額贖金，否則將會公開所盜取的數據。

  9、汽車制造商遭受勒索軟件Snake攻擊

  6月7日，某汽車制造商位于美國、歐洲及日本分公司的服務器，遭勒索軟件攻擊。BBC的報道顯示該公司過去48小時遭遇了極為慘烈的勒索軟件攻擊：勒索軟件已經傳播到其整個網絡，影響了該公司的計算機服務器、電子郵件以及其他內網功能，目前企業正在努力將影響降到最低，并恢復生產、銷售和開發活動的全部功能。

  10、阿塞拜疆政府和能源部門遭受黑客攻擊

  思科Talos威脅情報和研究小組的報告顯示，已經發現有針對阿塞拜疆能源領域的威脅攻擊，特別是與風力渦輪機相關的SCADA系統。這些攻擊針對的目標是阿塞拜疆政府和公用事業公司，惡意代碼旨在感染廣泛用于能源和制造業的監督控制和數據采集（SCADA）系統，在這些攻擊中使用的新的基于Python的遠程訪問木馬（RAT），稱其為惡意軟件PoetRAT。

  思考及建議

  2020年，熱度飆升的勒索軟件已經成為與APT并列的最危險的網絡安全威脅。針對性、復雜化和高傷害成本是2020年勒索軟件加速“進化”的三大特征。勒索軟件不僅數量增幅快，而且危害日益嚴重，特別是針對關鍵基礎設施和重要信息系統的勒索攻擊，影響更為廣泛。被勒索機構既有巨額經濟損失，又有數據無法恢復甚至被惡意泄露的風險，雙重勒索的陰影揮之不去。勒索攻擊的危害遠不止贖金造成的經濟損失，更嚴重的是會給企業和組織機構帶來額外的復雜性，造成數據損毀或遺失、生產力破壞、正常業務中斷、企業聲譽損害等多方面的損失。比如3月初，美國精密零件制造商Visser Precision遭受勒索軟件DoppelPayment攻擊，攻擊者入侵了Visser的電腦對其文件進行加密，并要求Visser在3月底支付贖金，否則將把機密文件內容公開到網絡上。由于沒有收到勒索款項，DoppelPaymer在網上公開了關于SpaceX、Lockheed-Martin、特斯拉、波音等公司的機密信息，被泄露的資訊包括Lockheed-Martin設計的軍事裝備的細節，比如反迫擊炮防御系統中的天線規格、賬單和付款表格、供應商資訊、數據分析報告以及法律文書等。此外，Visser與特斯拉SpaceX之間的保密協議也在泄露文件中。

  毫無疑問，勒索軟件攻擊在今后很長一段時間內仍然是政府、企業、個人共同面對的主要安全威脅。勒索軟件的攻擊方式隨著新技術的應用發展不斷變化，有針對性的勒索軟件事件給不同行業和地區的企業帶來了破壞性攻擊威脅，勒索攻擊產業化、場景多樣化、平臺多元化的特征會更加突出。在工業企業場景中，勒索軟件慣用的攻擊向量主要是弱口令、被盜憑據、RDP服務、USB設備、釣魚郵件等，有效防范勒索軟件攻擊，仍需要針對性做好基礎防御工作，構建和擴張深度防御，從而保障企業數據安全，促進業務良性發展。

  1、強化端點防護

  及時加固終端、服務器，所有服務器、終端應強行實施復雜口令策略，杜絕弱口令；安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫；及時安裝漏洞補?。环掌鏖_啟關鍵日志收集功能，為安全事件的追溯提供基礎。

  2、關閉不需要的端口和服務

  嚴格控制端口管理，盡量關閉不必要的文件共享權限以及關閉不必要的端口(RDP服務的3389端口)，同時使用適用的防惡意代碼軟件進行安全防護。

  3、采用多因素認證

  利用被盜的員工憑據來進入網絡并分發勒索軟件是一種常見的攻擊方式。這些憑據通常是通過網絡釣魚收集的，或者是從過去的入侵活動中獲取的。為了減少攻擊的可能性，務必在所有技術解決方案中采用多因素身份驗證(MFA)。

  4、全面強化資產細粒度訪問

  增強資產可見性，細化資產訪問控制。員工、合作伙伴和客戶均遵循身份和訪問管理為中心。合理劃分安全域，采取必要的微隔離。落實好最小權限原則。

  5、深入掌控威脅態勢

  持續加強威脅監測和檢測能力，依托資產可見能力、威脅情報共享和態勢感知能力，形成有效的威脅早發現、早隔離、早處置的機制。

  6、制定業務連續性計劃

  強化業務數據備份，對業務系統及數據進行及時備份，并驗證備份系統及備份數據的可用性；建立安全災備預案。同時，做好備份系統與主系統的安全隔離，避免主系統和備份系統同時被攻擊，影響業務連續性。業務連續性和災難恢復(BCDR)解決方案應成為在發生攻擊時維持運營的策略的一部分。

  7、加強安全意識培訓和教育

  員工安全意識淡漠，是一個重要問題。必須經常提供網絡安全培訓，以確保員工可以發現并避免潛在的網絡釣魚電子郵件，這是勒索軟件的主要入口之一。將該培訓與網絡釣魚演練結合使用，以掌握員工的脆弱點。確定最脆弱的員工，并為他們提供更多的支持或安全措施，以降低風險。

  8、定期檢查

  每三到六個月對網絡衛生習慣、威脅狀況、業務連續性計劃以及關鍵資產訪問日志進行一次審核。通過這些措施不斷改善安全計劃。及時了解風險，主動防御勒索軟件攻擊并減輕其影響。

  此外，無論是企業還是個人受害者，都不建議支付贖金。支付贖金不僅變相鼓勵了勒索攻擊行為，而且解密的過程還可能會帶來新的安全風險。