您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
勒索軟件攻擊是如何威脅我們的關(guān)鍵基礎(chǔ)設(shè)施的?
網(wǎng)絡(luò)攻擊者越來越多地利用勒索軟件來攻擊關(guān)鍵的基礎(chǔ)設(shè)施,今年2月,一家天然氣壓縮設(shè)施就遭到勒索軟件攻擊,被迫關(guān)閉兩天。自新冠疫情爆發(fā)以來,醫(yī)療保健公司和相關(guān)的研究實(shí)驗(yàn)室就成為了攻擊目標(biāo)。目前,費(fèi)城坦普爾大學(xué)的一個(gè)新的學(xué)術(shù)項(xiàng)目跟蹤了過去七年中對關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊,表明2019年和2020年這個(gè)攻擊趨勢激增,占整個(gè)報(bào)告事件總數(shù)的一半以上。在本文中,我們將結(jié)合最新數(shù)據(jù),并探討如何防止此類攻擊。
什么是關(guān)鍵基礎(chǔ)設(shè)施?
根據(jù)美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)的說法,“關(guān)鍵基礎(chǔ)設(shè)施”是對經(jīng)濟(jì)運(yùn)行、公共衛(wèi)生和國家安全至關(guān)重要的“資產(chǎn)、系統(tǒng)和網(wǎng)絡(luò)”,影響關(guān)鍵基礎(chǔ)設(shè)施的攻擊可能會對國家的運(yùn)作能力造成“破壞性影響”。
CISA表示,關(guān)鍵基礎(chǔ)設(shè)施分布在16個(gè)行業(yè),即:化工、商業(yè)設(shè)施、通信、關(guān)鍵制造業(yè)、國防、教育、應(yīng)急服務(wù)、能源、金融服務(wù)、食品和農(nóng)業(yè)、政府設(shè)施、醫(yī)療保健、信息技術(shù)、核能、運(yùn)輸和供水系統(tǒng)??梢钥吹竭@是一個(gè)相當(dāng)大的攻擊面,而這些部門中的許多組織都是由公共資金資助的,往往既缺乏預(yù)算,又缺乏大型、資源充足的私營企業(yè)的專業(yè)知識,這使得防御更加脆弱。自2018年以來,針對醫(yī)院、學(xué)校和亞特蘭大、格林維爾等城市,巴爾的摩和里維埃拉比奇市議會的一系列勒索軟件攻擊便是其中一些比較引人注目的案例。
勒索軟件攻擊關(guān)鍵基礎(chǔ)設(shè)施的頻率有多高?
在過去兩年中,對關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊急劇上升,并且所有跡象表明,隨著勒索軟件工具和RaaS產(chǎn)品變得越來越多并且攻擊者的技術(shù)門檻越來越低,將來的攻擊頻率還會更高。
坦普爾大學(xué)(Temple University)整理的公開數(shù)據(jù)顯示,在過去7年里,針對關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊次數(shù)達(dá)到了近700次,平均下來每年不到100起,但事實(shí)上,其中超過一半是在2019年以后發(fā)生的。在不到兩年的時(shí)間里(差四個(gè)月的數(shù)據(jù)要收集到2020年),440次攻擊相當(dāng)于每周發(fā)生了約5次對關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊。
攻擊涉及所有CI部門,從糧食、農(nóng)業(yè)到制造業(yè)、公共衛(wèi)生甚至教育行業(yè)。國防部門也被列為攻擊目標(biāo),恐怖的是核工業(yè)也被列為攻擊目標(biāo)。
近年來針對關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊大多針對的是政府運(yùn)營的設(shè)施,據(jù)報(bào)道有199起勒索軟件攻擊。對教育行業(yè)的攻擊數(shù)量緊隨其后,有106起,另外針對緊急服務(wù)的勒索軟件事件就有61起。
是誰在幕后策劃對關(guān)鍵基礎(chǔ)設(shè)施的攻擊?
隨著在暗網(wǎng)上出售的Netwalker等現(xiàn)成的勒索軟件工具的普及,對關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)的攻擊變得越來越頻繁。NetWalker作為一個(gè)勒索軟件,最早出現(xiàn)在2019年8月。在最初的版本中,該勒索軟件的名稱為Mailto,但在2019年年底重新命名為NetWalker。NetWalker的開發(fā)者似乎更青睞于能夠通過網(wǎng)絡(luò)攻擊,對RDP服務(wù)器、網(wǎng)絡(luò)設(shè)備、VPN服務(wù)器、防火墻等執(zhí)行入侵的關(guān)聯(lián)公司。值得注意的是,NetWalker的作者化名為Bugatti,只對雇傭說俄語的二級幫派感興趣。McAfee專家表示,從歷史上看,NetWalker通過利用Oracle WebLogic和Apache Tomcat服務(wù)器中的漏洞,通過RDP端點(diǎn)以薄弱的憑證進(jìn)入網(wǎng)絡(luò),或者通過對重要公司的工作人員進(jìn)行魚叉式釣魚來進(jìn)行入侵。安全公司McAfee在8月份發(fā)布的一份報(bào)告中表示,NetWalker勒索軟件的運(yùn)營者自今年3月以來已經(jīng)賺取了超過2500萬美元的贖金。不過依靠勒索軟件獲利最多的還是Maze,它在過去12個(gè)月左右的時(shí)間里一直四處傳播,不僅獲取加密數(shù)據(jù),更是以泄漏這些數(shù)據(jù)為要挾的手段。這一勒索策略已經(jīng)被REvil、Snatch、Netwalker、DoppelPaymer、Nemty和其他勒索軟件運(yùn)營商所采用。截止目前Maze至少發(fā)起過57次針對關(guān)鍵基礎(chǔ)設(shè)施事件的攻擊,除了Maze,Wannacry發(fā)起的“15 minutes of fame”攻擊導(dǎo)致它在16個(gè)重要行業(yè)中對企業(yè)造成了約33起攻。除上述勒索軟件外,還有Ryuk等也針對關(guān)鍵基礎(chǔ)設(shè)施發(fā)起了多次攻擊。比如DoppelPaymer(12次),Netwalker(11次),BitPaymer(8次),CryptoLocker(7次)和CryptoWall(5次)。
針對一個(gè)關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊成本是多少?
與APT和有國家支撐的攻擊組織可能會尋求侵入關(guān)鍵基礎(chǔ)設(shè)施發(fā)起間諜或破壞活動的不同,使用勒索軟件的一般攻擊者通常只會對一件事感興趣:財(cái)務(wù)收益。為此,記錄在案的13起案件要求的贖金總額超過500萬美元,另有13起的贖金金額在100萬至500萬美元之間。大約31起勒索軟件事件要求的贖金金額為100萬美元,而66起勒索軟件事件的贖金金額為5萬美元以下。
如上所述,勒索軟件的普及程度與其較低的技術(shù)門檻相關(guān),這也是很過所謂的新攻擊形式發(fā)生的原因。統(tǒng)計(jì)數(shù)據(jù)表明,針對關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)的54個(gè)勒索軟件攻擊所需的費(fèi)用僅僅為1000美元或更少。這些行動者很可能采取了“shotgun”或 “scattergun”的方法來攻擊目標(biāo),并且沒有完全意識到他們所破壞的組織的性質(zhì)。此外,一些RaaS工具對首次購買者和“試用”該軟件的新手設(shè)定了相當(dāng)?shù)偷内H金限制,以誘使這些新手在嘗到成功的甜頭后繼續(xù)購買“高級服務(wù)”。以NetWalker為例,該勒索軟件以封閉訪問的RaaS(勒索軟件即服務(wù))門戶的形式運(yùn)行。其他黑客團(tuán)伙注冊并通過審查,之后他們被授予訪問一個(gè)門戶網(wǎng)站的權(quán)限,在那里他們可以構(gòu)建定制版本的勒索軟件。而NetWalker如此受歡迎的原因之一,也是因?yàn)樗? "泄密門戶",該團(tuán)伙在網(wǎng)站上公布拒絕支付其贖金要求的受害者的姓名,并且發(fā)布數(shù)據(jù)。一旦NetWalker聯(lián)盟入侵網(wǎng)絡(luò),他們首先會竊取公司的敏感數(shù)據(jù),然后對文件進(jìn)行加密。如果受害者在最初的談判中拒絕支付解密文件的費(fèi)用,勒索軟件團(tuán)伙就會在他們的泄密網(wǎng)站上創(chuàng)建一個(gè)條目。該條目有一個(gè)計(jì)時(shí)器,如果受害者仍然拒絕支付,該團(tuán)伙就會泄公布他們從受害者網(wǎng)絡(luò)中竊取的文件。
如何保護(hù)關(guān)鍵的基礎(chǔ)設(shè)施免受勒索軟件的攻擊?
由于現(xiàn)代勒索軟件攻擊的本質(zhì)是竊取數(shù)據(jù)并加密文件,因此,勒索軟件防御的關(guān)鍵是預(yù)防。換句話說,就是防止攻擊者進(jìn)入,并在攻擊生命周期中盡早發(fā)現(xiàn)并阻止它們。
首先,防護(hù)者需要了解你的網(wǎng)絡(luò),連接了哪些設(shè)備,它們的作用是什么?通過主動和被動進(jìn)行的發(fā)現(xiàn)和指紋識別是防御攻擊者的先決條件。通過頻繁的修補(bǔ)程序來控制訪問,強(qiáng)化配置并減少漏洞也很重要。加強(qiáng)VPN連接、強(qiáng)制磁盤加密和端口控制也將減少勒索軟件的攻擊面。
其次電子郵件和網(wǎng)絡(luò)釣魚仍然是勒索軟件的主要傳播媒介,所以一個(gè)良好的和頻繁的模擬訓(xùn)練計(jì)劃是重要的。最重要的是,設(shè)置員工的訪問權(quán)限,確保即使用戶受到攻擊,他們也只能訪問其工作所需的服務(wù)和資源。
以上都是可以阻止攻擊的修補(bǔ)性措施,但是針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊者將找到解決這些防護(hù)措施的方法。因此,使用一種行之有效的EDR解決方案,才是最終解決方案。
參考及來源:
https://www.sentinelone.com/blog/how-ransomware-attacks-are-threatening-our-critical-infrastructure/
原文來源:嘶吼專業(yè)版