網絡攻擊者越來(lái)越多(duō)地利用勒索軟件來(lái)攻擊關鍵的基礎設施，今年2月，一家(jiā)天然氣壓縮設施就遭到勒索軟件攻擊，被迫關閉兩天。自新冠疫情爆發以來(lái)，醫(yī)療保健公司和(hé)相關的研究實驗室就成為(wèi)了攻擊目标。目前，費城坦普爾大(dà)學的一個(gè)新的學術(shù)項目跟蹤了過去七年中對關鍵基礎設施的勒索軟件攻擊，表明(míng)2019年和(hé)2020年這個(gè)攻擊趨勢激增，占整個(gè)報告事件總數(shù)的一半以上(shàng)。在本文中，我們将結合最新數(shù)據，并探討(tǎo)如何防止此類攻擊。

根據美國網絡安全與基礎設施安全局(CISA)的說法，“關鍵基礎設施”是對經濟運行(xíng)、公共衛生(shēng)和(hé)國家(jiā)安全至關重要的“資産、系統和(hé)網絡”，影(yǐng)響關鍵基礎設施的攻擊可(kě)能會(huì)對國家(jiā)的運作(zuò)能力造成“破壞性影(yǐng)響”。

CISA表示，關鍵基礎設施分布在16個(gè)行(xíng)業，即:化工、商業設施、通(tōng)信、關鍵制(zhì)造業、國防、教育、應急服務、能源、金融服務、食品和(hé)農業、政府設施、醫(yī)療保健、信息技(jì)術(shù)、核能、運輸和(hé)供水(shuǐ)系統。可(kě)以看到這是一個(gè)相當大(dà)的攻擊面，而這些(xiē)部門(mén)中的許多(duō)組織都是由公共資金資助的，往往既缺乏預算(suàn)，又缺乏大(dà)型、資源充足的私營企業的專業知識，這使得(de)防禦更加脆弱。自2018年以來(lái)，針對醫(yī)院、學校(xiào)和(hé)亞特蘭大(dà)、格林維爾等城市，巴爾的摩和(hé)裏維埃拉比奇市議會(huì)的一系列勒索軟件攻擊便是其中一些(xiē)比較引人(rén)注目的案例。

在過去兩年中，對關鍵基礎設施的勒索軟件攻擊急劇(jù)上(shàng)升，并且所有(yǒu)迹象表明(míng)，随着勒索軟件工具和(hé)RaaS産品變得(de)越來(lái)越多(duō)并且攻擊者的技(jì)術(shù)門(mén)檻越來(lái)越低(dī)，将來(lái)的攻擊頻率還(hái)會(huì)更高(gāo)。

坦普爾大(dà)學(Temple University)整理(lǐ)的公開(kāi)數(shù)據顯示，在過去7年裏，針對關鍵基礎設施的勒索軟件攻擊次數(shù)達到了近700次，平均下來(lái)每年不到100起，但(dàn)事實上(shàng)，其中超過一半是在2019年以後發生(shēng)的。在不到兩年的時(shí)間(jiān)裏(差四個(gè)月的數(shù)據要收集到2020年)，440次攻擊相當于每周發生(shēng)了約5次對關鍵基礎設施的勒索軟件攻擊。

攻擊涉及所有(yǒu)CI部門(mén)，從糧食、農業到制(zhì)造業、公共衛生(shēng)甚至教育行(xíng)業。國防部門(mén)也被列為(wèi)攻擊目标，恐怖的是核工業也被列為(wèi)攻擊目标。

近年來(lái)針對關鍵基礎設施的勒索軟件攻擊大(dà)多(duō)針對的是政府運營的設施，據報道(dào)有(yǒu)199起勒索軟件攻擊。對教育行(xíng)業的攻擊數(shù)量緊随其後，有(yǒu)106起，另外針對緊急服務的勒索軟件事件就有(yǒu)61起。

随着在暗網上(shàng)出售的Netwalker等現成的勒索軟件工具的普及，對關鍵基礎設施目标的攻擊變得(de)越來(lái)越頻繁。NetWalker作(zuò)為(wèi)一個(gè)勒索軟件，最早出現在2019年8月。在最初的版本中，該勒索軟件的名稱為(wèi)Mailto，但(dàn)在2019年年底重新命名為(wèi)NetWalker。NetWalker的開(kāi)發者似乎更青睐于能夠通(tōng)過網絡攻擊，對RDP服務器(qì)、網絡設備、VPN服務器(qì)、防火(huǒ)牆等執行(xíng)入侵的關聯公司。值得(de)注意的是，NetWalker的作(zuò)者化名為(wèi)Bugatti，隻對雇傭說俄語的二級幫派感興趣。McAfee專家(jiā)表示，從曆史上(shàng)看，NetWalker通(tōng)過利用Oracle WebLogic和(hé)Apache Tomcat服務器(qì)中的漏洞，通(tōng)過RDP端點以薄弱的憑證進入網絡，或者通(tōng)過對重要公司的工作(zuò)人(rén)員進行(xíng)魚叉式釣魚來(lái)進行(xíng)入侵。安全公司McAfee在8月份發布的一份報告中表示，NetWalker勒索軟件的運營者自今年3月以來(lái)已經賺取了超過2500萬美元的贖金。不過依靠勒索軟件獲利最多(duō)的還(hái)是Maze，它在過去12個(gè)月左右的時(shí)間(jiān)裏一直四處傳播，不僅獲取加密數(shù)據，更是以洩漏這些(xiē)數(shù)據為(wèi)要挾的手段。這一勒索策略已經被REvil、Snatch、Netwalker、DoppelPaymer、Nemty和(hé)其他勒索軟件運營商所采用。截止目前Maze至少(shǎo)發起過57次針對關鍵基礎設施事件的攻擊，除了Maze，Wannacry發起的“15 minutes of fame”攻擊導緻它在16個(gè)重要行(xíng)業中對企業造成了約33起攻。除上(shàng)述勒索軟件外，還(hái)有(yǒu)Ryuk等也針對關鍵基礎設施發起了多(duō)次攻擊。比如DoppelPaymer（12次），Netwalker（11次），BitPaymer（8次），CryptoLocker（7次）和(hé)CryptoWall（5次）。

與APT和(hé)有(yǒu)國家(jiā)支撐的攻擊組織可(kě)能會(huì)尋求侵入關鍵基礎設施發起間(jiān)諜或破壞活動的不同，使用勒索軟件的一般攻擊者通(tōng)常隻會(huì)對一件事感興趣：财務收益。為(wèi)此，記錄在案的13起案件要求的贖金總額超過500萬美元，另有(yǒu)13起的贖金金額在100萬至500萬美元之間(jiān)。大(dà)約31起勒索軟件事件要求的贖金金額為(wèi)100萬美元，而66起勒索軟件事件的贖金金額為(wèi)5萬美元以下。

如上(shàng)所述，勒索軟件的普及程度與其較低(dī)的技(jì)術(shù)門(mén)檻相關，這也是很(hěn)過所謂的新攻擊形式發生(shēng)的原因。統計(jì)數(shù)據表明(míng)，針對關鍵基礎設施目标的54個(gè)勒索軟件攻擊所需的費用僅僅為(wèi)1000美元或更少(shǎo)。這些(xiē)行(xíng)動者很(hěn)可(kě)能采取了“shotgun”或 “scattergun”的方法來(lái)攻擊目标，并且沒有(yǒu)完全意識到他們所破壞的組織的性質。此外，一些(xiē)RaaS工具對首次購買者和(hé)“試用”該軟件的新手設定了相當低(dī)的贖金限制(zhì)，以誘使這些(xiē)新手在嘗到成功的甜頭後繼續購買“高(gāo)級服務”。以NetWalker為(wèi)例，該勒索軟件以封閉訪問的RaaS（勒索軟件即服務）門(mén)戶的形式運行(xíng)。其他黑(hēi)客團夥注冊并通(tōng)過審查，之後他們被授予訪問一個(gè)門(mén)戶網站(zhàn)的權限，在那(nà)裏他們可(kě)以構建定制(zhì)版本的勒索軟件。而NetWalker如此受歡迎的原因之一，也是因為(wèi)它的 "洩密門(mén)戶"，該團夥在網站(zhàn)上(shàng)公布拒絕支付其贖金要求的受害者的姓名，并且發布數(shù)據。一旦NetWalker聯盟入侵網絡，他們首先會(huì)竊取公司的敏感數(shù)據，然後對文件進行(xíng)加密。如果受害者在最初的談判中拒絕支付解密文件的費用，勒索軟件團夥就會(huì)在他們的洩密網站(zhàn)上(shàng)創建一個(gè)條目。該條目有(yǒu)一個(gè)計(jì)時(shí)器(qì)，如果受害者仍然拒絕支付，該團夥就會(huì)洩公布他們從受害者網絡中竊取的文件。

由于現代勒索軟件攻擊的本質是竊取數(shù)據并加密文件，因此，勒索軟件防禦的關鍵是預防。換句話(huà)說，就是防止攻擊者進入，并在攻擊生(shēng)命周期中盡早發現并阻止它們。

首先，防護者需要了解你(nǐ)的網絡，連接了哪些(xiē)設備，它們的作(zuò)用是什麽？通(tōng)過主動和(hé)被動進行(xíng)的發現和(hé)指紋識别是防禦攻擊者的先決條件。通(tōng)過頻繁的修補程序來(lái)控制(zhì)訪問，強化配置并減少(shǎo)漏洞也很(hěn)重要。加強VPN連接、強制(zhì)磁盤加密和(hé)端口控制(zhì)也将減少(shǎo)勒索軟件的攻擊面。

其次電(diàn)子郵件和(hé)網絡釣魚仍然是勒索軟件的主要傳播媒介，所以一個(gè)良好的和(hé)頻繁的模拟訓練計(jì)劃是重要的。最重要的是，設置員工的訪問權限，确保即使用戶受到攻擊，他們也隻能訪問其工作(zuò)所需的服務和(hé)資源。

以上(shàng)都是可(kě)以阻止攻擊的修補性措施，但(dàn)是針對關鍵基礎設施的攻擊者将找到解決這些(xiē)防護措施的方法。因此，使用一種行(xíng)之有(yǒu)效的EDR解決方案，才是最終解決方案。

參考及來(lái)源：https://www.sentinelone.com/blog/how-ransomware-attacks-are-threatening-our-critical-infrastructure/

轉自lucywang/嘶吼專業版、/