針對工業基礎設施的勒索軟體攻擊趨勢

對於勒索軟體組織及其附屬機構來說，去年是關鍵的一年，勒索軟體成為工業領域遭受入侵的首要原因。在2021年，遭受勒索軟體攻擊最多的工業部門是製造業，幾乎是其他工業部門的兩倍。對此， Dragos在《2021年ICS/OT網路安全年度回顧》中分析了工業基礎設施中勒索軟體攻擊的趨勢。

一、針對OT的勒索軟體威脅

在許多針對工業部門的攻擊中，OT和IT之間的界限模糊，以及對這些系統之間的互動知之甚少，再加上遠端訪問的增加，因為越來越多的組織依賴遠端辦公的員工，增加了整體風險。雖然勒索軟體主要針對企業IT系統，但在許多情況下，勒索軟體確實會直接影響OT，並在整合的IT和OT環境中產生影響。

一些勒索軟體運營者在攻擊企業IT時會間接影響OT。一旦攻擊者獲得初始訪問許可權，就可以執行勒索軟體，以在關鍵的企業IT系統中站穩腳跟，並可能橫向進入OT系統。在破壞組織後，他們要求受害者支付用於解密檔案的金鑰的贖金。通常受害者幾乎沒有辦法恢復其系統功能。

然而一些勒索軟體組織專門針對OT系統。EKANS是一款專門攻擊ICS的勒索軟體，在2020年針對電力、石油和天然氣、醫療和製藥製造以及汽車行業的公司。Dragos分析了EKANS惡意軟體的多個變種，發現EKANS變種能夠在啟動加密之前停止與ICS相關的Windows程式。

二、工業安全勒索軟體趨勢

Dragos分析彙總了2021年針對ICS行業的勒索軟體趨勢，其中製造業佔65%，其次是餐飲業11%和交通運輸業8%。在製造業中，金屬部件佔17%，其次是汽車8%和技術6%。製造業在OT安全防禦方面是最不安全的。

三、勒索軟體組織

勒索軟體組織Conti和Lockbit 2.0的攻擊次數佔總勒索軟體攻擊的51%，其中70%的惡意活動針對製造業。Conti可以追溯到2020年，最近確認的攻擊針對的是CS Energy和Shutterfly。2021年6月，Lockbit 2.0進行了重組，現在專注於竊取資料並通過威脅勒索受害者來獲取經濟利益，如果受害者不支付贖金就釋出洩露的資料。

根據Lockbit 2.0在暗網論壇上的一篇帖子，2021年，Lockbit 2.0聲稱擁有能源裝置供應商施耐德電氣的資料。該事件從未得到證實，施耐德電氣釋出的資料似乎來自之前對丹麥風力渦輪機制造商維斯塔斯的攻擊。

勒索軟體攻擊的激增可歸因於勒索軟體即服務(RaaS)現象。然而另一個關鍵因素是，工業部門的數字化轉型，以及IT和OT之間的連線性增強。Conti和Lockbit 2.0等勒索軟體組織已經動員了一個地下市場，他們的開發人員將業務外包給執行攻擊的附屬機構。附屬機構不需要高水平的專業技術知識，因為勒索軟體已經開發出來，他們可以購買系統訪問許可權並僱傭黑客，這大大降低了進入門檻。

四、勒索軟體業務日益成熟

隨著勒索軟體行為者的進入壁壘減少，對工業部門的財務影響越來越大。通常，勒索軟體組織會威脅要在加密目標檔案系統之前釋出洩露的公司和個人資訊，然後將資訊轉儲到暗網洩漏站點。2021年上半年，針對ICS行業的勒索軟體攻擊的平均修復成本持續上升，原因包括停機時間、人員配備、裝置和網路運營中斷、失去商機以及支付贖金。

勒索軟體組織DarkSide現已更名為REvil，為客戶服務提供實時聊天支援，並在宣佈關閉業務之前至少獲得了6000萬美元的收入。勒索軟體組織正在投資他們的業務，資助研發，隨著勒索方法變得越來越極端，研發正在推動其行業。

勒索軟體趨勢可能會繼續發生變化，隨著組織進行改革，重新確定優先順序順序，以及執法部門會追蹤勒索軟體並將其離線。隨著勒索軟體組織的解散和改革，勒索軟體變種混合在一起，並且更有可能在2022年開發出更多具有ICS/OT功能的變種。

五、趨勢預測

Dragos評估，勒索軟體將繼續破壞工業運營和OT環境，無論是通過將OT結束程式整合到勒索軟體中、還是通過存在扁平化網路以防止勒索軟體傳播到OT環境中，或者通過運營商關閉OT環境作為預防措施，同時試圖阻止IT勒索軟體傳播到OT系統。

Dragos評估，國家支援的攻擊者可能利用勒索軟體來掩蓋其替代行動、盜竊智慧財產權（包括關鍵的OT示意圖細節）、偵察目標網路、以及ICS網路殺傷鏈的其他第一階段元件。

最後Dragos表示，勒索軟體攻擊者的勒索技術將繼續提升，因為攻擊者會使用任何手段來追索贖金。