一. 近兩年全球嚴重勒索病毒事件舉例
2019年3月下旬,世界最大的鋁產品生產商之一挪威海德魯公司(Norsk Hydro)遭遇勒索軟體公司,隨後該公司被迫關閉了幾條自動化生產線,損失不可估量。
2019年12月,Maze(迷宮)勒索團伙向Southwire集團勒索600W美元,Southwire是北美領先的電線電纜製造商之一,勒索團伙聲稱:如果Southwire不交贖金,則會在網路上公佈該公司的洩漏的120G重要資料。
2020年6月9日,本田公司遭遇了極其嚴重的勒索軟體攻擊。攻擊者使用的可能是Ekans勒索軟體。Ekans是Snake勒索軟體的一種,它具有較新的攻擊模式,針對工業控制系統進行攻擊。
二. 事件分析
其實自2017年5月WannaCry勒索病毒爆發以來,勒索軟體的熱度持續飆升。工業領域因其運營成本高、資料價值大、社會影響廣,成為攻擊者開展勒索攻擊的首選目標。近年來出現的多個新型勒索軟體將攻擊目標精準定位於工業控制系統。
根據《2020年工業資訊保安態勢報告》報告顯示,公開發布的工業資訊保安事件共274件,其中勒索軟體攻擊共92件,佔比33.6%,涉及多個重點行業。安全公司Dragos和研究團隊X-Force釋出的《針對工業控制系統的勒索軟體攻擊評估報告》顯示,過去兩年針對工業實體的勒索攻擊暴增了超500%,其中,製造業是發生勒索軟體攻擊事件最多的行業,攻擊數量佔比高達36%。
作為自我進化能力最強的網路安全威脅之一的勒索病毒,勒索病毒的組織開始致力於定向針對工業領域實施攻擊。新型勒索病毒可終止工業控制系統關鍵程式,對工業生產造成嚴重損失。根據安全公司FireEye釋出的報告,2020年共發現EKANS、DoppelPaymer、LockerGoga、Maze、MegaCortex、Nefilim、CLOP等7個勒索病毒家族將數千個工業軟體程式列入“黑名單”,涉及西門子、GE等多個品牌工業控制系統。安全公司Dragos釋出的《製造業網路威脅展望》報告顯示,駭客組織XENOTIME和ELECTRUM可利用針對工業控制系統的惡意軟體TRISIS和CRASHOVERRIDE,對製造業企業發起定向勒索攻擊。
究其原因,是因為廣泛用於工業領域的物聯網裝置存在安全漏洞。如FibaroHomeCenterLite、Homematic中央控制單元(CCU2)及eLAN-RF-003等智慧家居集線器、Thales通訊模組、TreckTCP/IP軟體庫。攻擊者可利用設計缺陷、弱口令等安全漏洞劫持智慧門鎖、樓宇門禁、LED燈控制檯、智慧監控裝置及系統,變更配置引數、篡改控制指令、中斷正常執行、訪問內部網路,甚至用以發動中間人(MitM)或拒絕服務(DoS)攻擊。
三. 漏洞情況
2020年CICSVD收錄的工業資訊保安漏洞資料顯示,工業系統中的漏洞主要情況有:
1、漏洞數量增長迅速且高危漏洞佔多數
2020年,CICSVD共收錄工業資訊保安漏洞2138個,較2019年上升22.2%,其中通用型漏洞2045個,事件型漏洞93個。通用型漏洞中,高危及以上漏洞佔比高達62.5%。危害等級較高的漏洞包括TreckTCP/IP軟體庫漏洞、法國施耐德電氣公司EasergyT300認證繞過漏洞、德國WAGO公司I/O-CHECK工業軟體緩衝區錯誤漏洞、瑞士ABB公司Relion670Series目錄遍歷漏洞等。
2、漏洞分佈範圍廣泛
在CICSVD收錄的通用型漏洞中,工業主機裝置和軟體類、工業生產控制裝置類和工業網路通訊裝置類產品合計佔比72.8%的產品大類。PLC、組態軟體、工業路由器、SCADA、工業軟體合計佔比83%的產品小類。漏洞基本涵蓋國內外主流裝置廠商,涉及德國西門子公司、法國施耐德電氣公司、瑞士ABB公司等335家廠商。
3、漏洞型別多樣
漏洞共涉及31種漏洞型別。其中,緩衝區錯誤漏洞數量最多,為337個(佔比16.5%),輸入驗證錯誤、授權問題、資源管理錯誤漏洞分別佔比7.4%、7.2%和6.9%。受影響系統及裝置多為SCADA、工業資訊系統、串列埠伺服器等。
需要注意的是,通用型工業協議遭受攻擊次數要高於特定行業專屬協議。從攻擊協議分析,S7Comm和Modbus兩種主流通用協議遭受攻擊次數最多,佔比近40%。DNP3、IEC104等特定行業專屬協議遭受的攻擊次數相對較少。
在入侵方式上,根據反勒索服務統計資料顯示,勒索病毒的攻擊手段包括弱口令攻擊、橫向滲透、釣魚郵件、漏洞利用、網站掛馬、破解或啟用工具、殭屍網路、供應鏈攻擊等手段。
四. 裝置情況
各類低防護聯網裝置數量有較大幅度增長。我國各類低防護聯網裝置數量總計超過500萬,其中,攝像頭、車載模組、印表機等終端裝置佔比超過80%。可程式設計邏輯控制器(PLC)、資料採集與監視控制系統(SCADA)、資料傳輸單元(DTU)等工業控制系統數量已超過2.5萬。
低防護聯網工業控制系統中,電力系統、Modbus協議裝置、DTU資料採集終端佔比最高
DLT698電能採集主站、Modbus協議裝置、DTU資料採集終端佔比分別為31.60%、20.52%和20.03%。其中,Modbus協議裝置涉及施耐德、和利時、通用電氣、羅克韋爾、浙江中控等國內外主流工業控制系統廠商,在多個工業重點行業領域應用廣泛。由於Modbus協議自身安全性不足,存在加密手段缺失、授權認證不足等固有問題,導致此類低防護聯網裝置存在較大安全隱患。
工業數字化轉型的推動和監測技術水平的提升導致低防護聯網工業控制系統數量激增。
五. 發展趨勢
結合X-Force的事件響應資料,勒索病毒越發呈現這樣的發展趨勢。
雙重勒索策略。由於組織可以選擇從備份中恢復,而不支付贖金,攻擊者已經改變了策略,不僅加密資料,使其無法訪問。在對受害者的資料庫加密前,攻擊者會提取大量敏感商業資訊,威脅不支付贖金就釋出這些資訊,使得受害者不僅要面臨破壞性的資料洩漏,還有相關法規、財務和聲譽影響。
殭屍網路與勒索病毒相互勾結。殭屍網路是一種透過多重傳播手段,將大量主機感染bot程式,從而在控制者和感染殭屍網路程式之間所形成的一對多控制的網路,殭屍網路擁有豐富的資源(肉雞),勒索病毒團伙與其合作可迅速提升其勒索規模,進而直接有效增加勒索收益。臭名昭著的有Emotet僵網和Ryuk勒索;Phorpiex僵網和Nemty勒索;Phorpiex僵網和GandCrab勒索;Phorpiex殭屍網路群發勒索恐嚇郵件等。
從近年的攻擊事件來看,IoT已然成為勒索病毒攻擊的新目標。由於工業成本高且影響巨大,攻擊者開始大範圍的對工業裝置、智慧攝像頭、路由器等裝置開展勒索攻擊,如GlobeImposter,Crysis等典型勒索病毒家族都在聚焦企業使用者。