新型勒索软件对制造业网络的影响
新型勒索软件在2020年严重扰乱了制造业,今年第三季度出现了一种令人不安的趋势,攻击者似乎在其勒索软件运营中把制造企业作为攻击目标。
一下是来自趋势科技智能保护网络的数据,显示了勒索软件攻击行动对不同行业的影响。
2020年第三季度受勒索软件影响的行业
制造设施一般都是一些大型物理设备(装配线,熔炉,电动机等),但是技术的进步和工业4.0的趋势也意味着将计算机引入生产和运营系统中。这些大型工业设备由计算机控制或监控。这些计算机又连接到其他计算机和网络,以便传递数据。
下图就是工业控制系统(ICS)的体系结构示意图。
0级是大型硬件所在的位置,这些是人们想到工厂或发电厂时通常想到的设备。
但是,要控制和监控这些设备,必须使用2级计算机。人机界面(HMI)和监督控制与数据采集(SCADA)计算机为运营员提供了对工业设备的可见性和控制力,而工程工作站则包含了所需的蓝图、设计文档、设备人代码、程序和配置创建最终产品。
在许多情况下,可以在级别3上找到包含设计文件和产品文档以在工程工作站之间进行共享访问的集中式文件服务器,以及历史数据库(包含设备、性能指标和产品质量的历史数据库)。
如果勒索软件攻击能够穿透2级和3级计算机,会发生什么?
新型勒索软件的攻击目的并非关闭或削弱受感染的计算机,能够有效停用受感染计算机的最后勒索软件是Petya,该勒索软件于2017年和2018年投入使用。随后的勒索软件家族在文件加密方面更加小心,故意将系统文件和可执行文件排除在外,因为电脑启动和运营需要这些文件。其他一切都被加密了。这意味着,如果勒索软件攻击运营技术(OT)网络中的任何控制和监控计算机,则工厂车间不会突然停机。
HMI示例
但是,看起来像上图的HMI无法被加载,并且在勒索软件遭到攻击后会出错。
由于勒索软件的攻击,HMI可能遇到的漏洞
作为人机界面,HMI非常依赖于映像文件。 HMI中表示的每个按钮、值、标识、管道和设备部件都在HMI软件目录的某个地方有一个对应的文本文件。不仅如此,包含值、映射、逻辑、阈值和词汇的配置与映像文件一起存储在文本文件中。在一起影响人机界面的勒索事件中,我们发现88%的加密文件是JPEG、BMP或GIF文件——人机界面使用的映像。如果所有这些文件都被加密,恢复受影响的系统将不仅仅是重新安装ICS软件。此外,还需要恢复定制的HMI或SCADA接口。
请注意,勒索软件不需要直接针对ICS软件的进程,以使ICS失去能力。通过对HMI、SCADA或工程工作站(EWS)所依赖的文件进行加密,勒索软件可以使系统失效,导致运营员失去查看和控制场景,并最终破坏工厂的生产力。
盗窃设备运营信息
在制造环境中,网络文件共享实际上是必要的。在运营方面,工程师和设计师不仅将其作为共享设计和工程文档的手段,而且还将其作为参考文件、指导方针、部件列表、工具和工作流的存储库。
在业务运营方面,管理人员和员工使用网络共享存储有关供应商、供应商、采购订单、发票等信息。专门的供应链管理(SCM)或产品生命周期管理(PLM)系统及其相关的数据库甚至可以在4级或5级找到。
尽管影响这些文件存储库和数据库的勒索软件攻击不一定会破坏生产线,但它会妨碍商业运营、供应链管理以及产品工程和设计。不幸的是,这些只是短期后果。现代勒索软件的操作还涉及数据盗窃,这会造成永久性影响。
在Maze勒索软件的勒索模式影响下,勒索软件组织利用现成的文件备份工具,窃取受害者的数据几乎成为了标准做法。最初,这样做的目的是为了增加受害者支付赎金的可能性,因为数据泄漏会带来额外的敲诈攻击。然而,勒索软件受害者的数据也被泄漏给或在地下出售。这对企业来说尤其不幸,因为设计和工程文件可能包含知识产权。此外,供应商和供应商信息可能包含机密的供应链数据,如定价和订单信息。
制造公司应该考虑这些可能性,以防他们遇到勒索软件事件。一旦生产和业务操作恢复,就需要对被盗数据进行评估。之后,组织应该问自己一个问题:如果数据泄漏或出售,对生产、业务关系和客户的影响是什么?这个问题的答案将指导制造公司的事后分析行动,并使其能够制定更有效的响应策略。
这些年来,勒索软件通过电子邮件附件或恶意网站安装的事件大幅减少(见图4)。然而,从新闻标题来看,很多人可能认为勒索软件的数量并没有减少。
趋势科技多年来检测到的勒索软件都是以电子邮件附件或恶意网站开始发起攻击的
这背后的原因是,在过去几年里,勒索软件的攻击者对他们的目标变得更加有选择性。他们已经开始摆脱大规模传播勒索软件垃圾广告的做法,开始采用一种被称为“大猎物搜寻”(big game hunting)的精准方法。这意味着勒索软件攻击者不再不关心那些个体受害者,而是更感兴趣那些大中型企业。这种转变背后的原因是,勒索软件攻击者现在对大中型企业的攻击,每次都会获得很大的赔偿。
对大中型企业的攻击更加复杂,需要更多的时间来观察、追踪和行动。这就是为什么大多数影响大型行业(如制造业)的勒索软件家族被称为“侵入后勒索软件(post-intrusion ransomware)”。简而言之,攻击者在安装勒索软件之前就已经通过其他途径进入了网络。
影响制造业网络的不同勒索软件家族在2020年第三季度的分布
在2020年第三季度,大多数影响制造业的勒索软件都是入侵后勒索软件。比如在第三季度期间影响了大部分制造网络的勒索软件Sodinokibi,是在攻击者获得访问易受攻击的Oracle WebLogic服务器的权限后安装的。Gandcrab通常是在攻击者利用易受攻击的面向公众的MySQL服务器后安装的。勒索软件Ryuk是由攻击者安装的,他们已经通过Emotet恶意软件在网络中获得了一席之地。安装Sodinokibi、Medusalocker、Crysis和其他勒索软件的攻击者被认为滥用弱RDP凭据。
更重要的是,这表明勒索软件事件不是单一的事件。相反,它是几个安全问题的外在表现,使攻击者能够进入网络,横向移动,并确定关键资产进行勒索。
最近关于制造业的数据和ICS系统中勒索软件的模式都表明,在非军事区(DMZ)和网络分割中可能存在漏洞。这些因素使得IT网络中的攻击方案能够穿越到OT网络中。另一个可能的问题是,有些直接到OT网络的远程访问连接很弱或无法解释。然而,当勒索软件事件得到缓解,生产和运营能够恢复时,真正的恢复并不会结束。当最初解决了导致勒索软件感染的安全漏洞时,它就结束了。
保护制造网络
正如我们在过去几年所看到的,制造业的网络和其他行业的网络一样容易被破坏。即使有专门的设备、软件、协议和网络分段,攻击者通常也能够劫持ICS系统。
标准的安全最佳实践和解决方案应该是有效的,但是应该以一种对生产环境敏感的方式部署它们。除了安全解决方案的标准能力之外,制造业的安全官员在评估安全解决方案时应该考虑的额外要求是:
1.低延迟:解决方案应避免干扰对时间敏感的生产过程;
2.了解OT协议: 安全产品应正确识别和监控进出ICS系统的流量;
3.对IT和OT网络的集成监控和检测:安全策略需要能够协同工作并在网络段之间发送数据的产品,从而提高易用性并简化监控和响应;
参考及来源:https://www.trendmicro.com/en_us/research/20/l/the-impact-of-modern-ransomware-on-manufacturing-networks.html如若转载,请注明原文地址。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
纯 PHP 协程框架 Wind Framework 0.1.0 发布
Wind Framework 是我一开始基于纯 PHP 协程实现开发出的一个实验性项目,目的是为了测试纯 PHP 协程应用于工作中的可行性。但经过测试发现应对绝大部分 IO 密集型的场景是完全可行的,于是便基于此不断开发出来的框架。 基于此框架,可以使用纯 PHP 做到一个完全自足型的 PHP 程序。 传统的 php-fpm 做法,PHP 的应用场景非常有限,很多功能需要依赖周边工具做到,比如计划任务通过 crontab 来设置,消息队列可能以计划任务每分钟启动来执行,或通过进程的守护 Supervisord 来做一个很拙劣的长驻,基于对于数据库之类的连接数暴涨也要使用一些中间件,还有很多场景甚至是束手无策或者实现非常之差,php-fpm 碰到高并发时,实际并发数受到进程数的限制,想要把并发数做大实际付出也非常之大,所以往往企业规模做大,或者业务场景复杂之后都要引入其它语言的方案,这表面上是因为其它语言的生态问题,核心还是因为其它语言支持多线程或协程这两个重要的特性。 而基于纯 PHP 的协程框架,PHP 可以用相对非常少的资源实现以上的这些功能。 该框架是基于两个最重要的库 Work...
- 下一篇
Erupt 1.6.1 发布,全注解式开发,通用后台管理框架,提供全栈注解级解决方案
Erupt 是一个低代码全栈类框架,它使用Java 注解动态生成页面以及增、删、改、查、权限控制等后台功能。 零前端代码、零 CURD、自动建表,仅需一个类文件+ 简洁的注解配置,快速开发企业级 Admin 管理后台。 提供企业级中后台管理系统的全栈解决方案,大幅压缩研发周期,专注核心业务。 本次更新内容 Features 支持路由复用(已打开页面多页签切换)功能支持,支持配置化启用关闭 增加登录密码错误次数触发验证码配置 已加密MD5用户禁止修改为非MD5加密 添加 erupt-generator 模块,用于生成 erupt 代码 添加 erupt-tpl 模块,用于在 erupt 中自定义页面、自定义弹出层,支持 Thymeleaf /FreeMarker/ 原生H5 / Velocity,可根据引入Jar自动加载模板引擎 BugFix 修复,excel 导出最多只能导出500条数据(#9) 修复,链接类型菜单,点击进入后,左侧菜单不会切换UI到已点击状态(#8) 修复,连接类型菜单如果连接存在参数会被截断的问题(#6) 修复一对多引用新增时bool与对象数据不能正常渲染的问题 特...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- SpringBoot2全家桶,快速入门学习开发网站教程
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果