网络攻击者越来越多地利用勒索软件来攻击关键的基础设施,今年2月,一家天然气压缩设施就遭到勒索软件攻击,被迫关闭两天;美国工控系统遭遇网络攻击,美国政府宣布进入紧急状态;自新冠疫情爆发以来,医疗保健公司和相关的研究实验室就成为了攻击目标。目前,费城坦普尔大学的一个新的学术项目跟踪了过去七年中对关键基础设施的勒索软件攻击,表明2019年和2020年这个攻击趋势激增,占整个报告事件总数的一半以上。在本文中,我们将结合最新数据,并探讨如何防止此类攻击。
什么是关键基础设施?
根据美国网络安全与基础设施安全局(CISA)的说法,“关键基础设施”是对经济运行、公共卫生和国家安全至关重要的“资产、系统和网络”,影响关键基础设施的攻击可能会对国家的运作能力造成“破坏性影响”。
CISA表示,关键基础设施分布在16个行业,即:化工、商业设施、通信、关键制造业、国防、教育、应急服务、能源、金融服务、食品和农业、政府设施、医疗保健、信息技术、核能、运输和供水系统。可以看到这是一个相当大的攻击面,而这些部门中的许多组织都是由公共资金资助的,往往既缺乏预算,又缺乏大型、资源充足的私营企业的专业知识,这使得防御更加脆弱。自2018年以来,针对医院、学校和亚特兰大、格林维尔等城市,巴尔的摩和里维埃拉比奇市议会的一系列勒索软件攻击便是其中一些比较引人注目的案例。
勒索软件攻击关键基础设施的频率有多高?
在过去两年中,对关键基础设施的勒索软件攻击急剧上升,并且所有迹象表明,随着勒索软件工具和RaaS产品变得越来越多并且攻击者的技术门槛越来越低,将来的攻击频率还会更高。
坦普尔大学(Temple University)整理的公开数据显示,在过去7年里,针对关键基础设施的勒索软件攻击次数达到了近700次,平均下来每年不到100起,但事实上,其中超过一半是在2019年以后发生的。在不到两年的时间里(差四个月的数据要收集到2020年),440次攻击相当于每周发生了约5次对关键基础设施的勒索软件攻击。
攻击涉及所有CI部门,从粮食、农业到制造业、公共卫生甚至教育行业。国防部门也被列为攻击目标,恐怖的是核工业也被列为攻击目标。
近年来针对关键基础设施的勒索软件攻击大多针对的是政府运营的设施,据报道有199起勒索软件攻击。对教育行业的攻击数量紧随其后,有106起,另外针对紧急服务的勒索软件事件就有61起。
是谁在幕后策划对关键基础设施的攻击?
随着在暗网上出售的Netwalker等现成的勒索软件工具的普及,对关键基础设施目标的攻击变得越来越频繁。NetWalker作为一个勒索软件,最早出现在2019年8月。在最初的版本中,该勒索软件的名称为Mailto,但在2019年年底重新命名为NetWalker。NetWalker的开发者似乎更青睐于能够通过网络攻击,对RDP服务器、网络设备、VPN服务器、防火墙等执行入侵的关联公司。值得注意的是,NetWalker的作者化名为Bugatti,只对雇佣说俄语的二级帮派感兴趣。McAfee专家表示,从历史上看,NetWalker通过利用Oracle WebLogic和Apache Tomcat服务器中的漏洞,通过RDP端点以薄弱的凭证进入网络,或者通过对重要公司的工作人员进行鱼叉式钓鱼来进行入侵。安全公司McAfee在8月份发布的一份报告中表示,NetWalker勒索软件的运营者自今年3月以来已经赚取了超过2500万美元的赎金。不过依靠勒索软件获利最多的还是Maze,它在过去12个月左右的时间里一直四处传播,不仅获取加密数据,更是以泄漏这些数据为要挟的手段。这一勒索策略已经被REvil、Snatch、Netwalker、DoppelPaymer、Nemty和其他勒索软件运营商所采用。截止目前Maze至少发起过57次针对关键基础设施事件的攻击,除了Maze,Wannacry发起的“15 minutes of fame”攻击导致它在16个重要行业中对企业造成了约33起攻。除上述勒索软件外,还有Ryuk等也针对关键基础设施发起了多次攻击。比如DoppelPaymer(12次),Netwalker(11次),BitPaymer(8次),CryptoLocker(7次)和CryptoWall(5次)。
针对一个关键基础设施的勒索软件攻击成本是多少?
与APT和有国家支撑的攻击组织可能会寻求侵入关键基础设施发起间谍或破坏活动的不同,使用勒索软件的一般攻击者通常只会对一件事感兴趣:财务收益。为此,记录在案的13起案件要求的赎金总额超过500万美元,另有13起的赎金金额在100万至500万美元之间。大约31起勒索软件事件要求的赎金金额为100万美元,而66起勒索软件事件的赎金金额为5万美元以下。
如上所述,勒索软件的普及程度与其较低的技术门槛相关,这也是很过所谓的新攻击形式发生的原因。统计数据表明,针对关键基础设施目标的54个勒索软件攻击所需的费用仅仅为1000美元或更少。这些行动者很可能采取了“shotgun”或 “scattergun”的方法来攻击目标,并且没有完全意识到他们所破坏的组织的性质。此外,一些RaaS工具对首次购买者和“试用”该软件的新手设定了相当低的赎金限制,以诱使这些新手在尝到成功的甜头后继续购买“高级服务”。以NetWalker为例,该勒索软件以封闭访问的RaaS(勒索软件即服务)门户的形式运行。其他黑客团伙注册并通过审查,之后他们被授予访问一个门户网站的权限,在那里他们可以构建定制版本的勒索软件。而NetWalker如此受欢迎的原因之一,也是因为它的 "泄密门户",该团伙在网站上公布拒绝支付其赎金要求的受害者的姓名,并且发布数据。一旦NetWalker联盟入侵网络,他们首先会窃取公司的敏感数据,然后对文件进行加密。如果受害者在最初的谈判中拒绝支付解密文件的费用,勒索软件团伙就会在他们的泄密网站上创建一个条目。该条目有一个计时器,如果受害者仍然拒绝支付,该团伙就会泄公布他们从受害者网络中窃取的文件。
如何保护关键的基础设施免受勒索软件的攻击?
由于现代勒索软件攻击的本质是窃取数据并加密文件,因此,勒索软件防御的关键是预防。换句话说,就是防止攻击者进入,并在攻击生命周期中尽早发现并阻止它们。
首先,防护者需要了解你的网络,连接了哪些设备,它们的作用是什么?通过主动和被动进行的发现和指纹识别是防御攻击者的先决条件。通过频繁的修补程序来控制访问,强化配置并减少漏洞也很重要。加强VPN连接、强制磁盘加密和端口控制也将减少勒索软件的攻击面。
其次电子邮件和网络钓鱼仍然是勒索软件的主要传播媒介,所以一个良好的和频繁的模拟训练计划是重要的。最重要的是,设置员工的访问权限,确保即使用户受到攻击,他们也只能访问其工作所需的服务和资源。
以上都是可以阻止攻击的修补性措施,但是针对关键基础设施的攻击者将找到解决这些防护措施的方法。因此,使用一种行之有效的EDR解决方案,才是最终解决方案。