根據美國網絡安全與基礎設施安全局(CISA)的說法，“關鍵基礎設施”是對經濟運行、公共衛(wèi)生和國家安全至關重要的“資產、系統(tǒng)和網絡”，影響關鍵基礎設施的攻擊可能會對國家的運作能力造成“破壞性影響”。

 

　　CISA表示，關鍵基礎設施分布在16個行業(yè)，即:化工、商業(yè)設施、通信、關鍵制造業(yè)、國防、教育、應急服務、能源、金融服務、食品和農業(yè)、政府設施、醫(yī)療保健、信息技術、核能、運輸和供水系統(tǒng)。可以看到這是一個相當大的攻擊面，而這些部門中的許多組織都是由公共資金資助的，往往既缺乏預算，又缺乏大型、資源充足的私營企業(yè)的專業(yè)知識，這使得防御更加脆弱。自2018年以來，針對醫(yī)院、學校和亞特蘭大、格林維爾等城市，巴爾的摩和里維埃拉比奇市議會的一系列勒索軟件攻擊便是其中一些比較引人注目的案例。

 

 

　　在過去兩年中，對關鍵基礎設施的勒索軟件攻擊急劇上升，并且所有跡象表明，隨著勒索軟件工具和RaaS產品變得越來越多并且攻擊者的技術門檻越來越低，將來的攻擊頻率還會更高。

 

　　坦普爾大學(TempleUniversity)整理的公開數據顯示，在過去7年里，針對關鍵基礎設施的勒索軟件攻擊次數達到了近700次，平均下來每年不到100起，但事實上，其中超過一半是在2019年以后發(fā)生的。在不到兩年的時間里(差四個月的數據要收集到2020年)，440次攻擊相當于每周發(fā)生了約5次對關鍵基礎設施的勒索軟件攻擊。

 

　　攻擊涉及所有CI部門，從糧食、農業(yè)到制造業(yè)、公共衛(wèi)生甚至教育行業(yè)。國防部門也被列為攻擊目標，恐怖的是核工業(yè)也被列為攻擊目標。

 

　　近年來針對關鍵基礎設施的勒索軟件攻擊大多針對的是政府運營的設施，據報道有199起勒索軟件攻擊。對教育行業(yè)的攻擊數量緊隨其后，有106起，另外針對緊急服務的勒索軟件事件就有61起。

 

 

　　隨著在暗網上出售的Netwalker等現成的勒索軟件工具的普及，對關鍵基礎設施目標的攻擊變得越來越頻繁。NetWalker作為一個勒索軟件，最早出現在2019年8月。在最初的版本中，該勒索軟件的名稱為Mailto，但在2019年年底重新命名為NetWalker。NetWalker的開發(fā)者似乎更青睞于能夠通過網絡攻擊，對RDP服務器、網絡設備、VPN服務器、防火墻等執(zhí)行入侵的關聯(lián)公司。值得注意的是，NetWalker的作者化名為Bugatti，只對雇傭說俄語的二級幫派感興趣。McAfee專家表示，從歷史上看，NetWalker通過利用OracleWebLogic和ApacheTomcat服務器中的漏洞，通過RDP端點以薄弱的憑證進入網絡，或者通過對重要公司的工作人員進行魚叉式釣魚來進行入侵。安全公司McAfee在8月份發(fā)布的一份報告中表示，NetWalker勒索軟件的運營者自今年3月以來已經賺取了超過2500萬美元的贖金。不過依靠勒索軟件獲利最多的還是Maze，它在過去12個月左右的時間里一直四處傳播，不僅獲取加密數據，更是以泄漏這些數據為要挾的手段。這一勒索策略已經被REvil、Snatch、Netwalker、DoppelPaymer、Nemty和其他勒索軟件運營商所采用。截止目前Maze至少發(fā)起過57次針對關鍵基礎設施事件的攻擊，除了Maze，Wannacry發(fā)起的“15minutesoffame”攻擊導致它在16個重要行業(yè)中對企業(yè)造成了約33起攻。除上述勒索軟件外，還有Ryuk等也針對關鍵基礎設施發(fā)起了多次攻擊。比如DoppelPaymer(12次)，Netwalker(11次)，BitPaymer(8次)，CryptoLocker(7次)和CryptoWall(5次)。

 

 

　　與APT和有國家支撐的攻擊組織可能會尋求侵入關鍵基礎設施發(fā)起間諜或破壞活動的不同，使用勒索軟件的一般攻擊者通常只會對一件事感興趣：財務收益。為此，記錄在案的13起案件要求的贖金總額超過500萬美元，另有13起的贖金金額在100萬至500萬美元之間。大約31起勒索軟件事件要求的贖金金額為100萬美元，而66起勒索軟件事件的贖金金額為5萬美元以下。

 

　　如上所述，勒索軟件的普及程度與其較低的技術門檻相關，這也是很過所謂的新攻擊形式發(fā)生的原因。統(tǒng)計數據表明，針對關鍵基礎設施目標的54個勒索軟件攻擊所需的費用僅僅為1000美元或更少。這些行動者很可能采取了“shotgun”或“scattergun”的方法來攻擊目標，并且沒有完全意識到他們所破壞的組織的性質。此外，一些RaaS工具對首次購買者和“試用”該軟件的新手設定了相當低的贖金限制，以誘使這些新手在嘗到成功的甜頭后繼續(xù)購買“高級服務”。以NetWalker為例，該勒索軟件以封閉訪問的RaaS(勒索軟件即服務)門戶的形式運行。其他黑客團伙注冊并通過審查，之后他們被授予訪問一個門戶網站的權限，在那里他們可以構建定制版本的勒索軟件。而NetWalker如此受歡迎的原因之一，也是因為它的"泄密門戶"，該團伙在網站上公布拒絕支付其贖金要求的受害者的姓名，并且發(fā)布數據。一旦NetWalker聯(lián)盟入侵網絡，他們首先會竊取公司的敏感數據，然后對文件進行加密。如果受害者在最初的談判中拒絕支付解密文件的費用，勒索軟件團伙就會在他們的泄密網站上創(chuàng)建一個條目。該條目有一個計時器，如果受害者仍然拒絕支付，該團伙就會泄公布他們從受害者網絡中竊取的文件。

 

 

　　由于現代勒索軟件攻擊的本質是竊取數據并加密文件，因此，勒索軟件防御的關鍵是預防。換句話說，就是防止攻擊者進入，并在攻擊生命周期中盡早發(fā)現并阻止它們。

 

　　首先，防護者需要了解你的網絡，連接了哪些設備，它們的作用是什么?通過主動和被動進行的發(fā)現和指紋識別是防御攻擊者的先決條件。通過頻繁的修補程序來控制訪問，強化配置并減少漏洞也很重要。加強VPN連接、強制磁盤加密和端口控制也將減少勒索軟件的攻擊面。

 

　　其次電子郵件和網絡釣魚仍然是勒索軟件的主要傳播媒介，所以一個良好的和頻繁的模擬訓練計劃是重要的。最重要的是，設置員工的訪問權限，確保即使用戶受到攻擊，他們也只能訪問其工作所需的服務和資源。

 

　　以上都是可以阻止攻擊的修補性措施，但是針對關鍵基礎設施的攻擊者將找到解決這些防護措施的方法。因此，使用一種行之有效的EDR解決方案，才是最終解決方案。

 

　　本文翻譯自：https://www.sentinelone.com/blog/how-ransomware-attacks-are-threatening-our-critical-infrastructure/如若轉載，請注明原文地址。