2021年5月7日,美国最大油气管道运营商Colonial Pipeline公司遭到了勒索软件攻击,攻击者窃取了该公司的重要数据文件,其燃油管道运输管理系统也遭到了黑客的劫持,直接导致美国东部沿海各州的关键供油管道被迫关闭。这起攻击事件给美国东海岸17个州造成了极大的燃油供应压力,媒体称亚特兰大、北卡罗莱纳州等地汽油供应已出现短缺。
据美联社报道,这是美国关键基础设施迄今遭遇的最严重网络攻击。美国联邦调查局指认,DarkSide勒索软件团伙是这起攻击事件背后的罪魁祸首。DarkSide是2020年8月新出现的一个勒索软件团伙,目前已有超过40个受害企业遭到该勒索软件团伙攻击,被勒索赎金数额在20万至200万美元之间。
据5月12日Colonial Pipeline公司最新消息,目前其燃油管道运输管理系统已经得到恢复,燃油运输管道也正在逐步恢复运行中。
勒索攻击愈演愈烈 敲响关键基础设施安全警钟
近年来,随着网络犯罪成本和难度的不断提高,日益猖獗的勒索软件犯罪团伙逐渐将目光从互联网和金融领域转向了安全建设相对滞后的关键基础设施,如石油化工、电网、交通、水利以及一些工业自动化领域,都已经成为了勒索软件攻击的重灾区。
据腾讯安全统计,近一年内,针对关键基础设施发起的勒索软件攻击事件已发生多起,在给受害企业造成巨额经济损失的同时,也严重危害了国家安全和社会安全。
· 2020年4月,葡萄牙跨国能源公司EDP遭到Ragnar Locker勒索软件袭击,攻击者窃取了10TB的敏感数据文件,向EDP索要1090万美元的巨额赎金;
· 2020年6月欧洲能源行业巨头Enel Group遭到了EKANS勒索软件的攻击,导致内部IT网络中断。这是一个专门针对工业控制系统发起攻击的勒索软件团伙,能源、制造业都是其重要攻击目标;
· 2020年10月,Enel Group再次遭到勒索软件Netwalker的攻击,攻击者窃取了5TB的敏感数据,并为之开出了1400万美元的巨额勒索;
· 2021年2月,美国以天然气管道运营商遭到不明勒索软件攻击,攻击导致该公司天然气运输管道被迫关闭数日;
事实上,除了上述这些针对能源行业的勒索软件攻击事件外,更多针对电力、医疗以及其他公共设施的攻击事件早已不胜枚举。
近两年来,在利益的驱动下,勒索软件团伙的发展正在表现出产业化的特征,勒索软件组织内部不同员工之间的分工十分明确,其中有勒索病毒软件代码的作者,有负责钓鱼邮件的投递者和传播者,也有扮演中间人角色的解密代理等等,已经发展成为了一个相当成熟的黑色产业链条。
在攻击模式上,勒索软件团伙也开始从最初的广撒网,不区分目标的攻击方式,逐渐的转向瞄准高价值潜力的大型企业目标发起定向勒索攻击,通过长期的潜伏和渗透来获取更大的攻击收益。
腾讯安全专家表示,勒索病毒从零星恶作剧发展到频繁发生的主要原因包括三点:第一勤索病毒加密手段复杂,解密成本高;第二,使用电子货币支付赎金,变现快追踪难;第三,勒索软件服务化的出现,开发者提供整套勒索软件解决方案,从勒索软件的开发、传播到赎金收取都提供完整的服务。攻击者不需要任何知识,只要支付少量的租金就可以开展勒索软件的非法勾当,大大降低了勒索软件的门槛,推动了勒索软件大规模爆发。
与此同时,随着不断有新的攻击者通过迫使受害者就范而获得非法收益,散在发生的勒索病毒攻击手法日益流行,其表现和传播手法也在不断升级。常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、Web 服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。
值得一提的是,勒索病毒未来将呈现勒索产业化、场景多样化、平台多元化等显著趋势,持续对公众网络安全造成更大的安全威胁。
关键基础设施应该如何应对愈发严峻的勒索软件攻击?
作为拥有二十余年安全能力沉淀经验的安全厂商,腾讯安全一直在持续对全球勒索病毒深入分析及研判,挖掘其中涉及的安全漏洞、入侵手法和攻击工具,帮助各类企业用户规避勒索软件攻击风险,提供可靠的安全防护。
资产管理不到位是关键基础设施单位普遍存在的痛点。根据腾讯的经验来看,发生勒索软件安全事件的企业普遍存在资产不清晰,管理不到位的情况,导致企业的一些重要资产暴露在了外网上,变成了一个可被攻破的薄弱环节。
政企单位和关键基础设施单位都应该持续的对内部资产长期进行审核和分类管理,定期对业务系统和不同的设备系统进行安全升级与维护,针对一些比较敏感的业务系统,如果因为业务和运营需要而不得不暴露在公网上,那么就应该进行相应的安全隔离和访问控制。
针对这类资产管理,腾讯安全建议企业用户部署如腾讯T-Sec 零信任安全管理系统iOA,腾讯iOA零信任无边界访问控制系统可以帮助用户建立多因素身份验证机制,通过身份认证以及设备的安全状态来确定是否允许登录账户访问,以降低外部攻击风险。
提升威胁感知能力是应对新型攻击的有效方式。针对一些大中型企业,建议采用腾讯T-Sec高级威胁检测系统持续监测内网风险,腾讯云高级威胁检测系统通过镜像方式采集企业网络边界流量,对流量进行解析、还原文件;通过入侵规则、威胁情报匹配和沙箱文件分析等技术手段识别威胁,保障企业系统安全。同时,系统将对流量日志、告警报文进行存储,方便事故后追踪溯源。
在部署腾讯T-Sec高级威胁检测系统后,一旦用户资产发生病毒感染事件,可以第一时间感知哪些资产已被感染,及时发现内网入侵风险,及时封堵弱点,修补漏洞,避免重要业务系统被勒索病毒破坏。
统筹安全运营是感知安全风险的重要手段。面对大量的未知威胁,只有通过持续的安全运营才能够有效提升对安全威胁的发现能力。腾讯安全推荐政企客户采用腾讯T-Sec 安全运营中心来统筹安全运营,一方面,针对资产不清晰的问题,T-Sec 安全运营中心能够对云上各类资产进行自动化动态盘点,杜绝影子IT所带来的安全隐患,同时还会对互联网攻击面、合规等安全问题定期进行自动识别与评估,为用户构建事前安全预防的“最前线”。
另一方面,T-Sec 安全运营中心能够通过内置的安全编排响应剧本,对安全事件进行自动化响应处置并提供响应报告详情,同时将检测到的安全相关数据统一采集集中存储,在大幅提升安全事件响应处置效率的基础上,建立安全日志审计与调查检索平台。在此过程中,还有腾讯安全专家团队根据需要提供应急响应服务,实现“产品+服务”的安全保障。让用户的云上安全水平得到全面提升。
腾讯安全认为,就当前勒索软件团伙表现出来的产业化和高度定向攻击趋势来看,当前单靠技术手段,或者依靠某一款安全产品很难建立起有效的防御。抵御勒索软件攻击是一件长期且持续的事情,不是加强某个环节、某一个点就能解决,而是需要体系化的管控,关键基础设施单位只有整体提升防护水平,建立完整的网络安全体系,方能在攻击发生前建立安全的御敌屏障。