本文來自微信公眾號(hào)“GoUpSec”。
2023年針對(duì)能源部門和關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊爆發(fā)式增長,包括BlackCat/ALPHV、Medusa(美杜莎)和LockBit3.0等十幾個(gè)知名勒索軟件組織紛紛加強(qiáng)了對(duì)能源行業(yè)高價(jià)值目標(biāo)的攻擊,能源行業(yè)面臨的威脅態(tài)勢(shì)急速惡化。
2023年能源行業(yè)重大勒索軟件/數(shù)據(jù)泄漏事件如下:
●2023年11月,勒索軟件組織BlackCat/ALPHV將臺(tái)灣中國石化添加到泄漏站點(diǎn)受害者名單中,泄漏數(shù)據(jù)大小為41.9GB。
●2023年11月,美國愛達(dá)荷國家實(shí)驗(yàn)室(INL)遭黑客組織SiegedSec攻擊,運(yùn)行OracleHCM系統(tǒng)的服務(wù)器遭到入侵,包括工作人員在內(nèi)的數(shù)十萬個(gè)人數(shù)據(jù)泄漏。INL是美國能源部運(yùn)營的核研究中心,擁有50座實(shí)驗(yàn)核反應(yīng)堆。
●2023年9月7日,親俄羅斯的“STORMOUS”勒索軟件團(tuán)伙宣布泄漏了越南國家石油天然氣集團(tuán)(PVN)旗下的越南石油建設(shè)股份公司(PVC)成員公司JSC(PVC-MS)的300GB數(shù)據(jù)。后者成立于1983年,主要從事石油和天然氣領(lǐng)域建造、制造、安裝平臺(tái)、儲(chǔ)罐、管道。
●2023年8月,以色列Neve Ne'eman核反應(yīng)堆數(shù)據(jù)庫在暗網(wǎng)論壇中以900美元的價(jià)格出售,黑客聲稱數(shù)據(jù)庫中包括官員和教授的全名及其居住地址的所有信息;10GB機(jī)密文件,包括實(shí)驗(yàn)中使用的組件和材料;反應(yīng)堆的尺寸、水平和位置;用于登錄的電子郵件、ip和密碼(ssh smtp服務(wù)器)。
●2023年5月,黑客在暗網(wǎng)論壇上泄露了從伊朗核電生產(chǎn)和開發(fā)公司(AEOI)竊取的10萬多封電子郵件。
●2023年3月,黑客在暗網(wǎng)論壇上泄露了從印度尼西亞國家核能機(jī)構(gòu)(Batan)竊取的1.4GB數(shù)據(jù)。
●2023年2月,勒索軟件組織美杜莎聲稱攻擊了中國石油(印尼公司)并索要贖金40萬美元。
●2023年2月,中國臺(tái)灣電池制造商菲宏(Phihong)公司遭Lockbit3.0攻擊,遭數(shù)據(jù)泄漏勒索。
●2023年2月,為羅馬市提供電力和供水服務(wù)的意大利公司Acea遭Black Basta勒索軟件組織攻擊,導(dǎo)致網(wǎng)站服務(wù)癱瘓。
2023年能源行業(yè)勒索軟件攻擊六大趨勢(shì)
根據(jù)Resecurity最新發(fā)布的《2022-2023能源行業(yè)勒索軟件攻擊報(bào)告》,2023年能源行業(yè)勒索軟件攻擊呈現(xiàn)以下六大趨勢(shì):
針對(duì)能源行業(yè)的勒索軟件攻擊顯著增加。在北美、亞洲和歐盟(EU)都發(fā)現(xiàn)了針對(duì)能源行業(yè)的惡意活動(dòng)。網(wǎng)絡(luò)犯罪分子瞄準(zhǔn)這一領(lǐng)域的原因是涉及的數(shù)據(jù)資產(chǎn)價(jià)值更高,可以索取更多贖金。這些攻擊也表面,對(duì)于勒索軟件組織而言,關(guān)鍵基礎(chǔ)設(shè)施的數(shù)據(jù)資產(chǎn)比其他經(jīng)濟(jì)部門的數(shù)據(jù)資產(chǎn)更有價(jià)值。
采用新的攻擊策略提高加密速度,逃避檢測。勒索軟件攻擊者在針對(duì)能源企業(yè)和機(jī)構(gòu)的“大型狩獵”中部署的新攻擊策略包括間歇性加密、使用更現(xiàn)代的專業(yè)編程語言以及涉及多個(gè)變體的雙重勒索軟件攻擊。根據(jù)美國國土安全部的報(bào)告,這些新興技術(shù)策略使攻擊者能夠“更快地加密系統(tǒng)并減少被檢測到的機(jī)會(huì)。
能源行業(yè)勒索軟件攻擊的生態(tài)化協(xié)作。能源行業(yè)的勒索軟件攻擊并非單一組織的孤立行動(dòng),而是得到了包括初始訪問權(quán)限經(jīng)紀(jì)人(IAB)和工具開發(fā)商組成的蓬勃發(fā)展的攻擊生態(tài)系統(tǒng)的支持,這些網(wǎng)絡(luò)犯罪組織的橫向合作表明能源行業(yè)已經(jīng)被攻擊者眼中的高價(jià)值數(shù)據(jù)金礦。
初始訪問經(jīng)紀(jì)人積極尋找能源行業(yè)的憑據(jù)和身份數(shù)據(jù)。Resecurity已識(shí)別出幾家在暗網(wǎng)上運(yùn)營的初始訪問經(jīng)紀(jì)人(IAB),正在積極尋找能源行業(yè)的憑據(jù)和其他未經(jīng)授權(quán)的入侵方法。其中一些IAB甚至兜售核能公司的未授權(quán)訪問。此外,Resecurity還發(fā)現(xiàn)主要網(wǎng)絡(luò)犯罪論壇上的大量帖子,包括RAMP(俄羅斯匿名市場),攻擊者已經(jīng)并繼續(xù)從購買能源行業(yè)非法網(wǎng)絡(luò)訪問權(quán)限中獲利。
勒索贖金金額高漲。針對(duì)能源公司的勒索軟件攻擊贖金金額不斷增長,最高超過了700萬美元。勒索軟件組織向受害組織索要巨額贖金的另外一個(gè)關(guān)鍵因素是:受害者周圍環(huán)境中的工業(yè)流程可能遭受毀滅性破壞。
核能設(shè)施和機(jī)構(gòu)成熱門目標(biāo)。核能組織是勒索軟件組織和從事網(wǎng)絡(luò)間諜活動(dòng)的APT組織的高優(yōu)先級(jí)目標(biāo)。因?yàn)楹四茉O(shè)施遭受勒索軟件攻擊會(huì)對(duì)地緣政治關(guān)系、資本市場、公共安全和國家安全產(chǎn)生重大影響。
2024年展望
2024年,預(yù)計(jì)將有越來越多的勒索軟件組織優(yōu)先考慮能源行業(yè)的高價(jià)值目標(biāo),尤其是核能行業(yè)以及石油和天然氣供應(yīng)商的下游和上游業(yè)務(wù)。隨著能源行業(yè)數(shù)字化的不斷發(fā)展,IT與OT加快融合,攻擊面隨之不斷擴(kuò)大,資產(chǎn)和數(shù)據(jù)多樣化、為攻擊者提供了更多利用機(jī)會(huì)。
此外,由于能源屬于關(guān)鍵基礎(chǔ)設(shè)施行業(yè),支付巨額贖金的可能性較高,進(jìn)一步增加了對(duì)勒索軟件組織的吸引力。因此,2024年能源行業(yè)將迎來勒索軟件攻擊的“大考”,能源企業(yè)必須大力加強(qiáng)網(wǎng)絡(luò)防御,為即將出現(xiàn)的破壞性極高的復(fù)雜攻擊做好準(zhǔn)備。