如何抵御不断变化的勒索病毒攻击

丹尼尔·多斯桑托斯合著

最近由LockBit发起的勒索软件攻击表明，IT环境和OT环境之间的界限正在继续消失，但更大的情况是，随着OT环境成为攻击的目标，勒索软件家族、民族国家行为者和黑客活动分子之间的界限正在日益交叉。在过去的几周里，勒索软件团伙攻击了洛杉矶市住房管理局，对里斯本港进行了勒索软件攻击，甚至还攻击了多伦多的儿童医院。

勒索病毒家族喜欢LockBit继续不受惩罚地攻击，尽管针对关键基础设施目标的方法往往略有不同:这些组织不是加密数据并将其作为人质，而是威胁要泄露数据，除非他们的要求得到满足。

对这些威胁行为者来说，改变操作程序是为了不被发现。殖民管道袭击事件引起了全球的关注，提高了人们对此类袭击的认识。这种新方法侧重于窃取和勒索，而不是加密，但仍使关键基础设施运营商面临更高的中断风险。

多阶段的攻击

勒索软件攻击者并不想要这些数据。如果他们的要求得不到满足，他们就会公布这些信息，或者把这些信息卖给其他黑客或黑客组织，而后者将继续攻击。

这些黑客的OT攻击可能涉及流程图和工程文档或流程值等数据。攻击者可以利用这些数据造成物理破坏，而不仅仅是经济利益。追求这些信息的黑客通常是国家行为者，但针对OT的黑客活动分子正在上升。

由国家支持的行为者开发的复杂恶意软件，如Stuxnet、industriyer和Triton，通常是在经历了一次黑客攻击之后开发的长时间的侦察和情报收集．如果必要的数据已经被勒索软件组织泄露，这一步可能会被这些泄露所促进。同样，不那么老练的威胁行为者——比如黑客活动分子——可能会利用这类泄露来追求类似的目标。

被攻击的技术组件包括plc、SCADA系统、工程工作站和运行Windows的数据历史记录，这些设备通常连接到企业网络。这些网络还有其他类型的有价值的数据，比如密码表、网络图和敏感的商业信息。

确定动力

要阻止这类攻击，我们必须首先了解黑客的动机。许多公司已经实施了备份来恢复被勒索软件攻击加密的系统，因此攻击者也在使用这种新方法来确保他们的财务成功。除了经济利益之外，威胁行为者可能想要造成物理破坏，从事商业间谍活动，窃取知识产权，或基于他们的政治动机“发送信息”。

今天的网络安全解决方案不仅存在于保护组织免受民族国家行为者和

威胁那些有这些目的的演员，但也反对黑客活动分子和任何寻求媒体曝光或寻求为他们的事业发表声明的人。例如，环境黑客主义者去年就把中美洲和南美洲的矿业和石油公司作为攻击目标。他们当时的作案手法是窃取敏感电子邮件来为自己辩护，但他们也可能在2023年开始利用之前攻击者提供的数据来攻击这些组织中的OT资产。

使用每种数据类型的攻击者的类型可能是不同的，因此他们的动机通常很快就会显现出来。确定这些动机有助于确定适当的风险管理策略。在数据泄露的情况下，大多数响应都太晚了。这些类型的攻击需要一个主动的风险降低和缓解策略，这样攻击就不会成功，或者会尽快自动停止。而对基本加密攻击的响应可能是改进备份和恢复过程，以便能够尽快恢复操作。

准备和应对

资产所有者和关键基础设施运营商必须防范这些数据泄露和多阶段类型的攻击。然而，随着威胁形势的不断变化，这可能会很困难。操作技术提供了独特的挑战，例如专有协议和许多系统是在连接网络的概念出现之前创建的，现在才被威胁行为者利用。

为了做好准备，组织技术领导者必须一致认同单一的思维方式，并概述类似的语言、优先级和kpi。还需要增加具有不同背景的利益相关者之间的合作，例如IT和OT团队。

由于网络技能的短缺，这些挑战近年来才有所增加。因此，勒索软件威胁者可以在不触发事件响应措施的情况下窃取数据。许多组织直到攻击之后才意识到——有时是几个月之后——他们已经成为了受害者。当然，前提是发现了事故。

那么如何保证安全呢?

许多领先的关键基础设施运营商已经开始维护所有设备的资产清单，包括专业的OT和物联网资产。这提供了对资产基线、风险和合规性状态的洞察。但这还不足以阻止甚至检测到最新的网络攻击。需要采取行动补救和减轻风险。这在OT环境中尤其具有挑战性，因为在安全和生产条件允许的情况下，补丁或添加额外的分段通常必须推迟。

为了跟上新兴网络风险的步伐，关键基础设施组织已经开始持续监控其OT资产和网络通信，以便在导致事件发生之前识别任何行为变化。难以建立OT安全实践的组织可以利用外部安全服务进行分析和威胁搜索。对于OT的具体情况，让专家作为OT和安全团队的延伸来监控这一关键领域是很有帮助的。当问题上升到一定程度时，威胁搜索专家可以提请您注意，并提供建议的遏制和补救指导。

组织还应寻求进行以人为主导的威胁搜索演习，以帮助进一步降低网络风险。知道要寻找什么并理解动机可以大大降低威胁行动者成功的机会。

前进的道路

这些类型的数据泄露OT攻击在2022年有所增长，并将在今年继续增长。现在是解决这一变化并确保您的数据安全的时候了。

了解组织的运营和系统比以往任何时候都更重要，这意味着要采取积极主动的方法进行资产清查，持续监控和防御，并改善IT和OT团队之间的协作。

拥有资源和SOC/事件响应团队的公司应该主动监控其安全边界，并调查数据泄漏案例。他们应该了解网络世界正在发生什么，并超越他们所处的环境。了解这些威胁可以让组织优先考虑安全资源，与面临相同威胁的其他组织协同工作，并确保对其数据的持续保护。