工业领域勒索软件攻击情况及对策

1 工业部门面临的勒索软件威胁格局

2020年以来，各种勒索软件层出不穷，新的黑客组织加入，导致勒索软件攻击越来越频繁。企业和个人用户已成为勒索软件攻击的目标。《腾讯安全 2020 上半年勒索报告》显示，传统企业（42%）、教育（18%）、医疗（15%）和政府机构（15%）遭受的勒索软件攻击最为严重，而互联网(5%))、金融 (2%) 和能源 (1%) 也不同程度地受到勒索软件攻击的影响。

1.1 勒索软件变种增加

今年以来，最常见的几种勒索软件非常活跃，仍然是值得关注的安全隐患。

WannaRen 勒索软件家族于 2020 年 4 月被发现。它是 WannaCry 勒索软件病毒的新变种。主要以TXT文字和图片的形式传播。三年前，WannaCry 勒索软件病毒肆虐全球 150 个国家。超过 300,000 家机构的文件被黑客加密并捕获。许多行业几乎停产，直接经济损失高达80亿美元以上。

Globelmposter 勒索软件家族占 22.85%。它于 2017 年首次被发现，此后演变成几个众所周知的变体。2020年上半年，该勒索软件以C4H强力攻击，使用RDP/SMB蛮力攻击。2月23日，病毒被植入湖南某医院系统，导致文件被加密，所有医院信息系统无法正常使用。

Sodinokibi 勒索软件占 26.7%。它于2019年5月在意大利被发现，并已在全球传播。攻击主要通过Oracle WebLogic漏洞、Flash UAF漏洞、钓鱼邮件、RDP端口等发起，非法​​获利数百万美元。

Phobos 勒索软件占比 19.65%，于 2019 年 8 月被发现，其传播方式主要为 RDP 暴力破解和钓鱼邮件。Phobos 使用 RSA+AES 算法加密文件。攻击者入侵成功后，通常会关闭系统的安全软件保护功能，运行勒索软件。它不仅加密文档文件，还加密可执行文件，并在加密后创建赎金信。

Ryuk 勒索软件占 19.6%，于 2018 年 8 月首次被发现。其前身是由黑客团伙 GRIM SPIDER 运营的 Hermes 勒索软件家族。Ryuk 的传播与 TrickBot 僵尸网络密切相关。2020年以来，工业企业遭受了数十次勒索软件攻击。Ryuk感染了钢铁制造商EVRAZ、EMCOR集团等多家工业企业，对企业的关键数据和信息进行加密，导致企业停产，造成重大经济损失。

1.2 勒索软件攻击造成巨大损失

勒索软件攻击可能对企业造成严重损害。比如AMD的GPU源代码被盗，攻击者索要1亿美元的赎金；GPS制造商Garmin被勒索病毒勒索数千万美元。2019 年，仅美国医疗机构就因勒索软件损失了约 40 亿美元。

根据 COVEWARE 的数据，2020 年第一季度企业支付的平均赎金为 11,1605 美元，比 2019 年第四季度增长 33%，赎金支付的中位数为 44,021 美元。据亚信科技预测，2021年全球因勒索软件攻击造成的损失将达到200亿美元，是2015年的61倍。勒索软件攻击已经越来越严重。它是增长最快、最流行、最具威胁性和最常见的病毒。也是黑客组织获取巨额利润的绝佳手段。它被称为“安全行业最麻烦的软件”。”。

1.3 勒索软件方法的新特性

勒索软件的主要攻击方式仍然是RDP和钓鱼邮件，能源、制造、交通、医疗机构等关键基础设施是重点攻击目标。针对性、复杂性和高危害成本是勒索软件加速进化的主要特征。攻击者通过投递钓鱼邮件发起攻击，前期对目标用户进行深入研究，选择与目标用户领域相关的内容，构建邮件和恶意文档。然后将带有“采购订单”等精心编写主题的文档添加到电子邮件附件中，并发送给目标用户以诱使他们下载附件。一旦打开恶意文档，恶意代码会在后台静默下载并执行恶意软件，窃取目标用户 s 敏感信息并控制其主机。受害者分布在美国、加拿大、德国、中国、英国、法国、西班牙等国家。

2 工业行业勒索软件攻击路径分析

勒索软件与其他恶意软件的最大区别在于，恶意软件的主要目的是通过发送恶意指令来破坏设备，导致工厂停工甚至发生事故；但勒索软件的主要目的是对受害者的设备数据进行加密，然后向用户索要解密勒索。虽然目的不同，但对于工业控制系统来说，勒索软件和恶意软件的传播是相似的。工业网络中勒索软件的攻击主要以电子邮件、程序木马、网页等形式传播。

2.1 利用设备漏洞

勒索软件与其他恶意软件一样，利用工业控制环境的漏洞来执行恶意操作。工控系统最初设计时没有考虑互联网环境，所以其安全主要是通过隔离来实现的。然而，随着互联网的快速发展和效率提升以及IT/OT融合的快速发展，越来越多的工控系统中的设备与互联网互联，开放性日益提高。系统暴露、系统漏洞、远程维护成为勒索软件入侵的主要原因。因素。例如，FPGA 芯片中的高风险漏洞 Starbleed 可能导致对多个关键基础设施的攻击。Starbleed 可用于完全破坏控制芯片，

据CNVD统计，截至2019年12月，工控系统相关漏洞2306个，2019年新增漏洞413个，其中大部分为中高危漏洞。根据 Claroty 8 月份发布的《2020 年上半年 ICS 风险与漏洞报告》，2020 年上半年披露的工业控制系统（ICS）漏洞中有 60% 以上可以被远程利用。在 ICS-CERT 于 2020 年上半年发布的 139 条 ICS 公告中，包括 385 条常见漏洞和暴露 (CVE)。能源、关键制造业以及水和废水基础设施部门是受 ICS-CERT 公告中发布的漏洞影响最严重的领域，其中能源领域有 236 个，关键制造业有 197 个，和 171 在水和废水中。美国国家漏洞数据库 NVD 在 2020 年上半年发布了 365 个 ICS 漏洞，比 2019 年上半年发布的 331 个增加了 10.3%。超过 75% 的漏洞被分配了CVSS 严重性等级或严重，这些漏洞涉及 53 家供应商。安全形势非常严峻。

2.2 控制远程黑客攻击

配置错误或管理问题可能导致部分工控系统设备直接暴露在互联网上，恶意软件可以通过远程操作利用漏洞感染工控系统设备达到其恶意目的。尤其是目前正在大力推进借助互联网基础设施的物联网建设，让企业可以远程监控自己的生产数据，甚至可以进行远程操作。这也为黑客远程攻击和控制生产网络提供了理论上的可能性。

2020 年 3 月，网络设备制造商 DrayTek 的企业路由器中存在严重的远程命令注入漏洞 CVE-2020-8515，允许黑客下载脚本到受影响的设备以获取用户网络信息，收集数据并上传到服务器。

2.3 绕过外部防火墙

管理员通常在工控系统与外部网络之间安装防火墙等安全设施进行保护。恶意软件不能直接攻击，而是会利用电子邮件、U盘等存储设备通过运营商携带的设备进入工控网络绕过操作。工控系统的外部防火墙给病毒传播带来了机会。内部人员的有意或无意行为可能会破坏工业环境、传播恶意软件、忽视异常工作等。特别是大量针对人的攻击，如社会工程、网络钓鱼攻击和电子邮件扫描攻击，都是利用员工无意泄露信息的行为。

例如，2018年2月在中国各大医院爆发的Globemposter勒索软件变种2.0，可能已经通过RDP爆破、社会工程等方式传播系统被黑客攻击勒索比特币，并使用了RSA2048加密算法，导致无法解密的加密文件。

2.4 实施供应链攻击

除了运营经理，还有软硬件供应商可以将设备带入工控系统。勒索软件可以预先感染供应商的设备，在工控系统安装新设备时将勒索软件集成到工控系统中，然后利用勒索软件蠕虫的内置漏洞横向渗透内网。一旦发现漏洞，设备就会被感染。. 根据 ESG 和 Crowstrike 的 2019 年供应链安全报告，16% 的公司购买了被篡改的 IT 设备，90% 的公司没有为供应链攻击做好准备。

3 月初，美国精密零件制造商 Visser 遭到勒索软件 DoppelPayment 的攻击，该软件加密了其文件并要求赎金。由于没有收到勒索款项，DoppelPaymer 在网上披露了有关 SpaceX、洛克希德-马丁、特斯拉、波音等公司的机密信息。

3 勒索软件攻击在工业领域的影响和后果

如今，勒索软件攻击的目标多样化，攻击手段复杂，数据解密难度大，损害和影响难以估计。勒索软件数量迅速增加，尤其是针对关键基础设施和重要信息系统的勒索软件攻击，影响范围更广。被勒索的组织遭受巨大的经济损失，其数据可能无法恢复。勒索软件攻击的危害远不止勒索带来的经济损失，更严重的是会给组织带来额外的复杂性，造成数据损坏或丢失、生产力受损、正常业务中断、企业声誉受损，甚至影响国计民生。作为近年来地缘政治升温和网络空间对抗的主战场，工业领域一旦受到攻击，可能会造成灾难性的后果。因此，工控系统的安全事关经济发展、社会稳定和国家安全。

加密文件。勒索软件一般通过Windows设备对用户的原始文件进行加密、覆盖或破坏，而大多数勒索软件具有蠕虫的特性，会主动扫描其他受感染的设备，进而寻找漏洞和漏洞。设备传播。

窃密。恶意软件被攻克并进入工控系统后，会根据需要构建不同的攻击载荷。可以对整个硬盘进行加密或锁定，并且可以从内存或本地文件系统中提取密码、控制列表等机密信息，并进行加密，以便将信息传回给恶意软件作者进行勒索或其他恶意目的。

锁定设备。工控系统漏洞或弱密码等漏洞问题一直令人头疼。勒索病毒很容易利用这些问题对PLC等工控系统设备进行控制，然后修改认证密码或使用固件验证直接绕过漏洞，刷入恶意固件并禁用设备固件更新功能，达到谋取利益的目的控制设备。

物理攻击。在特殊场景下，勒索软件控制PLC后，可以执行对物理世界构成威胁的操作，例如锁定阀门或修改上报参数以“欺骗”操作员。研究人员实施了诸如勒索软件控制水处理厂、关闭城市供水或增加氯浓度以污染模拟环境中的城市水等攻击。

双重敲诈。攻击者首先窃取大量敏感的商业信息，然后对受害者的数据进行加密，并威胁如果不支付赎金就会泄露数据，这种勒索策略被称为“双重勒索”。传统勒索软件基本遵循支付赎金提供解密密钥的策略。逐渐从用户攻击演变为针对性的商业攻击，现在又增加了数据勒索的双重危险。这大大增加了受害者被迫支付赎金的可能性，而受害者在支付赎金后面临数据泄露的风险，以及监管机构对其数据泄露进行处罚的双重压力。

勒索软件攻击的 4 大趋势

目前，该勒索软件在攻击方式、对抗溯源、目标选择、勒索策略等方面表现出越来越多的针对性。勒索软件攻击越来越频繁，不仅是企业，个人用户也成为勒索软件黑客团伙的攻击目标，部分病毒目前无法解密。长期以来，勒索软件一直是工业安全的头号敌人，勒索软件的攻击趋势如下：

（1）新的勒索软件不断出现，旧的勒索软件不断发展

未来可能会出现更多勒索软件家族或新的成熟黑客组织加入。同时，国外一些主流勒索软件运营团队已经在中国搜索勒索软件运营商，并与国内运营商合作，通过暗网进行传播。云服务将成为新的攻击目标，可能会有更多针对 Windows 服务器和 Linux 平台的勒索软件攻击。

(2）攻击更精准更有针对性

勒索软件团伙越来越多地瞄准高价值的大型政府和企业机构。为了利润最大化，大多数情况下，攻击者在攻击企业的网络资产后，会利用该资产不断渗透更多的资产，从而在业务系统大面积瘫痪时迫使受害者支付赎金。，在不支付赎金的情况下，在暗网“耻辱墙”页面泄露企业机密，进一步敲诈勒索。

(3）攻击方式多变，勒索病毒技术升级

经过长期演进，勒索软件技术越来越成熟，攻击者也在优化加密过程的细节，从早期的单线程文件加密到每个磁盘分区的多线程加密；从单一的 X86 可执行病毒版本到不断增加的 X64 可执行病毒版本等系统被黑客攻击勒索比特币，受害者更难发现。

(4）多病毒投递，实施“联合”攻击

为了避免单一病毒导致加密失败，攻击者开始与多个勒索软件家族合作。与此同时，更多的勒索病毒开始针对国内市场进行优化，比如增加了中文版的勒索信。中国仍然是勒索软件团伙最密切关注的市场之一。

（5）僵尸网络成为勒索软件传播的中间力量

为了精准打击目标，更多的勒索软件会利用僵尸网络庞大的感染群快速扩张。为了快速切入市场，新软件也会选择与僵尸网络合作，以获取市场知名度。

（6）企业数据安全是重中之重

未来可能会出现更多针对企业的勒索软件，新的盗密木马将与勒索软件一起分发，用于窃取企业数据。通过“勒索+盗窃”对企业数据进行攻击。全球大多数数据泄露安全事件都是由恶意软件的网络攻击引起的。

(7）不同勒索软件集团之间的竞争加剧

这将促使勒索软件黑客组织不断更新，开发更多新型勒索软件，同时增加勒索软件的操作手段。

随着制造强国战略的全面推进，我国工业领域的数字化、网络化、智能化水平将加快，被勒索软件攻击的形势将越来越严峻。因此，构建有效的勒索软件防御体系迫在眉睫。

5 勒索软件防御建议

攻防一直是信息安全领域永恒的话题。工业企业不仅面临民间黑客攻击，一些基础设施也成为有组织犯罪甚至国家级网络攻击的重点目标。勒索软件攻击已成为工业企业面临的最大安全问题之一，未来一段时间仍将是政府、企业和个人面临的主要安全威胁。随着技术的应用，勒索软件的攻击方式也在不断变化，针对性的勒索软件事件给不同行业和地区的企业带来了破坏性的攻击威胁。勒索软件攻击的产业化、场景的多样化、平台的多样化将更加突出。在工业场景中，勒索软件常用的攻击媒介主要是弱密码、凭证被盗、RDP服务、USB设备、钓鱼邮件等。面对勒索软件攻击的棘手问题，有效的防范措施仍然有针对性。做好基础防御，建设和拓展纵深防御，保障企业数据安全，促进企业健康发展。勒索软件的攻击防护建议如下：从而保障企业数据安全，促进企业健康发展。勒索软件的攻击防护建议如下：从而保障企业数据安全，促进企业健康发展。勒索软件的攻击防护建议如下：

（1）增强的端点保护。

及时加固终端和服务器。所有服务器和终端都应执行复杂的密码策略，以消除弱密码；安装杀毒软件和终端安全管理软件，及时更新病毒库；为追溯提供依据。

(2）关闭不必要的端口和服务。

严格控制端口管理，尽量关闭不必要的文件共享权限和不必要的端口（RDP服务的3389端口），并使用适用的反恶意代码软件进行安全防护，并采取适当的隔离等最佳实践来限制勒索。病毒和其他恶意程序横向传播的最有效方式之一，一旦发现中毒机器，立即断开网络。

（3）使用了多重身份验证。

使用被盗的员工凭证进入网络并分发勒索软件是一种常见的攻击方法。这些凭据通常是通过网络钓鱼或从过去的入侵中获得的。为了减少攻击的可能性，请在所有技术解决方案中使用多因素身份验证 (MFA)。

（4）全面增强对资产的细粒度访问。

聚焦工业主机资产，做好工业主机保护工作。增强资产可见性并优化资产访问控制。员工、合作伙伴和客户都关心身份和访问管理。合理划分安全域，采取必要的微隔离，执行最小权限原则。

（5）深入了解威胁形势。

不断加强威胁监控和检测能力，依托资产可视化能力、威胁情报共享和态势感知能力，具备识别OT资产存在哪些安全漏洞并准确评估每个漏洞带来的风险等级的能力，形成有效的早期发现威胁，早隔离，早处置机制。

（6）制定业务连续性计划。

加强业务数据备份，及时备份业务系统和数据，验证备份系统和备份数据的可用性。制定安全灾难恢复计划。同时，备份系统应与主系统安全隔离，防止主系统和备份系统同时受到攻击，影响业务连续性。

（7）加强安全意识培训和教育。

员工缺乏安全意识是一个重要问题。必须经常进行网络安全培训，确保员工严格使用U盘、移动硬盘等可执行攻击设备，检测和规避潜在的勒索软件攻击钓鱼邮件。将此培训与网络钓鱼演习相结合，以识别员工的弱点并通过为最弱的员工提供更多支持或安全来降低风险。

（8）持续检测生产风险。

每三到六个月对网络卫生实践、威胁态势、业务连续性计划和关键资产访问日志进行审计，并不断改进安全计划以及时了解风险并主动防御和缓解勒索软件攻击。

（9）建立低、中、高能力“三位一体”的工业互联网信息安全产品体系。

传统的安全防御产品已经逐渐无法应对越来越严重的安全威胁。构建防护监控层、安全运营层、态势感知层分别实现不同的安全功能，融合发展的互联网安全产品体系将成为未来发展的重要趋势。

此外，不建议企业和个人受害者支付赎金。支付赎金不仅助长了变相的勒索软件攻击，而且解密过程也可能带来新的安全风险。

工业信息安全不是单纯的技术问题，而是从意识培训开始，涉及管理流程、架构、技术、产品等重大战略问题的系统工程。整个工业网络安全行业都需要在维度上提升。仅仅关注信息安全、计算机安全和系统安全是远远不够的。还要推动整个工业网络安全能力的提升。要从更高的高度维护国家安全、社会保障和城市安全。安全、基础设施安全和人身安全。探索性研究如何运用网络保护模式，为加强企业安全能力开辟新思路。美联社

关于作者

李江宁（1977-），女，陕西大理人，硕士，现任北京天地合兴科技有限公司威胁情报分析师，研究方向为工业领域的网络攻击与安全.

秦羲和（1990-），女，北京人，硕士，现任北京天地合兴科技有限公司威胁情报分析师，研究方向为威胁情报分析。

参考：

[1] 福提内特。FortiGuard Labs 的半年度报告：全球威胁形势报告[R]。2020.

[2] 克拉罗蒂。CLAROTY 半年度 ICS 风险和漏洞报告：2020 年 1 小时 [R]。2020.

[3] 腾讯安全。2020年上半年勒索软件报告[R]. 2020

[4] 天地合兴. 2020年上半年典型勒索软件[R]。2020.

[5] 福提内特。勒索软件：Gestern，heute und morgen [EB/OL]。

a23915/, 2020.

[6] 优轩软件。频繁的“工业勒索软件”敲响了警钟 [EB/OL]。, 2020.

[7] 丹尼·帕尔默。您需要了解的有关网络上最大威胁之一的所有信息[EB/OL]。

网络上最大威胁之一的行政指南/, 2020.

[8] 劳伦斯·艾布拉姆斯。如果不付款就会泄露受害者被盗文件的勒索软件列表[EB/OL]。

that-leaks-victims-stolen-files-if-not-paid/, 2020.

摘自《工业控制系统信息安全专刊（第7卷）》