?根據(jù)網(wǎng)絡安全服務商Dragos公司的一項研究，針對運營技術(shù)的勒索軟件攻擊激增，證明此類威脅僅針對運營技術(shù)(就是直接監(jiān)控和運行設(shè)備和流程的硬件和軟件)是日常生活的關(guān)鍵部分。運營技術(shù)負責監(jiān)控關(guān)鍵基礎(chǔ)設(shè)施和制造運營，在公用事業(yè)公司、石油和天然氣以及運輸?shù)刃袠I(yè)組織的一系列關(guān)鍵任務領(lǐng)域中都可以看到運營技術(shù)的使用。

然而，此類基礎(chǔ)設(shè)施最近由于受到勒索軟件的攻擊而成為頭條新聞，著名的例子是肉類加工商JBS公司和燃料供應商Colonial Pipeline公司遭到的攻擊事件。事實上，網(wǎng)絡攻擊者不再只是針對IT技術(shù)，還針對其流程背后的技術(shù)，造成廣泛的破壞，以及財務和聲譽損失。

根據(jù)Dragos公司進行的研究，歐洲的工業(yè)基礎(chǔ)設(shè)施正因地緣政治或金融原因成為勒索軟件攻擊的目標。根據(jù)Dragos公司觀察的特定行業(yè)，勒索軟件攻擊最常針對的行業(yè)是：

• 制造業(yè)(61%);
• 交通(15%);
• 水(9%);
• 能源(8%)。

考慮到這一點，以下探索勒索軟件對運營技術(shù)的影響。

勒索軟件對運營技術(shù)的影響

勒索軟件威脅參與者總是在不斷發(fā)展他們的策略、增加攻擊次數(shù)、提高風險，并增加漏洞情報。由于基礎(chǔ)設(shè)施運營的關(guān)鍵和敏感性質(zhì)，受害者往往發(fā)現(xiàn)自己陷入了兩難境地——是決定支付贖金(專家通常不建議)還是關(guān)閉業(yè)務或暫停關(guān)鍵供應。

根據(jù)Dragos公司的研究，對運營技術(shù)的影響體現(xiàn)在四個方面：

• 先發(fā)制人地關(guān)閉操作以防止勒索軟件傳播到運營技術(shù)，從而保護技術(shù)免受長期損害(例如Colonial Pipeline公司遭到的勒索軟件攻擊)。
• 由于網(wǎng)絡扁平化和缺乏可見性，勒索軟件快速傳播。
• 六種勒索病毒包含內(nèi)置的運營技術(shù)進程攻擊列表：Cl0p、 EKANS、LockerGog、Maze、MegaCortex、Netfilim.
• 如果不支付贖金，僅針對企業(yè)IT的攻擊可能導致運營技術(shù)文檔泄露到地下論壇，進而對運營技術(shù)進行后續(xù)攻擊。

主要勒索軟件攻擊團伙

Dragos公司在研究中發(fā)現(xiàn)了一些比較活躍的勒索軟件攻擊團伙，他們采用勒索軟件破壞歐洲的工業(yè)基礎(chǔ)設(shè)施。其中監(jiān)控的一些最活躍的勒索軟件攻擊團伙包括：

• ALLANITE：ALLIANTE團伙的目標是英國和美國的電力企業(yè)和運營技術(shù)網(wǎng)絡，以及德國的工業(yè)基礎(chǔ)設(shè)施。該團伙不斷查找運營技術(shù)環(huán)境中的漏洞。
• DYMALLOY：DYMALLOY團伙開展勒索軟件攻擊的受害者包括歐洲、北美和土耳其的電力、石油和天然氣供應商。根據(jù)Dragos公司的調(diào)查，該團伙能夠進行長期和持續(xù)的情報收集和未來的破壞事件。
• ELECTRUM：ELECTRUM團伙被發(fā)現(xiàn)是2016年烏克蘭的一個變電站遭到CRASHOVERRIDE攻擊事件的幕后黑手，它可以開發(fā)利用運營技術(shù)協(xié)議和通信來修改電氣設(shè)備流程的惡意軟件。
• MAGNALLUM：該團隊首先出現(xiàn)沙特阿拉伯，主要攻擊航空和石油和天然氣公司。2020年，MAGNALLUM 將其勒索軟件攻擊擴展到歐洲和北美地區(qū)，重點關(guān)注半導體制造和政府機構(gòu)。此處發(fā)現(xiàn)的惡意樣本以超文本標記語言(HTML)的形式出現(xiàn)。
• PARASITE：該團伙針對航空航天、石油和天然氣以及公用事業(yè)公司進行勒索軟件攻擊，使用開源工具針對VPN漏洞和破壞基礎(chǔ)設(shè)施。根據(jù)Dragos公司的研究，PARASITE團伙自從2017年以來一直很活躍。
• XENOTIME：XENOTIME團隊的攻擊活動最初從中東地區(qū)開始，2018年開始擴展到歐洲，其目標是石油和天然氣公司。Dragos公司認為，該集團有能力攻擊北海的石油和天然氣業(yè)務。

展望未來，Dragos公司將繼續(xù)密切關(guān)注這些團體的活動，這些團體將繼續(xù)發(fā)展以規(guī)避安全措施。

保護運營技術(shù)免受勒索軟件攻擊

為了保護運營技術(shù)免受勒索軟件攻擊，Dragos公司建議對初始入侵防御、網(wǎng)絡訪問防御和基于主機的防御采取適當?shù)拇胧Ｔ诒３志璧耐瑫r，將這些方面考慮在內(nèi)的戰(zhàn)略對于防范勒索軟件威脅行為者至關(guān)重要。

(1) 初始入侵

為了防止對網(wǎng)絡的初始入侵，企業(yè)必須始終如一地發(fā)現(xiàn)和修復關(guān)鍵漏洞和已知漏洞，同時監(jiān)控網(wǎng)絡是否有攻擊企圖。此外，盡可能使設(shè)備保持最新狀態(tài)。

VPN尤其需要網(wǎng)絡安全人員的密切關(guān)注;必須創(chuàng)建新的VPN密鑰和證書，并啟用通過VPN進行的活動日志記錄。通過VPN訪問運營技術(shù)環(huán)境需要架構(gòu)審查、多因素身份驗證(MFA)和跳轉(zhuǎn)主機。

此外，用戶應該只閱讀純文本的電子郵件，而不是呈現(xiàn)HTML，并禁用Microsoft Office宏。

(2) 網(wǎng)絡訪問

對于來自威脅參與者的網(wǎng)絡訪問嘗試，企業(yè)應該對涉及運營技術(shù)的路由協(xié)議進行架構(gòu)審查，并監(jiān)控開源工具的使用。

企業(yè)應實施多因素身份認證(MFA)以訪問運營技術(shù)系統(tǒng)以及用于威脅和通信識別和跟蹤的情報源。

(3) 基于主機的威脅

對于基于主機的勒索軟件威脅，應該監(jiān)控可能的惡意Power Shell、WMI和Python活動，以及導致PowerShell執(zhí)行的惡意HTA有效負載。

企業(yè)的網(wǎng)絡安全團隊還應密切關(guān)注可能使用的憑據(jù)竊取工具，系統(tǒng)工具的異常枚舉和使用，以及主機上的新服務和計劃任務。