2023年針對(duì)能源部門和關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊爆發(fā)式增長(zhǎng)，包括BlackCat/ALPHV、Medusa（美杜莎）和LockBit3.0等十幾個(gè)知名勒索軟件組織紛紛加強(qiáng)了對(duì)能源行業(yè)高價(jià)值目標(biāo)的攻擊，能源行業(yè)面臨的威脅態(tài)勢(shì)急速惡化。

2023年能源行業(yè)重大勒索軟件/數(shù)據(jù)泄漏事件如下：

• 2023年11月，勒索軟件組織BlackCat/ALPHV將臺(tái)灣中國(guó)石化添加到泄漏站點(diǎn)受害者名單中，泄漏數(shù)據(jù)大小為41.9GB。
• 2023年11月，美國(guó)愛達(dá)荷國(guó)家實(shí)驗(yàn)室（INL）遭黑客組織SiegedSec攻擊，運(yùn)行OracleHCM系統(tǒng)的服務(wù)器遭到入侵，包括工作人員在內(nèi)的數(shù)十萬(wàn)個(gè)人數(shù)據(jù)泄漏。INL是美國(guó)能源部運(yùn)營(yíng)的核研究中心，擁有50座實(shí)驗(yàn)核反應(yīng)堆。
• 2023年9月7日，親俄羅斯的“STORMOUS”勒索軟件團(tuán)伙宣布泄漏了越南國(guó)家石油天然氣集團(tuán)（PVN）旗下的越南石油建設(shè)股份公司（PVC）成員公司JSC(PVC-MS)的300GB數(shù)據(jù)。后者成立于1983年，主要從事石油和天然氣領(lǐng)域建造、制造、安裝平臺(tái)、儲(chǔ)罐、管道。
• 2023年8月，以色列Neve Ne'eman核反應(yīng)堆數(shù)據(jù)庫(kù)在暗網(wǎng)論壇中以900美元的價(jià)格出售，黑客聲稱數(shù)據(jù)庫(kù)中包括官員和教授的全名及其居住地址的所有信息；10GB機(jī)密文件，包括實(shí)驗(yàn)中使用的組件和材料；反應(yīng)堆的尺寸、水平和位置；用于登錄的電子郵件、ip和密碼（ssh smtp服務(wù)器）。
• 2023年5月，黑客在暗網(wǎng)論壇上泄露了從伊朗核電生產(chǎn)和開發(fā)公司(AEOI)竊取的10萬(wàn)多封電子郵件。
• 2023年3月，黑客在暗網(wǎng)論壇上泄露了從印度尼西亞國(guó)家核能機(jī)構(gòu)(Batan)竊取的1.4GB數(shù)據(jù)。
• 2023年2月，勒索軟件組織美杜莎聲稱攻擊了中國(guó)石油（印尼公司）并索要贖金40萬(wàn)美元。
• 2023年2月，中國(guó)臺(tái)灣電池制造商菲宏（Phihong）公司遭Lockbit3.0攻擊，遭數(shù)據(jù)泄漏勒索。
• 2023年2月，為羅馬市提供電力和供水服務(wù)的意大利公司Acea遭Black Basta勒索軟件組織攻擊，導(dǎo)致網(wǎng)站服務(wù)癱瘓。

2023年能源行業(yè)勒索軟件攻擊六大趨勢(shì)

根據(jù)Resecurity最新發(fā)布的《2022-2023能源行業(yè)勒索軟件攻擊報(bào)告》，2023年能源行業(yè)勒索軟件攻擊呈現(xiàn)以下六大趨勢(shì)：

針對(duì)能源行業(yè)的勒索軟件攻擊顯著增加。在北美、亞洲和歐盟(EU)都發(fā)現(xiàn)了針對(duì)能源行業(yè)的惡意活動(dòng)。網(wǎng)絡(luò)犯罪分子瞄準(zhǔn)這一領(lǐng)域的原因是涉及的數(shù)據(jù)資產(chǎn)價(jià)值更高，可以索取更多贖金。這些攻擊也表面，對(duì)于勒索軟件組織而言，關(guān)鍵基礎(chǔ)設(shè)施的數(shù)據(jù)資產(chǎn)比其他經(jīng)濟(jì)部門的數(shù)據(jù)資產(chǎn)更有價(jià)值。

采用新的攻擊策略提高加密速度，逃避檢測(cè)。勒索軟件攻擊者在針對(duì)能源企業(yè)和機(jī)構(gòu)的“大型狩獵”中部署的新攻擊策略包括間歇性加密、使用更現(xiàn)代的專業(yè)編程語(yǔ)言以及涉及多個(gè)變體的雙重勒索軟件攻擊。根據(jù)美國(guó)國(guó)土安全部的報(bào)告，這些新興技術(shù)策略使攻擊者能夠“更快地加密系統(tǒng)并減少被檢測(cè)到的機(jī)會(huì)。

能源行業(yè)勒索軟件攻擊的生態(tài)化協(xié)作。能源行業(yè)的勒索軟件攻擊并非單一組織的孤立行動(dòng)，而是得到了包括初始訪問權(quán)限經(jīng)紀(jì)人（IAB）和工具開發(fā)商組成的蓬勃發(fā)展的攻擊生態(tài)系統(tǒng)的支持，這些網(wǎng)絡(luò)犯罪組織的橫向合作表明能源行業(yè)已經(jīng)被攻擊者眼中的高價(jià)值數(shù)據(jù)金礦。

初始訪問經(jīng)紀(jì)人積極尋找能源行業(yè)的憑據(jù)和身份數(shù)據(jù)。Resecurity已識(shí)別出幾家在暗網(wǎng)上運(yùn)營(yíng)的初始訪問經(jīng)紀(jì)人(IAB)，正在積極尋找能源行業(yè)的憑據(jù)和其他未經(jīng)授權(quán)的入侵方法。其中一些IAB甚至兜售核能公司的未授權(quán)訪問。此外，Resecurity還發(fā)現(xiàn)主要網(wǎng)絡(luò)犯罪論壇上的大量帖子，包括RAMP（俄羅斯匿名市場(chǎng)），攻擊者已經(jīng)并繼續(xù)從購(gòu)買能源行業(yè)非法網(wǎng)絡(luò)訪問權(quán)限中獲利。

勒索贖金金額高漲。針對(duì)能源公司的勒索軟件攻擊贖金金額不斷增長(zhǎng)，最高超過了700萬(wàn)美元。勒索軟件組織向受害組織索要巨額贖金的另外一個(gè)關(guān)鍵因素是：受害者周圍環(huán)境中的工業(yè)流程可能遭受毀滅性破壞。

核能設(shè)施和機(jī)構(gòu)成熱門目標(biāo)。核能組織是勒索軟件組織和從事網(wǎng)絡(luò)間諜活動(dòng)的APT組織的高優(yōu)先級(jí)目標(biāo)。因?yàn)楹四茉O(shè)施遭受勒索軟件攻擊會(huì)對(duì)地緣政治關(guān)系、資本市場(chǎng)、公共安全和國(guó)家安全產(chǎn)生重大影響。

2024年展望

2024年，預(yù)計(jì)將有越來越多的勒索軟件組織優(yōu)先考慮能源行業(yè)的高價(jià)值目標(biāo)，尤其是核能行業(yè)以及石油和天然氣供應(yīng)商的下游和上游業(yè)務(wù)。隨著能源行業(yè)數(shù)字化的不斷發(fā)展，IT與OT加快融合，攻擊面隨之不斷擴(kuò)大，資產(chǎn)和數(shù)據(jù)多樣化、為攻擊者提供了更多利用機(jī)會(huì)。

此外，由于能源屬于關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，支付巨額贖金的可能性較高，進(jìn)一步增加了對(duì)勒索軟件組織的吸引力。因此，2024年能源行業(yè)將迎來勒索軟件攻擊的“大考”，能源企業(yè)必須大力加強(qiáng)網(wǎng)絡(luò)防御，為即將出現(xiàn)的破壞性極高的復(fù)雜攻擊做好準(zhǔn)備。