勒索軟件參與者已因利用VPN漏洞進入關鍵工業系統并維持持久性而日益受到關注。

2024年，隨著執法部門對LockBit等勒索巨頭的大力打擊，勒索軟件領域發生了震蕩，焦點轉向了關鍵業務運營，今年發生的重大攻擊事件包括針對哈里伯頓(Halliburton)、倫敦交通局(TfL)和阿肯色州水廠等目標。

Dragos公司2024年第三季度的研究報告指出，新出現的RansomHub、Play和Fog等團伙利用VPN漏洞和竊取的憑證，通過各種“生活在本地”(LOTL)技術，在關鍵系統中站穩腳跟，活動激增。

Dragos在報告中表示：“從傳統金融勒索轉向運營破壞，特別是黑客活動分子所為，加劇了勒索軟件的風險，這種動機的融合進一步模糊了網絡犯罪和網絡戰爭之間的界限，需要對工業控制系統(ICS)和運營技術(OT)環境加強防御。”

報告補充稱，該時期的地緣政治緊張局勢加劇了這一復雜局面，黑客活動分子利用攻擊針對工業運營。

VPN漏洞成為新手入侵的首選

報告指出，針對工業組織的新勒索軟件團伙數量激增，他們混合使用各種技術來利用遠程和虛擬網絡應用程序的弱點。Fog、Helldown、Elderado、Play和RansomHub等新出現的團伙是濫用VPN漏洞的主要團伙。

Fog利用了臭名昭著的SonicWall漏洞攻擊未打補丁的系統，而Elderado和Play則專注于存在漏洞的VMware ESXi環境。與此同時，Helldown利用Zyxel VPN漏洞侵入企業網絡并鎖定敏感數據。

報告指出，VPN漏洞原本只是偶爾用于初始訪問，現已成為主流勒索軟件攻擊中不可或缺的一部分。

Dragos表示：“(2021-2023年)VPN漏洞利用主要與機會性攻擊相關，攻擊者專注于Pulse Secure和Fortinet等設備中未打補丁的漏洞。現在勒索軟件運營者通過將這些漏洞利用與基于憑證的攻擊相結合，以繞過多因素身份驗證(MFA)保護，從而提升了他們的戰術水平。”

該時期觀察到的其他主要勒索軟件新參與者包括KillSec和APT73(推測為LockBit的分支)。

新態勢擾亂關鍵行業

Dragos強調，勒索軟件攻擊不斷給工業組織造成重大干擾，導致運營中斷、財務損失和數據泄露。

對工業控制系統(ICS)領域事件的分析顯示，以施耐德電氣(Schneider Electric)為首的“制造業”遭受了最嚴重的打擊，394起事件占所有勒索軟件攻擊的71%。受影響最嚴重的制造子領域包括建筑業(30%)、食品和飲料業(11%)以及電子業(7%)。

ICS設備、交通運輸和通信行業受影響較小，分別觀察到10%(56起)、7%(38起)和5%(17起)事件。

RansomHub、Play和DragonForce成為新主角

據Dragos稱，RansomHub在第三季度以90起事件領跑，占所有勒索軟件攻擊的16%，得益于其強大的勒索軟件即服務(RaaS)模式，并吸引了如Velvet Tempest等LockBit附屬機構，這些機構使用先進的惡意廣告和VPN漏洞利用技術。自2024年5月以來，該團伙已與168起事件有關，主要集中在北美和歐洲，且以工業目標為重點。

針對哈里伯頓的一次顯著攻擊擾亂了包括發票處理在內的關鍵業務。LockBit3.0造成了78起事件，占2024年第三季度總數的14%，然而，Dragos發現，自2月以來宣布的新受害者中有三分之二可能是虛假的，這是在“Cronos行動”干擾后為了夸大活動而采取的行動。Play造成了52起事件(9%)，主要針對關鍵基礎設施，而DragonForce有35起事件(6%)，Qilin有23起(4%)。