“阎罗王”勒索再现！思科中招过程披露

8月10日，思科公司证实，“阎罗王（yanluowang）”勒索软件团伙在5月底攻破其公司网络，并试图以在网上公开被盗文件为威胁来敲诈他们。此前，该团伙还声称入侵了美国零售商沃尔玛的系统，但沃尔玛否认发生了勒索攻击。





攻击过程分析：窃取员工凭证入侵思科网络

在此次事件中，阎罗王勒索团伙劫持了一名员工的个人谷歌账户，其中包含从其谷歌浏览器同步的凭证，之后利用该员工的凭证进入了思科网络。首先，攻击团伙冒充可信的支持机构，对思科员工进行了一系列复杂的语音钓鱼攻击，加之员工产生MFA疲劳，从而导致某员工接受了一条MFA认证通知，从而让攻击者获得了VPN访问权。攻击团伙在思科的企业网络中取得了立足点之后，就开始横向移动到Citrix服务器和域控器。思科Talos表示，攻击者进入了Citrix环境，攻陷了一系列Citrix服务器，最终获得了对域控器的特权访问。在获得域管理权后，攻击者使用ntdsutil、adfind和secretsdump等枚举工具收集了更多信息，并在被攻击的系统上安装了一系列有效载荷，包括一个后门。最终，思科发现了攻击者并将他们驱逐出其环境，但在接下来的几周里，攻击者继续尝试重新进行访问，但并没有成功。

勒索软件攻击特点分析

近年来，勒索软件攻击居高不下。在此类攻击中，攻击者通常会加密企业数据并要求付款才能恢复访问权限。在某些情况下，攻击者还可能窃取组织的信息并要求支付额外费用，以换取不向当局、竞争对手或公众披露信息。在思科事件中，阎罗王团伙就以在网络上公开为威胁进行敲诈。2021 年，从经济影响和感染量两个维度来看，我们看到 Conti 和 REvil 威胁行为者主导了勒索软件市场。它们甚至都提供了各自的勒索软件即服务 (RaaS) 平台，攻击者可以通过平台来发起攻击。鉴于RaaS 类型业务模型的快速增长，这就很难将某些事件归因为某个攻击者。对于勒索软件攻击，其发展主要呈现出以下五大趋势：>>勒索软件组织针对基础设施发起攻击虽然针对基础设施的勒索软件攻击并不是什么新鲜事，但这类攻击在 2021 年显著增加。在这一年中，几乎日常生活的方方面面都受到勒索软件的威胁，例如医院、警局、自来水厂、燃料管道、食品生产商和学校。遇到这类攻击，企业不只是需要支付巨额的赎金，更会面临新闻报道和政府审查，让企业不仅面临经济损失，更是声誉受损。两个勒索软件组织DarkSide 和 REvil在攻击成功后躲藏起来，但后来，DarkSide 从 Colonial Pipeline 收集的大部分赎金被司法部没收，REvil 也于 2022 年初被捕。

Colonial Pipeline勒索事件：2021年5月，网络犯罪组织 Darkside 通过发布在暗网上的泄露密码进入了美国最大的燃料管道 Colonial Pipeline。攻击除了导致近 100 GB 的数据泄露外，还导致该公司在调查期间发生了六天业务中断，导致燃料短缺、人民恐慌。据报道，虽然 Colonial Pipeline支付了赎金以避免数据泄露，但该勒索组织的收益并不长久。袭击引起国际关注后，DarkSide 为“给社会制造了问题”道歉，并且，据报道，该组织很快就解散了。

JBS Foods：世界上最大的肉类生产商JBS Foods受到了网络犯罪组织 REvil 的勒索攻击。因为这次攻击事件，JBS Foods暂时关闭其在美国的牛肉工厂，导致了加拿大的一家工厂中止正常运营，并导致其澳大利亚肉类加工厂的停工。虽然JBS Foods声称其数据没有被泄露，但该公司在 6 月承认已支付 1100 万美元的赎金，并将面临长期停工的艰难局面。

New Cooperative：2021年9 月，勒索软件组织 BlackMatter 获得了对 NEW Cooperative 网络的访问权限。据报道，该网络犯罪集团窃取了 1 TB 的数据，并威胁说如果不支付 590 万美元的赎金就公布数据。与此同时，该公司无法访问用于接收谷物运输、运送饲料和保持数百万鸡、猪和牛的喂养计划正常进行的网络。

>>RDP和钓鱼依旧是最常见的攻击向量在过去几年中，通过 RDP 进行初步攻击一直是主要的攻击向量。然而，自 2021 年以来，我们看到这种攻击向量正在下降。相比之下，通过钓鱼攻击有所增加。我们将这两种攻击向量视为获得初始立足点的最常用方式，而且这两个攻击向量也是攻击者最便宜且最有利可图的方法。在这次针对思科的攻击中，阎罗王团伙冒充可信的支持机构，对思科员工进行了一系列复杂的语音钓鱼攻击，从而获得了VPN访问权。通过 RDP 进行攻击主要是通过暴力破解凭据来实现的。这种方法的优点是攻击者使用合法凭据进入网络，从而不容易被关注到。尽管安全成熟度较高的组织会监控此类活动，但大多数中小型企业不会。>>利润最大化：从双重勒索到多重勒索的转变双重勒索是勒索软件攻击中的一个常见话题。勒索攻击通常首先会将受害者网络和系统上文件进行加密，然后会将文件和数据渗出，将其托管并扣押在勒索软件组织拥有的转储站点上。在谈判过程中，文件通常处于锁定状态。一些 RaaS 平台还具有计时器功能，指示受害者还剩下多少时间来支付赎金。近年来，我们看到利润最大化的一个变化是出现了多重勒索计划。最初，攻击者从组织窃取和加密敏感数据，威胁受害者付款，否则就要公开发布这些数据。现在，攻击者现在还针对组织的客户和/或合作伙伴索要赎金。2021 年 4 月，REvil 以笔记本制造商 Quanta Computer 为目标发起攻击。当公司拒绝支付任何赎金时，攻击者将注意力转向苹果，并威胁要公布他们在最初攻击中窃取的蓝图。后来攻击者放弃了针对 Apple 的勒索，Apple 也没有正式对此事件发表评论。Clop 勒索软件团伙在 2021 年 5 月使用了相同的策略。在锁定 RaceTrac Petroleum 并威胁要发布公司的文件后，该组织更是直接联系他们的客户和合作伙伴并威胁要发布他们的文件。请注意，一些研究将 DDoS 的使用描述为第三重攻击向量，然后将向受害者客户索要赎金作为第四重勒索。但是，DDoS 攻击仅用于增加压力，而不会增加实际的赎金或敲诈过程。>>勒索软件即服务（RaaS）商业模式发展壮大在攻击中使用勒索软件即服务 (RaaS) 平台已成为常态。这种类型的服务为其他威胁行为者、攻击组织和个人提供了一个平台，并且实行的是联属营销模式。RaaS平台涵盖了勒索软件攻击所需的所有功能，从文件加密和存储到支付。RaaS提供商会从受害者收取的赎金中抽成，而联号则控制着赏金和与受害者的通信。RaaS平台可以在受感染目标上轻松部署所需的所有工具，并且这些工具还在不断开发中。就像一个健康的企业一样，RaaS 平台不断适应新的环境变化，以便不被终端和网络安全工具检测到。RaaS 让任何攻击者都可以进行勒索软件攻击，即使他们缺乏技术知识。>>招募企业内鬼更复杂的勒索软件攻击即将出现的趋势是积极招募员工在勒索软件活动期间提供协助。据悉，一名俄罗斯国民因锁定和招募特斯拉员工协助勒索而被定罪。该员工需要在其公司的计算机系统上执行恶意软件，从而从公司网络中窃取数据。然后，他威胁要在网上披露这些数据，除非该公司支付赎金要求。安装恶意软件后，该员工将获得 1,000,000 美元的比特币。Lockbit 也承诺在其内部人员招聘计划中获得“数百万”的收益。有关勒索软件攻击的更多信息，请查看完整版《2022网络威胁形势研究报告》。

总结与建议

勒索软件事件会严重影响业务流程，并让组织无法获得运营和交付关键任务服务所需的数据。事实证明，勒索软件会给带来重大的经济损失和声誉损害。从最初遭到入侵到最终恢复正常运行，对企业来说存在很大的挑战性。在此次思科遭受的勒索软件攻击中，虽然没有给企业造成重大影响，但也再次为我们敲响了警钟。对此，建议组织采用下面这些做法来避免遭受勒索攻击。







保持良好的网络习惯：定期进行漏洞扫描以识别和解决漏洞，尤其是面向 Internet 的设备上的漏洞，以缩小攻击面。



及时向主管单位报告：企业在遭受到勒索软件的入侵后，应及时向主管单位报告，并请求技术援助或共享信息，以免其他企业也遭受类似的攻击。



做好数据备份：维护好加密的离线数据备份并定期进行测试。

定期进行补丁更新：定期修补、更新软件和操作系统。

工业4.0时代，制造商需要提高安全性

制造业的数字化转型，通常被称为工业4.0，正在为现代工厂带来连接性和效率的新世界。智能工厂将新技术，如工厂自动化、人工智能和物联网等整合到生产和供应链的各个层面。无论是工厂车间的机器人，提高安全性的可穿戴设备，还是通过物联网监控设备数据，采用工业4.0是行业持续成功和创新的前进之路。



数据显示，智能工厂设备市场预计将从2021年的2956.5亿美元扩大到2026年的5000亿美元以上。然而随着工业4.0的兴起，网络安全威胁也在增加。



根据Kroll的《2021年第四季度威胁状况》报告，制造业是第四大受关注的目标行业，仅次于专业服务、技术/电信和医疗保健，同时网络钓鱼也是针对制造业最常见的攻击媒介。



威胁攻击面只会继续扩大。现在采取措施了解其存在风险的制造商将能够更快构建起应对互联技术所需的安全成熟度。



制造业的安全成熟度

目前制造业在安全上存在的问题：



安全成熟度相对较低;



核心流程连接及网络环境复杂;



存在行业商业机密，行业对服务中断非常敏感。



在过去，制造业关键任务系统是隔离的，或者没有联网。这在一定程度上使得攻击者将目标转移到金融服务或医疗保健领域，这两类行业拥有利润丰厚的资产及联网设备，且网络中断产生的影响很大。



如今，制造业正在采用联网设备分析更多数据，并将数据输入定制软件中，因此对安全成熟度的需求迫在眉睫。对安全的需求不仅局限在IT部门，而是需要考虑技术、运营和安全等各方面在为确保关键数据和设备安全共同努力。



当前制造业面临的网络威胁

制造业面临的威胁主要有三类。



传统的网络威胁包括针对IT系统的勒索软件、数据盗窃、供应链攻击和知识产权盗窃。这些都是严重的威胁，可能会耗费制造企业的时间、金钱和信誉。特别是小型制造商，尤其是由于时间、资源或招聘能力有限，还没有建立强大的防御体系来应对这些威胁。



制造企业也面临着针对工业控制系统(ICS)的针对性攻击的独特风险。随着运营技术(OT)与传统IT资产(包括连接的工业物联网(IIoT)设备)的合作越来越紧密，在这些设备组之间架起桥梁变得越来越容易，并削弱最初设计或配置为孤立网络的OT。这不仅会导致敏感信息的泄露，还会导致服务中断和交付延迟。



针对制造业的另一层威胁涉及定制软件。为了理解连接系统创建的数据，并利用这些数据提供的效率优势，必须将这些数据输入其他软件。该软件通常是针对单个公司的技术和数据资产定制的。这个软件和它所运行的基础设施可能是一个有吸引力的目标。如果这些软件从开始设计就没有考虑到安全性，并且在实现和维护时没有考虑到安全性，那么定制的软件就可能成为让攻击者进入的薄弱环节。



下一步：安全采用工业4.0

出于效率的原因，包括准时制生产和工作场所监控，工业4.0将会更有效率和精准，将更具成本效益和安全。但从长远来看，首先确保安全、高质量的产品投放到市场比在出现问题时不得不召回更有效且损失更小。



在安全方面，也是这个道理。从一开始就考虑到安全性，无论是连接的基础设施和将系统连接在一起的自定义代码方面，注重安全性都会使得操作更顺畅，并避免事件响应带来的重大业务中断、成本和声誉损害，以及随后的代码重构或安全漏洞被利用后的基础设施。



有效地准备和防御工业4.0的安全挑战需要做出努力，不但需要IT人员，还需要以外的人的行动和主动性。简而言之，它需要专门的网络安全专业知识，需要能够持续分析风险和威胁状况的人员。这项工作需要专业人员，他们知道如何设计和实施有效的安全控制，以确保软件安全，防止主动威胁，能够理解日志数据，识别异常，并响应攻击。他们还可以监督在编写和处理数据的应用程序中，是否遵循了安全设计和安全编码规范。