eSecurity Planet的内容和产品推荐在编辑上是独立的。当你点击我们合作伙伴的链接时,我们可能会赚钱。了解更多信息.
5月7日(星期五),在美国关键基础设施受到迄今为止最大的网络攻击后,从休斯顿到纽约市绵延5500英里的Colonial Pipeline中断了干线,当时管理人员检测到勒索软件内部。
周四,即勒索软件攻击的前一天,总部位于俄罗斯的网络犯罪集团DarkSide窃取了超过100GB的数据,这使得DarkSid可以从Colonial Pipeline中提取赎金,一些人猜测,这可能最终导致支付赎金,以避免长期且可能造成灾难性的停工。5月10日(星期一),Colonial宣布,它已经设定了“在本周末之前大幅恢复运营服务的目标”,这意味着美国东部可能会面临数天的能源供应不确定性。
此次攻击应该为关键基础设施中的组织敲响警钟,这些组织没有采取勒索软件保护措施,也没有实施先进的网络安全防御措施来限制潜在的攻击面,例如微观分割和零信任,以更好地隔离关键数据和操作技术(OT)。
更多来自电子安全星球关于Colonial Pipeline勒索软件攻击:
殖民袭击路线推测
Colonial总部位于佐治亚州阿尔法雷塔,是美国最大的精炼能源供应商。殖民管道供应美国东海岸45%的汽油、柴油、喷气燃料和取暖燃料。在佐治亚州、南卡罗来纳州、北卡罗来纳州、田纳西州和弗吉尼亚州,Colonial公司供应了这些东南部州70%的液体燃料。Colonial的干线和支线每天在美国总共运输340万桶石油和天然气,或近1.5亿加仑——尽管紧急订单放宽了限制,但卡车运输、铁路和船舶行业无法与之匹敌,从而对Colonial施加压力,要求其在危机重创东海岸之前解决危机。
在认识到周五发生的勒索软件攻击事件后,Colonial表示,他们“主动将某些系统离线,以遏制威胁,从而暂时停止了所有管道操作,并影响了我们的一些IT系统。”当能源供应商试图补救这一违规行为时,该公司已签署了FireEye Mandiant公司领导调查,因为FireEye在披露太阳风的日出渗透12月。
网络安全公司和内部人士猜测了此次袭击的可能原因。
英国网络安全供应商Digital Shadows告诉BBC,随着越来越多的工程师远程访问控制系统,如果松散组织的远程访问是根本漏洞,这也就不足为奇了。
在周一早上的推文中,CISA前董事克里斯·克雷布斯(Chris Krebs)在推文中写道:
恢复前的时间
如果攻击者仅限于商业计算机系统,Dragos首席执行官Rob Lee告诉Politico,“我认为这将是短暂的。”
大多数组织为了阻止扩散而迅速关闭关键任务系统,这必然导致一些停机。最近几个月,从得克萨斯州帕萨迪纳市到北卡罗来纳州格林斯博罗市的两条运输燃料的干线的燃料供应已经耗尽,这只会使经济形势变得更糟,因为大流行.
CrowdStrike联合创始人、前首席技术官Dmitri Alperovitch周日在推特上表示:
Colonial目前的处境是,长期重启可能会对该组织和美国经济造成毁灭性影响。石油市场分析师高拉夫·夏尔马告诉BBC“除非他们在周二前解决问题,否则他们将面临巨大的麻烦……首先受到打击的地区将是亚特兰大和田纳西州;然后多米诺骨牌效应将波及纽约。”
联邦和安全行业的回应
拜登总统在4月底向全国发表讲话时,电子安全星球报道了越来越多的政府存在为公共和私人机构建立更强大的网络安全基础设施。拜登在联合致辞中的网络战略以遏制为中心高级持续威胁(APT)来自俄罗斯,但先进的网络威胁继续绕开国家间指责的归属标准,俄罗斯几乎没有迹象表明要追究这些国内行为体的责任。
在殖民袭击之前,能源部和CISA发起了一项倡议,与工业控制系统运营部门合作,以改进网络安全检测。2月,CISA发布了一份管道网络安全资源库.
少数联邦机构目前正在调查这起袭击事件,CISA和FBI表示,这可能不是一个民族国家,而是一个被称为DarkSide的组织,据信该组织居住在俄罗斯。Crowdstrike联合创始人德米特里·阿尔佩罗维奇(Dmitri Alperovitch)表示:“鉴于俄罗斯明显的窝藏和容忍网络犯罪的政策,他们是否为国家工作越来越无关紧要。”
消息传出后的几天里,许多美国国会著名官员都表达了他们的担忧,并直接呼吁公共和私营部门加强网络安全。
当国会就大规模基础设施立法进行辩论时,殖民管道袭击事件突显了一个事实:网络安全它本身就是关键的基础设施,因此可能会受到联邦政府越来越多的关注。
2018年至2020年间,针对关键基础设施的勒索软件攻击增加了566%,这些资源的安全性已经受到了极大关注。上个月,私营部门勒索软件特别工作组(RTF)发起了一项旨在缓解全球勒索软件攻击的活动。他们的综合行动框架提供48条建议用于检测和中断勒索软件。
来源:Colonial Pipeline
防御黑暗面
从2020年8月开始恶意软件被称为DarkSide的组织已经声名鹊起,在过去9个月里声称有40多名受害者。两家网络安全公司对初创企业勒索软件即服务(RaaS)集团进行了深入分析,包括赛博季和瓦罗尼斯.
他们所描述的是已经非常熟悉APT的相同战术、技术和实践(TTP)。恶意黑客家族会进行仔细的侦察,为未被发现的入侵和攻击策略提供信息。所述TTP包括:
- 避开网络段,其中电子数据记录器正在运行
- 用于攻击每台客户端计算机的自定义恶意软件
- 使用编码和DLL卷积流量
- 收获资格证书存储在文件、内存和控制器中
- 通过文件共享释放权限和传播恶意软件
- 正在删除备份,包括卷影副本
虽然勒索软件继续像防御系统一样快速发展,但正如我们在2021年的勒索软件保护这些行动包括:
- 培训人员识别恶意软件并消除常见用户漏洞
- 使用适当的跟踪、权限和修补
- 阻止电子邮件垃圾邮件、可执行文件和恶意JS文件
- 注册技术,如共源共栅,国内流离失所者,SIEM公司和EDR用于高级安全系统
- 走向零信任网络和应用程序框架,其中隔离应用程序和网络段提供了最强大的内部安全,以保护最重要的内容
- 始终将可行的备份离线存储,以实现充分的保护和快速恢复
另请阅读:防范Solorigate TTP:太阳风黑客防御
舒适地坐在暗网DarkSide的道德准则要求只攻击有能力支付赎金的公司,并禁止攻击教育、卫生、非营利组织和政府机构。这就是说,没有服务条款,也没有追究黑客针对任何机构的责任。
在今天发布的一份声明中,DarkSide表示:
“我们不关心政治,不参与地缘政治,不需要把我们与一个明确的政府联系在一起,也不需要寻找其他动机……我们的目标是赚钱,而不是为社会制造问题。”
DarkSide还采用了双重敲诈勒索方法,受害者组织可以选择支付数据恢复费用或不支付费用,然后黑客发布数据。对于公共和私人公司来说,发布的数据可能是非常有价值的专有信息。
另请阅读:恶意软件类型| 2021年最佳恶意软件保护实践
关键基础架构需要高级保护
从电网到水厂,关键基础设施是高级持续威胁和勒索软件的最新目标。发件人诺佩蒂亚由于去年坦帕水处理设施遭到袭击,2017年乌克兰能源部门受到打击,公共和私人基础设施是国际经济的关键齿轮。
天普大学编制了一份可追溯到2013年11月的关键基础设施勒索软件攻击(CIRW)记录。注释的详细信息包括:
- Maze、Ryuk、REvil和WannaCry公司占最常用菌株的64%。
- 超过一半的勒索软件攻击目标是政府设施(24.4%)、医疗和公共卫生(15.9%)以及教育设施(13.7%)。
- 2016年至2018年间,袭击次数在70-80次之间,2019年袭击次数跃升至205次,2020年达到396次。
- 近42%的袭击持续一周以上,13%持续一个月以上。
另请阅读:反病毒解决方案无法防范勒索软件
打击勒索软件的斗争仍在继续
Colonial Pipeline攻击可能会使关键基础设施攻击对网络犯罪分子更具吸引力。有组织的恶意软件团伙认识到现代防御策略,并且有足够的耐心在适当的时候收集信息并进行攻击。
在互联网上建立一个网络堡垒是不可能的,因此公共和私人组织必须采取必要措施保护其资产。行业分析师和公司都指出,应该开发零信任和微分段等框架,以在组织网络中增加安全层。
另请阅读:如何实现零信任
