据Akamai最近的调查结果表明,全球最大的勒索软件团伙 Conti 发起的全球勒索软件攻击中有近 30% 以制造业为目标。其次是商业服务和零售行业,分别为 13.37% 和 11.14%。

“制造业是亚太地区最有价值的行业之一——据估计,到 2030 年,该地区每年可产生高达 6000 亿美元的额外制造业产出,”Akamai 亚太及日本地区安全技术与战略总监 Dean Houari 说。“攻击者仍然有经济动机,制造业是勒索软件攻击的主要目标,因为他们无法承受停机和中断,尤其是当长供应链依赖于零件或产品时。很多时候,制造商最终会支付赎金以减少对运营或向客户交付产品的干扰,”Houari 继续说道。

制造业遭受勒索软件攻击的受害者数量之多不容忽视。勒索软件对制造业的攻击可能会导致影响深远的供应链中断,包括制药公司、食品和饮料、汽车和医疗设备。这些垂直领域的业务中断可能会造成商品短缺,从而产生大规模影响,而即使不是立即产生影响,也会随着时间的推移而产生影响。在 2017 年对制药公司默克的勒索软件攻击中可以看到,攻击使得该公司需要从美国疾病控制和预防中心维持的库存中借用疫苗以满足需求。

全球最大肉类生产商JBS SA的勒索软件攻击也是一个例子,证明了攻击对制造商的深远影响。在 JBS 案中,攻击者能够强行关闭其所有美国牛肉工厂,有效地停止了四分之一的美国肉类供应的生产。

今年3月,丰田汽车零部件供应商因受到了勒索软件攻击,从而导致系统瘫痪。受此影响,丰田在日本14家工厂总共28条生产线3月1日都暂停运营,汽车减产数量约为1.3万辆,这相当于丰田在日本单月产量的4%至5%。

制造业企业面对迅速恢复产能的巨大压力,更愿意付赎金

生产商最忌讳生产线停工,面对业务中断、生产损失、难以交付产品和开票的困境,企业往往需要耗费大量资金才能重回正轨。为了满足生产,制造需要大量的正常运行时间,任何导致停机的攻击都可能造成大量的成本。因此,他们可能更倾向于付钱给攻击者。例如,2019年,全球最大的铝制造商之一挪威海德鲁位于美国的工厂被勒索软件攻击,部分工厂停产数周,给公司带来9000万至1.1亿美元损失,远远超过保险公司赔付的360万美元。长远来看,一旦生产线遭攻击而停工,供应链面临中断,客户满意度会下降,进而使利润减少,股票价格下跌,甚至波及企业及机构的品牌信任度和声誉。

攻击者窃取了知识产权,就如同抓住了制造业“命门”

许多勒索病毒如LockerGoga、Maze和EKANS,都可以通过Windows活动目录对整个组织计算机域内的主机系统进行加密,攻击者因此通常也能够访问网络内的知识产权和敏感数据,新型病毒EKANS甚至已经具备破坏工控设备的能力。如果攻击者利用勒索软件作为烟幕,进行旨在窃取知识产权的网络攻击,可能会对受害者造成极大的伤害,因为对于众多制造企业来说,知识产权将直接关乎制造业企业的发展命脉和市场空间,所以一旦企业的这些核心机密信息失窃,对应企业在行业的核心竞争力就很可能在瞬间化为乌有。全球制造业巨头公司在今年确认旗下一家生产工厂遭受到勒索软件攻击,勒索软件组织LockBit威胁要泄露窃取的数据,除非该公司在6月11日之前支付赎金。业内人士分析认为,通常勒索软件组织会窃取高价值信息作为胁迫受害者支付的筹码,由于该公司为许多品牌代工各种消费电子产品,LockBit组织很可能已经窃取了相关技术原理图和图纸等机密知识产权信息。

数字化转型扩大制造业受到的攻击面

Forrester称,亚太地区多达四分之三的制造商正在优先考虑创新和自动化,以提高运营效率和弹性。随着制造商开始实施智能工厂并采用工业物联网 (IIoT),越来越多的机器正在联网到互联网。这扩大了攻击面,并为攻击者进入制造商网络创造了新的途径。

据德勤的一项调查显示,48%的受访制造商将包括网络安全在内的运营风险视为智能工厂计划的最大危险。许多制造公司发现与用于管理工业运营的控制系统相关的网络相关事件有所增加。这些系统的范围可以从可编程逻辑控制器和分布式控制系统到嵌入式系统和工业物联网设备。这些控制系统共同构成了允许设施运行的运营技术 (OT)。

虽然连接的优势包括提高生产力水平、更快地识别和修复质量缺陷,以及跨职能领域更好的协作,但它们也可以成倍增加智能工厂的潜在漏洞。事实上,网络安全和基础设施安全局 (CISA) 列出了来自 300 多家 OEM 和系统提供商的 1,200 多个已知的与 OT 系统相关的安全问题、漏洞和漏洞利用。随着数字化和先进技术的发展,控制生产设施运营的系统面临的威胁形势迅速扩大。

制造业企业对勒索病毒防范相对薄弱

随着制造企业向工业4.0推进,面对勒索病毒攻击,与其他行业相比,制造业企业防范相对薄弱。制造设备在最初设计时考虑了效率和合规问题,但没有考虑网络安全和数据隐私风险。生产线和工业流程通常运行在操作系统或工业控制系统上,由于软件的年代久远,与当前的勒索病毒防范最佳实践不兼容,从而使其极易受到攻击。如果制造商不让设备离线以更新安全,那么就有可能被勒索软件攻击,导致产线瘫痪,但系统脱机维护可能会导致高昂成本或者旧系统出现问题。

此外,制造业有着众多分散、小企业构成的复杂供应链,这通常会成为攻击者寻找薄弱环节的重要目标。随着制造强国战略全面推进,我国制造业领域的数字化、网络化、智能化水平加快提升,遭受勒索病毒攻击的形势也会愈发严峻,因此构建有效的勒索病毒防御体系迫在眉睫。

 

Akamai勒索软件攻击报告

近年来,勒索软件在网络安全攻击中无处不在,2021 年在全球造成的损失超过 200 亿美元。从 2017 年的 WannaCry 全球攻击开始,备受瞩目的勒索软件攻击的出现大大提高了勒索软件的意识。近年来,勒索软件攻击者袭击了学校、政府、医疗保健和基础设施等目标。

报告重点关注执行这些攻击的组织及其运作方式。勒索软件即服务 (RaaS) 团体已经成长为企业,其结构模仿了他们试图勒索的公司——客户服务代表、新员工培训等等。 Conti 是世界上最多产的 RaaS 提供商之一,最近泄露的一份文件揭示了它的一些内部运作,让研究人员和记者深入了解这些组织的运作方式。

Akamai 研究人员一直在分析和研究 RaaS 提供商,以揭示促成其成功的一些潜在机制。结果提供了关于攻击趋势、工具和必须遵循的缓解措施的全面报告。

 

报告发现:

  • 60% 的成功 Conti 勒索软件攻击针对的是美国组织。
  • 30% 的成功 Conti 勒索软件攻击针对的是欧盟组织。
  • 制造业在Conti 受害者名单中名列前茅,凸显了供应链中断的风险。
  • 关键基础设施占受害者总数的 16%。
  • 13% 的商业服务强调供应链网络攻击的可能性。
  • 绝大多数Conti 受害者是收入在1000 万美元至2.5 亿美元之间的企业。
  • 大约 40% 的 Conti 受害者是收入在 1000 万美元至 5000 万美元之间的企业。
  • 受害者收入趋势表明,在中小型企业中,潜在的“金发姑娘”范围内的成功受害者可以支付巨额赎金,但安全实践尚未成熟。
  • 攻击场景是多方面的和注重细节的,重点关注“手按键盘”的网络传播。
  • TTP 暗示需要强有力的保护以防止横向移动及其在防御勒索软件方面的关键作用。
  • TTP 众所周知,但非常有效,有助于揭示其他团体常用的工具。研究这些 TTP 可以让安全团队深入了解攻击者的作案手法,以便更好地防范他们。
  • Conti 强调黑客攻击和手动传播,而不是加密,应该促使网络防御者也关注杀伤链的这些部分,而不是关注加密阶段。

 

全球攻击趋势

要了解 Conti 的全球攻击模式,我们必须首先将它们分解为地理和垂直数据。

Akamai:制造业仍是勒索软件攻击的主要目标-RadeBit瑞安全

图 1:按国家/地区划分的攻击

按国家划分的受害者分布(图 1)显示,57% 的Conti受害者来自美国,其次是英国、德国和意大利。这可能表明Conti的目标选择严重偏向北美和欧洲地区。这与Conti最近宣布支持俄罗斯对乌克兰的战争是一致的。虽然Conti不是一个民族国家的攻击组织,但他们已经公开表达了自己的情绪,甚至威胁到了俄罗斯政府的反对者。

美国政府最近的一项咨询同样警告称,来自俄罗斯攻击组织的对美国公司的攻击有所增加,这似乎得到了上述受害者分布的支持。美国的咨询进一步提出了减轻这种威胁的建议政策和实施,特别强调关键基础设施公司。

Akamai:制造业仍是勒索软件攻击的主要目标-RadeBit瑞安全

图 2:按地区划分的攻击

对按地区划分的受害者趋势进行的高级检查(图 2)显示 EMEA 是第二大成功攻击的地区,其次是 APAC 和 LATAM。尽管与北美和 EMEA 相比,亚太地区和 LATAM 地区的受害者人数较少,但重要的是不要忽视这些攻击的重要性,因为每个单独攻击的影响可能因地区而异。一个值得注意的例子是Conti最近对哥斯达黎加政府的成功袭击,这在该地区造成了广泛的破坏。

然而,总体而言,Conti对特定地区的关注高于其他地区并不令人惊讶。它对哥斯达黎加的攻击是它与俄罗斯国家目标的一致性如何使其在世界许多地方击中意想不到的目标的一个例子。然而,除此之外,勒索软件威胁参与者似乎存在“区域化”,他们表现出语言、地区和国家偏好。

 

行业和垂直趋势

行业和垂直分析在网络安全中发挥着重要作用。虽然攻击组织不一定针对某些行业而不是其他行业,但图 3 中的数据显示了 Conti 的攻击在行业和垂直领域之间的成功率有何不同。行业之间存在相似和不同之处,可能需要分析和注意。

Akamai:制造业仍是勒索软件攻击的主要目标-RadeBit瑞安全

图 3:行业攻击

按行业细分受害者名单时,Akamai发现了许多值得考虑的有趣趋势。为了观察这些趋势,需要超越这些攻击的直接财务影响,并研究勒索软件攻击带来的业务中断的更广泛影响。正如殖民管道攻击所证明的那样,对某些垂直领域的攻击可能会比其他攻击造成更持久和更严重的影响。

Akamai对行业受害者的分析得出了三个重要的发现,主要是:供应链中断的可能性很大,关键基础设施的受害者数量众多,以及通过第三方的脆弱性进行供应链网络攻击的可能性。

制造业受害者的数量之多不容忽视。对制造业的攻击可能会导致影响深远的供应链中断,包括制药公司、食品和饮料、汽车和医疗设备。这些垂直领域的业务中断可能会造成商品短缺,从而产生大规模影响,即使不是立即产生影响,也会随着时间的推移而产生影响。在 2017 年对制药公司默克的勒索软件攻击中可以看到这种影响的一个小例子,这使得该公司需要从美国疾病控制和预防中心维持的库存中借用疫苗以满足需求。

公用事业、医疗保健、交通和教育占受害者总数的 16%。对这些垂直领域的攻击可能会立即对大量人口造成破坏,并可能产生灾难性的现实影响。勒索软件影响的附带后果可被视为网络动力影响。这方面的一个例子是医疗保健,勒索软件攻击对重要的医疗保健造成了严重破坏,甚至在世界各地造成了许多人死亡。

该分析引起的另一个担忧是供应链网络攻击的可能性,例如最近的 SolarWinds 和 Hafnium 攻击。与物理供应链的中断(如上所述)不同,供应链网络攻击会破坏第三方以接触更大、更有利可图的受害者。大量商业服务受害者表明供应链网络攻击的风险,不是来自勒索软件运营商本身(尽管这确实有可能),而是来自泄露的文件。为组织提供服务的公司可能会访问敏感信息,这些信息可能会被用于攻击关联公司。一个值得注意的例子是 Target 攻击,它使 4000 万张信用卡和借记卡处于危险之中,并且是通过第三方 HVAC 公司实现的。