信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

2023年針對能源部門和關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊爆發(fā)式增長，包括BlackCat/ALPHV、Medusa（美杜莎）和LockBit3.0等十幾個知名勒索軟件組織紛紛加強了對能源行業(yè)高價值目標的攻擊，能源行業(yè)面臨的威脅態(tài)勢急速惡化。

2023年能源行業(yè)重大勒索軟件/數(shù)據(jù)泄漏事件如下：

●2023年11月，勒索軟件組織BlackCat/ALPHV將臺灣中國石化添加到泄漏站點受害者名單中，泄漏數(shù)據(jù)大小為41.9GB。

●2023年11月，美國愛達荷國家實驗室（INL）遭黑客組織SiegedSec攻擊，運行OracleHCM系統(tǒng)的服務(wù)器遭到入侵，包括工作人員在內(nèi)的數(shù)十萬個人數(shù)據(jù)泄漏。INL是美國能源部運營的核研究中心，擁有50座實驗核反應(yīng)堆。

●2023年9月7日，親俄羅斯的“STORMOUS”勒索軟件團伙宣布泄漏了越南國家石油天然氣集團（PVN）旗下的越南石油建設(shè)股份公司（PVC）成員公司JSC(PVC-MS)的300GB數(shù)據(jù)。后者成立于1983年，主要從事石油和天然氣領(lǐng)域建造、制造、安裝平臺、儲罐、管道。

●2023年8月，以色列Neve Ne'eman核反應(yīng)堆數(shù)據(jù)庫在暗網(wǎng)論壇中以900美元的價格出售，黑客聲稱數(shù)據(jù)庫中包括官員和教授的全名及其居住地址的所有信息；10GB機密文件，包括實驗中使用的組件和材料；反應(yīng)堆的尺寸、水平和位置；用于登錄的電子郵件、ip和密碼（ssh smtp服務(wù)器）。

●2023年5月，黑客在暗網(wǎng)論壇上泄露了從伊朗核電生產(chǎn)和開發(fā)公司(AEOI)竊取的10萬多封電子郵件。

●2023年3月，黑客在暗網(wǎng)論壇上泄露了從印度尼西亞國家核能機構(gòu)(Batan)竊取的1.4GB數(shù)據(jù)。

●2023年2月，勒索軟件組織美杜莎聲稱攻擊了中國石油（印尼公司）并索要贖金40萬美元。

●2023年2月，中國臺灣電池制造商菲宏（Phihong）公司遭Lockbit3.0攻擊，遭數(shù)據(jù)泄漏勒索。

●2023年2月，為羅馬市提供電力和供水服務(wù)的意大利公司Acea遭Black Basta勒索軟件組織攻擊，導(dǎo)致網(wǎng)站服務(wù)癱瘓。

2023年能源行業(yè)勒索軟件攻擊六大趨勢

根據(jù)Resecurity最新發(fā)布的《2022-2023能源行業(yè)勒索軟件攻擊報告》，2023年能源行業(yè)勒索軟件攻擊呈現(xiàn)以下六大趨勢：

針對能源行業(yè)的勒索軟件攻擊顯著增加。在北美、亞洲和歐盟(EU)都發(fā)現(xiàn)了針對能源行業(yè)的惡意活動。網(wǎng)絡(luò)犯罪分子瞄準這一領(lǐng)域的原因是涉及的數(shù)據(jù)資產(chǎn)價值更高，可以索取更多贖金。這些攻擊也表面，對于勒索軟件組織而言，關(guān)鍵基礎(chǔ)設(shè)施的數(shù)據(jù)資產(chǎn)比其他經(jīng)濟部門的數(shù)據(jù)資產(chǎn)更有價值。

采用新的攻擊策略提高加密速度，逃避檢測。勒索軟件攻擊者在針對能源企業(yè)和機構(gòu)的“大型狩獵”中部署的新攻擊策略包括間歇性加密、使用更現(xiàn)代的專業(yè)編程語言以及涉及多個變體的雙重勒索軟件攻擊。根據(jù)美國國土安全部的報告，這些新興技術(shù)策略使攻擊者能夠“更快地加密系統(tǒng)并減少被檢測到的機會。

能源行業(yè)勒索軟件攻擊的生態(tài)化協(xié)作。能源行業(yè)的勒索軟件攻擊并非單一組織的孤立行動，而是得到了包括初始訪問權(quán)限經(jīng)紀人（IAB）和工具開發(fā)商組成的蓬勃發(fā)展的攻擊生態(tài)系統(tǒng)的支持，這些網(wǎng)絡(luò)犯罪組織的橫向合作表明能源行業(yè)已經(jīng)被攻擊者眼中的高價值數(shù)據(jù)金礦。

初始訪問經(jīng)紀人積極尋找能源行業(yè)的憑據(jù)和身份數(shù)據(jù)。Resecurity已識別出幾家在暗網(wǎng)上運營的初始訪問經(jīng)紀人(IAB)，正在積極尋找能源行業(yè)的憑據(jù)和其他未經(jīng)授權(quán)的入侵方法。其中一些IAB甚至兜售核能公司的未授權(quán)訪問。此外，Resecurity還發(fā)現(xiàn)主要網(wǎng)絡(luò)犯罪論壇上的大量帖子，包括RAMP（俄羅斯匿名市場），攻擊者已經(jīng)并繼續(xù)從購買能源行業(yè)非法網(wǎng)絡(luò)訪問權(quán)限中獲利。

勒索贖金金額高漲。針對能源公司的勒索軟件攻擊贖金金額不斷增長，最高超過了700萬美元。勒索軟件組織向受害組織索要巨額贖金的另外一個關(guān)鍵因素是：受害者周圍環(huán)境中的工業(yè)流程可能遭受毀滅性破壞。

核能設(shè)施和機構(gòu)成熱門目標。核能組織是勒索軟件組織和從事網(wǎng)絡(luò)間諜活動的APT組織的高優(yōu)先級目標。因為核能設(shè)施遭受勒索軟件攻擊會對地緣政治關(guān)系、資本市場、公共安全和國家安全產(chǎn)生重大影響。

2024年展望

2024年，預(yù)計將有越來越多的勒索軟件組織優(yōu)先考慮能源行業(yè)的高價值目標，尤其是核能行業(yè)以及石油和天然氣供應(yīng)商的下游和上游業(yè)務(wù)。隨著能源行業(yè)數(shù)字化的不斷發(fā)展，IT與OT加快融合，攻擊面隨之不斷擴大，資產(chǎn)和數(shù)據(jù)多樣化、為攻擊者提供了更多利用機會。

此外，由于能源屬于關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，支付巨額贖金的可能性較高，進一步增加了對勒索軟件組織的吸引力。因此，2024年能源行業(yè)將迎來勒索軟件攻擊的“大考”，能源企業(yè)必須大力加強網(wǎng)絡(luò)防御，為即將出現(xiàn)的破壞性極高的復(fù)雜攻擊做好準備。