“閻羅王”勒索再現！思科中招過程披露

“閻羅王”勒索再現！思科中招過程披露




8月10日，思科公司證實，“閻羅王（yanluowang）”勒索軟件團伙在5月底攻破其公司網絡，并試圖以在網上公開被盜文件為威脅來敲詐他們。此前，該團伙還聲稱入侵了美國零售商沃爾瑪的系統，但沃爾瑪否認發生了勒索攻擊。


攻擊過程分析：竊取員工憑證入侵思科網絡
在此次事件中，閻羅王勒索團伙劫持了一名員工的個人谷歌賬戶，其中包含從其谷歌瀏覽器同步的憑證，之后利用該員工的憑證進入了思科網絡。首先，攻擊團伙冒充可信的支持機構，對思科員工進行了一系列復雜的語音釣魚攻擊，加之員工產生MFA疲勞，從而導致某員工接受了一條MFA認證通知，從而讓攻擊者獲得了VPN訪問權。攻擊團伙在思科的企業網絡中取得了立足點之后，就開始橫向移動到Citrix服務器和域控器。思科Talos表示，攻擊者進入了Citrix環境，攻陷了一系列Citrix服務器，最終獲得了對域控器的特權訪問。在獲得域管理權后，攻擊者使用ntdsutil、adfind和secretsdump等枚舉工具收集了更多信息，并在被攻擊的系統上安裝了一系列有效載荷，包括一個后門。最終，思科發現了攻擊者并將他們驅逐出其環境，但在接下來的幾周里，攻擊者繼續嘗試重新進行訪問，但并沒有成功。
勒索軟件攻擊特點分析
近年來，勒索軟件攻擊居高不下。在此類攻擊中，攻擊者通常會加密企業數據并要求付款才能恢復訪問權限。在某些情況下，攻擊者還可能竊取組織的信息并要求支付額外費用，以換取不向當局、競爭對手或公眾披露信息。在思科事件中，閻羅王團伙就以在網絡上公開為威脅進行敲詐。2021 年，從經濟影響和感染量兩個維度來看，我們看到 Conti 和 REvil 威脅行為者主導了勒索軟件市場。它們甚至都提供了各自的勒索軟件即服務 (RaaS) 平臺，攻擊者可以通過平臺來發起攻擊。鑒于RaaS 類型業務模型的快速增長，這就很難將某些事件歸因為某個攻擊者。對于勒索軟件攻擊，其發展主要呈現出以下五大趨勢：>>勒索軟件組織針對基礎設施發起攻擊雖然針對基礎設施的勒索軟件攻擊并不是什么新鮮事，但這類攻擊在 2021 年顯著增加。在這一年中，幾乎日常生活的方方面面都受到勒索軟件的威脅，例如醫院、警局、自來水廠、燃料管道、食品生產商和學校。遇到這類攻擊，企業不只是需要支付巨額的贖金，更會面臨新聞報道和政府審查，讓企業不僅面臨經濟損失，更是聲譽受損。兩個勒索軟件組織DarkSide 和 REvil在攻擊成功后躲藏起來，但后來，DarkSide 從 Colonial Pipeline 收集的大部分贖金被司法部沒收，REvil 也于 2022 年初被捕。
Colonial Pipeline勒索事件：2021年5月，網絡犯罪組織 Darkside 通過發布在暗網上的泄露密碼進入了美國最大的燃料管道 Colonial Pipeline。攻擊除了導致近 100 GB 的數據泄露外，還導致該公司在調查期間發生了六天業務中斷，導致燃料短缺、人民恐慌。據報道，雖然 Colonial Pipeline支付了贖金以避免數據泄露，但該勒索組織的收益并不長久。襲擊引起國際關注后，DarkSide 為“給社會制造了問題”道歉，并且，據報道，該組織很快就解散了。
JBS Foods：世界上最大的肉類生產商JBS Foods受到了網絡犯罪組織 REvil 的勒索攻擊。因為這次攻擊事件，JBS Foods暫時關閉其在美國的牛肉工廠，導致了加拿大的一家工廠中止正常運營，并導致其澳大利亞肉類加工廠的停工。雖然JBS Foods聲稱其數據沒有被泄露，但該公司在 6 月承認已支付 1100 萬美元的贖金，并將面臨長期停工的艱難局面。
New Cooperative：2021年9 月，勒索軟件組織 BlackMatter 獲得了對 NEW Cooperative 網絡的訪問權限。據報道，該網絡犯罪集團竊取了 1 TB 的數據，并威脅說如果不支付 590 萬美元的贖金就公布數據。與此同時，該公司無法訪問用于接收谷物運輸、運送飼料和保持數百萬雞、豬和牛的喂養計劃正常進行的網絡。
>>RDP和釣魚依舊是最常見的攻擊向量在過去幾年中，通過 RDP 進行初步攻擊一直是主要的攻擊向量。然而，自 2021 年以來，我們看到這種攻擊向量正在下降。相比之下，通過釣魚攻擊有所增加。我們將這兩種攻擊向量視為獲得初始立足點的最常用方式，而且這兩個攻擊向量也是攻擊者最便宜且最有利可圖的方法。在這次針對思科的攻擊中，閻羅王團伙冒充可信的支持機構，對思科員工進行了一系列復雜的語音釣魚攻擊，從而獲得了VPN訪問權。通過 RDP 進行攻擊主要是通過暴力破解憑據來實現的。這種方法的優點是攻擊者使用合法憑據進入網絡，從而不容易被關注到。盡管安全成熟度較高的組織會監控此類活動，但大多數中小型企業不會。>>利潤最大化：從雙重勒索到多重勒索的轉變雙重勒索是勒索軟件攻擊中的一個常見話題。勒索攻擊通常首先會將受害者網絡和系統上文件進行加密，然后會將文件和數據滲出，將其托管并扣押在勒索軟件組織擁有的轉儲站點上。在談判過程中，文件通常處于鎖定狀態。一些 RaaS 平臺還具有計時器功能，指示受害者還剩下多少時間來支付贖金。近年來，我們看到利潤最大化的一個變化是出現了多重勒索計劃。最初，攻擊者從組織竊取和加密敏感數據，威脅受害者付款，否則就要公開發布這些數據?，F在，攻擊者現在還針對組織的客戶和/或合作伙伴索要贖金。2021 年 4 月，REvil 以筆記本制造商 Quanta Computer 為目標發起攻擊。當公司拒絕支付任何贖金時，攻擊者將注意力轉向蘋果，并威脅要公布他們在最初攻擊中竊取的藍圖。后來攻擊者放棄了針對 Apple 的勒索，Apple 也沒有正式對此事件發表評論。Clop 勒索軟件團伙在 2021 年 5 月使用了相同的策略。在鎖定 RaceTrac Petroleum 并威脅要發布公司的文件后，該組織更是直接聯系他們的客戶和合作伙伴并威脅要發布他們的文件。請注意，一些研究將 DDoS 的使用描述為第三重攻擊向量，然后將向受害者客戶索要贖金作為第四重勒索。但是，DDoS 攻擊僅用于增加壓力，而不會增加實際的贖金或敲詐過程。>>勒索軟件即服務（RaaS）商業模式發展壯大在攻擊中使用勒索軟件即服務 (RaaS) 平臺已成為常態。這種類型的服務為其他威脅行為者、攻擊組織和個人提供了一個平臺，并且實行的是聯屬營銷模式。RaaS平臺涵蓋了勒索軟件攻擊所需的所有功能，從文件加密和存儲到支付。RaaS提供商會從受害者收取的贖金中抽成，而聯號則控制著賞金和與受害者的通信。RaaS平臺可以在受感染目標上輕松部署所需的所有工具，并且這些工具還在不斷開發中。就像一個健康的企業一樣，RaaS 平臺不斷適應新的環境變化，以便不被終端和網絡安全工具檢測到。RaaS 讓任何攻擊者都可以進行勒索軟件攻擊，即使他們缺乏技術知識。>>招募企業內鬼更復雜的勒索軟件攻擊即將出現的趨勢是積極招募員工在勒索軟件活動期間提供協助。據悉，一名俄羅斯國民因鎖定和招募特斯拉員工協助勒索而被定罪。該員工需要在其公司的計算機系統上執行惡意軟件，從而從公司網絡中竊取數據。然后，他威脅要在網上披露這些數據，除非該公司支付贖金要求。安裝惡意軟件后，該員工將獲得 1,000,000 美元的比特幣。Lockbit 也承諾在其內部人員招聘計劃中獲得“數百萬”的收益。有關勒索軟件攻擊的更多信息，請查看完整版《2022網絡威脅形勢研究報告》。
總結與建議
勒索軟件事件會嚴重影響業務流程，并讓組織無法獲得運營和交付關鍵任務服務所需的數據。事實證明，勒索軟件會給帶來重大的經濟損失和聲譽損害。從最初遭到入侵到最終恢復正常運行，對企業來說存在很大的挑戰性。在此次思科遭受的勒索軟件攻擊中，雖然沒有給企業造成重大影響，但也再次為我們敲響了警鐘。對此，建議組織采用下面這些做法來避免遭受勒索攻擊。



保持良好的網絡習慣：定期進行漏洞掃描以識別和解決漏洞，尤其是面向 Internet 的設備上的漏洞，以縮小攻擊面。

及時向主管單位報告：企業在遭受到勒索軟件的入侵后，應及時向主管單位報告，并請求技術援助或共享信息，以免其他企業也遭受類似的攻擊。

做好數據備份：維護好加密的離線數據備份并定期進行測試。

定期進行補丁更新：定期修補、更新軟件和操作系統。

工業4.0時代，制造商需要提高安全性

制造業的數字化轉型，通常被稱為工業4.0，正在為現代工廠帶來連接性和效率的新世界。智能工廠將新技術，如工廠自動化、人工智能和物聯網等整合到生產和供應鏈的各個層面。無論是工廠車間的機器人，提高安全性的可穿戴設備，還是通過物聯網監控設備數據，采用工業4.0是行業持續成功和創新的前進之路。

數據顯示，智能工廠設備市場預計將從2021年的2956.5億美元擴大到2026年的5000億美元以上。然而隨著工業4.0的興起，網絡安全威脅也在增加。

根據Kroll的《2021年第四季度威脅狀況》報告，制造業是第四大受關注的目標行業，僅次于專業服務、技術/電信和醫療保健，同時網絡釣魚也是針對制造業最常見的攻擊媒介。

威脅攻擊面只會繼續擴大?，F在采取措施了解其存在風險的制造商將能夠更快構建起應對互聯技術所需的安全成熟度。

制造業的安全成熟度
目前制造業在安全上存在的問題：

安全成熟度相對較低;

核心流程連接及網絡環境復雜;

存在行業商業機密，行業對服務中斷非常敏感。

在過去，制造業關鍵任務系統是隔離的，或者沒有聯網。這在一定程度上使得攻擊者將目標轉移到金融服務或醫療保健領域，這兩類行業擁有利潤豐厚的資產及聯網設備，且網絡中斷產生的影響很大。

如今，制造業正在采用聯網設備分析更多數據，并將數據輸入定制軟件中，因此對安全成熟度的需求迫在眉睫。對安全的需求不僅局限在IT部門，而是需要考慮技術、運營和安全等各方面在為確保關鍵數據和設備安全共同努力。

當前制造業面臨的網絡威脅
制造業面臨的威脅主要有三類。

傳統的網絡威脅包括針對IT系統的勒索軟件、數據盜竊、供應鏈攻擊和知識產權盜竊。這些都是嚴重的威脅，可能會耗費制造企業的時間、金錢和信譽。特別是小型制造商，尤其是由于時間、資源或招聘能力有限，還沒有建立強大的防御體系來應對這些威脅。

制造企業也面臨著針對工業控制系統(ICS)的針對性攻擊的獨特風險。隨著運營技術(OT)與傳統IT資產(包括連接的工業物聯網(IIoT)設備)的合作越來越緊密，在這些設備組之間架起橋梁變得越來越容易，并削弱最初設計或配置為孤立網絡的OT。這不僅會導致敏感信息的泄露，還會導致服務中斷和交付延遲。

針對制造業的另一層威脅涉及定制軟件。為了理解連接系統創建的數據，并利用這些數據提供的效率優勢，必須將這些數據輸入其他軟件。該軟件通常是針對單個公司的技術和數據資產定制的。這個軟件和它所運行的基礎設施可能是一個有吸引力的目標。如果這些軟件從開始設計就沒有考慮到安全性，并且在實現和維護時沒有考慮到安全性，那么定制的軟件就可能成為讓攻擊者進入的薄弱環節。

下一步：安全采用工業4.0
出于效率的原因，包括準時制生產和工作場所監控，工業4.0將會更有效率和精準，將更具成本效益和安全。但從長遠來看，首先確保安全、高質量的產品投放到市場比在出現問題時不得不召回更有效且損失更小。

在安全方面，也是這個道理。從一開始就考慮到安全性，無論是連接的基礎設施和將系統連接在一起的自定義代碼方面，注重安全性都會使得操作更順暢，并避免事件響應帶來的重大業務中斷、成本和聲譽損害，以及隨后的代碼重構或安全漏洞被利用后的基礎設施。

有效地準備和防御工業4.0的安全挑戰需要做出努力，不但需要IT人員，還需要以外的人的行動和主動性。簡而言之，它需要專門的網絡安全專業知識，需要能夠持續分析風險和威脅狀況的人員。這項工作需要專業人員，他們知道如何設計和實施有效的安全控制，以確保軟件安全，防止主動威脅，能夠理解日志數據，識別異常，并響應攻擊。他們還可以監督在編寫和處理數據的應用程序中，是否遵循了安全設計和安全編碼規范。