網絡攻擊者越來越多(duō)地利用(yòng)勒索軟件來攻擊關鍵的基礎設施，今年2月，一家天然氣壓縮設施就遭到勒索軟件攻擊，被迫關閉兩天；美國(guó)工(gōng)控系統遭遇網絡攻擊，美國(guó)政府宣布進入緊急狀态；自新(xīn)冠疫情爆發以來，醫(yī)療保健公(gōng)司和相關的研究實驗室就成為(wèi)了攻擊目标。目前，費城坦普爾大學(xué)的一個新(xīn)的學(xué)術項目跟蹤了過去七年中(zhōng)對關鍵基礎設施的勒索軟件攻擊，表明2019年和2020年這個攻擊趨勢激增，占整個報告事件總數的一半以上。在本文(wén)中(zhōng)，我們将結合最新(xīn)數據，并探讨如何防止此類攻擊。

什麽是關鍵基礎設施？

根據美國(guó)網絡安(ān)全與基礎設施安(ān)全局(CISA)的說法，“關鍵基礎設施”是對經濟運行、公(gōng)共衛生和國(guó)家安(ān)全至關重要的“資産(chǎn)、系統和網絡”，影響關鍵基礎設施的攻擊可(kě)能(néng)會對國(guó)家的運作(zuò)能(néng)力造成“破壞性影響”。

CISA表示，關鍵基礎設施分(fēn)布在16個行業，即:化工(gōng)、商(shāng)業設施、通信、關鍵制造業、國(guó)防、教育、應急服務(wù)、能(néng)源、金融服務(wù)、食品和農業、政府設施、醫(yī)療保健、信息技(jì )術、核能(néng)、運輸和供水系統。可(kě)以看到這是一個相當大的攻擊面，而這些部門中(zhōng)的許多(duō)組織都是由公(gōng)共資金資助的，往往既缺乏預算，又(yòu)缺乏大型、資源充足的私營企業的專業知識，這使得防禦更加脆弱。自2018年以來，針對醫(yī)院、學(xué)校和亞特蘭大、格林維爾等城市，巴爾的摩和裏維埃拉比奇市議會的一系列勒索軟件攻擊便是其中(zhōng)一些比較引人注目的案例。

勒索軟件攻擊關鍵基礎設施的頻率有(yǒu)多(duō)高？

在過去兩年中(zhōng)，對關鍵基礎設施的勒索軟件攻擊急劇上升，并且所有(yǒu)迹象表明，随着勒索軟件工(gōng)具(jù)和RaaS産(chǎn)品變得越來越多(duō)并且攻擊者的技(jì )術門檻越來越低，将來的攻擊頻率還會更高。

坦普爾大學(xué)(Temple University)整理(lǐ)的公(gōng)開數據顯示，在過去7年裏，針對關鍵基礎設施的勒索軟件攻擊次數達到了近700次，平均下來每年不到100起，但事實上，其中(zhōng)超過一半是在2019年以後發生的。在不到兩年的時間裏(差四個月的數據要收集到2020年)，440次攻擊相當于每周發生了約5次對關鍵基礎設施的勒索軟件攻擊。

攻擊涉及所有(yǒu)CI部門，從糧食、農業到制造業、公(gōng)共衛生甚至教育行業。國(guó)防部門也被列為(wèi)攻擊目标，恐怖的是核工(gōng)業也被列為(wèi)攻擊目标。

近年來針對關鍵基礎設施的勒索軟件攻擊大多(duō)針對的是政府運營的設施，據報道有(yǒu)199起勒索軟件攻擊。對教育行業的攻擊數量緊随其後，有(yǒu)106起，另外針對緊急服務(wù)的勒索軟件事件就有(yǒu)61起。

是誰在幕後策劃對關鍵基礎設施的攻擊？

随着在暗網上出售的Netwalker等現成的勒索軟件工(gōng)具(jù)的普及，對關鍵基礎設施目标的攻擊變得越來越頻繁。NetWalker作(zuò)為(wèi)一個勒索軟件，最早出現在2019年8月。在最初的版本中(zhōng)，該勒索軟件的名(míng)稱為(wèi)Mailto，但在2019年年底重新(xīn)命名(míng)為(wèi)NetWalker。NetWalker的開發者似乎更青睐于能(néng)夠通過網絡攻擊，對RDP服務(wù)器、網絡設備、VPN服務(wù)器、防火牆等執行入侵的關聯公(gōng)司。值得注意的是，NetWalker的作(zuò)者化名(míng)為(wèi)Bugatti，隻對雇傭說俄語的二級幫派感興趣。McAfee專家表示，從曆史上看，NetWalker通過利用(yòng)Oracle WebLogic和Apache Tomcat服務(wù)器中(zhōng)的漏洞，通過RDP端點以薄弱的憑證進入網絡，或者通過對重要公(gōng)司的工(gōng)作(zuò)人員進行魚叉式釣魚來進行入侵。安(ān)全公(gōng)司McAfee在8月份發布的一份報告中(zhōng)表示，NetWalker勒索軟件的運營者自今年3月以來已經賺取了超過2500萬美元的贖金。不過依靠勒索軟件獲利最多(duō)的還是Maze，它在過去12個月左右的時間裏一直四處傳播，不僅獲取加密數據，更是以洩漏這些數據為(wèi)要挾的手段。這一勒索策略已經被REvil、Snatch、Netwalker、DoppelPaymer、Nemty和其他(tā)勒索軟件運營商(shāng)所采用(yòng)。截止目前Maze至少發起過57次針對關鍵基礎設施事件的攻擊，除了Maze，Wannacry發起的“15 minutes of fame”攻擊導緻它在16個重要行業中(zhōng)對企業造成了約33起攻。除上述勒索軟件外，還有(yǒu)Ryuk等也針對關鍵基礎設施發起了多(duō)次攻擊。比如DoppelPaymer（12次），Netwalker（11次），BitPaymer（8次），CryptoLocker（7次）和CryptoWall（5次）。

針對一個關鍵基礎設施的勒索軟件攻擊成本是多(duō)少？

與APT和有(yǒu)國(guó)家支撐的攻擊組織可(kě)能(néng)會尋求侵入關鍵基礎設施發起間諜或破壞活動的不同，使用(yòng)勒索軟件的一般攻擊者通常隻會對一件事感興趣：财務(wù)收益。為(wèi)此，記錄在案的13起案件要求的贖金總額超過500萬美元，另有(yǒu)13起的贖金金額在100萬至500萬美元之間。大約31起勒索軟件事件要求的贖金金額為(wèi)100萬美元，而66起勒索軟件事件的贖金金額為(wèi)5萬美元以下。

如上所述，勒索軟件的普及程度與其較低的技(jì )術門檻相關，這也是很(hěn)過所謂的新(xīn)攻擊形式發生的原因。統計數據表明，針對關鍵基礎設施目标的54個勒索軟件攻擊所需的費用(yòng)僅僅為(wèi)1000美元或更少。這些行動者很(hěn)可(kě)能(néng)采取了“shotgun”或 “scattergun”的方法來攻擊目标，并且沒有(yǒu)完全意識到他(tā)們所破壞的組織的性質(zhì)。此外，一些RaaS工(gōng)具(jù)對首次購(gòu)買者和“試用(yòng)”該軟件的新(xīn)手設定了相當低的贖金限制，以誘使這些新(xīn)手在嘗到成功的甜頭後繼續購(gòu)買“高級服務(wù)”。以NetWalker為(wèi)例，該勒索軟件以封閉訪問的RaaS（勒索軟件即服務(wù)）門戶的形式運行。其他(tā)黑客團夥注冊并通過審查，之後他(tā)們被授予訪問一個門戶網站的權限，在那裏他(tā)們可(kě)以構建定制版本的勒索軟件。而NetWalker如此受歡迎的原因之一，也是因為(wèi)它的 "洩密門戶"，該團夥在網站上公(gōng)布拒絕支付其贖金要求的受害者的姓名(míng)，并且發布數據。一旦NetWalker聯盟入侵網絡，他(tā)們首先會竊取公(gōng)司的敏感數據，然後對文(wén)件進行加密。如果受害者在最初的談判中(zhōng)拒絕支付解密文(wén)件的費用(yòng)，勒索軟件團夥就會在他(tā)們的洩密網站上創建一個條目。該條目有(yǒu)一個計時器，如果受害者仍然拒絕支付，該團夥就會洩公(gōng)布他(tā)們從受害者網絡中(zhōng)竊取的文(wén)件。

如何保護關鍵的基礎設施免受勒索軟件的攻擊？

由于現代勒索軟件攻擊的本質(zhì)是竊取數據并加密文(wén)件，因此，勒索軟件防禦的關鍵是預防。換句話說，就是防止攻擊者進入，并在攻擊生命周期中(zhōng)盡早發現并阻止它們。

首先，防護者需要了解你的網絡，連接了哪些設備，它們的作(zuò)用(yòng)是什麽？通過主動和被動進行的發現和指紋識别是防禦攻擊者的先決條件。通過頻繁的修補程序來控制訪問，強化配置并減少漏洞也很(hěn)重要。加強VPN連接、強制磁盤加密和端口控制也将減少勒索軟件的攻擊面。

其次電(diàn)子郵件和網絡釣魚仍然是勒索軟件的主要傳播媒介，所以一個良好的和頻繁的模拟訓練計劃是重要的。最重要的是，設置員工(gōng)的訪問權限，确保即使用(yòng)戶受到攻擊，他(tā)們也隻能(néng)訪問其工(gōng)作(zuò)所需的服務(wù)和資源。

以上都是可(kě)以阻止攻擊的修補性措施，但是針對關鍵基礎設施的攻擊者将找到解決這些防護措施的方法。因此，使用(yòng)一種行之有(yǒu)效的EDR解決方案，才是最終解決方案。