2024年,隨著執法部門對LockBit等勒索巨頭的大力打擊,勒索軟件領域發生了震蕩,焦點轉向了關鍵業務運營,今年發生的重大攻擊事件包括針對哈里伯頓(Halliburton)、倫敦交通局(TfL)和阿肯色州水廠等目標。
Dragos公司2024年第三季度的研究報告指出,新出現的RansomHub、Play和Fog等團伙利用VPN漏洞和竊取的憑證,通過各種“生活在本地”(LOTL)技術,在關鍵系統中站穩腳跟,活動激增。
Dragos在報告中表示:“從傳統金融勒索轉向運營破壞,特別是黑客活動分子所為,加劇了勒索軟件的風險,這種動機的融合進一步模糊了網絡犯罪和網絡戰爭之間的界限,需要對工業控制系統(ICS)和運營技術(OT)環境加強防御。”
報告補充稱,該時期的地緣政治緊張局勢加劇了這一復雜局面,黑客活動分子利用攻擊針對工業運營。
VPN漏洞成為新手入侵的首選
報告指出,針對工業組織的新勒索軟件團伙數量激增,他們混合使用各種技術來利用遠程和虛擬網絡應用程序的弱點。Fog、Helldown、Elderado、Play和RansomHub等新出現的團伙是濫用VPN漏洞的主要團伙。
Fog利用了臭名昭著的SonicWall漏洞攻擊未打補丁的系統,而Elderado和Play則專注于存在漏洞的VMware ESXi環境。與此同時,Helldown利用Zyxel VPN漏洞侵入企業網絡并鎖定敏感數據。
報告指出,VPN漏洞原本只是偶爾用于初始訪問,現已成為主流勒索軟件攻擊中不可或缺的一部分。
Dragos表示:“(2021-2023年)VPN漏洞利用主要與機會性攻擊相關,攻擊者專注于Pulse Secure和Fortinet等設備中未打補丁的漏洞。現在勒索軟件運營者通過將這些漏洞利用與基于憑證的攻擊相結合,以繞過多因素身份驗證(MFA)保護,從而提升了他們的戰術水平。”
該時期觀察到的其他主要勒索軟件新參與者包括KillSec和APT73(推測為LockBit的分支)。
新態勢擾亂關鍵行業
Dragos強調,勒索軟件攻擊不斷給工業組織造成重大干擾,導致運營中斷、財務損失和數據泄露。
對工業控制系統(ICS)領域事件的分析顯示,以施耐德電氣(Schneider Electric)為首的“制造業”遭受了最嚴重的打擊,394起事件占所有勒索軟件攻擊的71%。受影響最嚴重的制造子領域包括建筑業(30%)、食品和飲料業(11%)以及電子業(7%)。
ICS設備、交通運輸和通信行業受影響較小,分別觀察到10%(56起)、7%(38起)和5%(17起)事件。
RansomHub、Play和DragonForce成為新主角
據Dragos稱,RansomHub在第三季度以90起事件領跑,占所有勒索軟件攻擊的16%,得益于其強大的勒索軟件即服務(RaaS)模式,并吸引了如Velvet Tempest等LockBit附屬機構,這些機構使用先進的惡意廣告和VPN漏洞利用技術。自2024年5月以來,該團伙已與168起事件有關,主要集中在北美和歐洲,且以工業目標為重點。
針對哈里伯頓的一次顯著攻擊擾亂了包括發票處理在內的關鍵業務。LockBit3.0造成了78起事件,占2024年第三季度總數的14%,然而,Dragos發現,自2月以來宣布的新受害者中有三分之二可能是虛假的,這是在“Cronos行動”干擾后為了夸大活動而采取的行動。Play造成了52起事件(9%),主要針對關鍵基礎設施,而DragonForce有35起事件(6%),Qilin有23起(4%)。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。