在工業(yè)環(huán)境下打補丁很難，更難的是勒索軟件導致生產(chǎn)流程關停。

　　卡巴斯基實驗室的一位研究人員在周三表示，勒索軟件團伙利用一種較新的勒索病毒“變種”，成功加密了某歐洲制造商的工業(yè)流程控制服務器，最終導致兩處生產(chǎn)工廠被迫關停。

　　這款新型勒索軟件被命名為Cring，今年1月開始活躍。它利用Fortinet VPN中存在的幾個長期未修補漏洞（官方已發(fā)布補?。┌l(fā)動攻擊，其中的目錄遍歷漏洞（CVE-2018-13379）允許未經(jīng)身份驗證的攻擊者獲取會話文件中的VPN用戶名與明文密碼。

　　借助這一登陸點，攻擊者可以進一步偵察情況，使用定制版Mimikatz提取服務器內(nèi)存中的域管理員憑證，最終利用Cobalt Strike框架安裝了Cring勒索軟件。為了掩蓋行跡，勒索團伙還將Cring安裝文件偽裝成了來自卡巴斯基實驗室或其他供應商的安全軟件。

　　安裝完成后，該勒索軟件會鎖定由256位AES密鑰加密的數(shù)據(jù)，而后使用硬編碼形式的RSA-8192公鑰對該密鑰進行加密。根據(jù)留下的勒索說明，攻擊方要求受害者支付兩個比特幣，以換取解鎖數(shù)據(jù)的AES密鑰。

　　損失不大

　　根據(jù)卡巴斯基實驗室ICS CERT小組成員Vyacheslav Kopeytsev的介紹，這家德國制造企業(yè)遭遇Cring感染的情況發(fā)生在今年第一季度。感染傳播到了該制造商生產(chǎn)線的配套數(shù)據(jù)庫服務器，結果導致這家制造商設在意大利的兩處工廠暫時關閉。從記錄來看，兩處工廠停運了兩天左右。

　　Kopeytsev在博文中寫道，“從攻擊事件的種種細節(jié)來看，攻擊方已經(jīng)認真分析了受攻擊組織的基礎設施，并根據(jù)偵察階段收集的情報適當調(diào)整了自己的基礎設施與工具組合。而對攻擊活動的進一步分析、特別是對被攻擊網(wǎng)絡進行取證之后，我們發(fā)現(xiàn)攻擊者的加密目標有著極強的針對性，專門選擇了那些會對企業(yè)運營造成嚴重影響的服務器。”

　　最終，響應小組通過備份還原了大部分加密數(shù)據(jù)，但仍有部分數(shù)據(jù)徹底丟失。受害者沒有支付任何贖金，也沒有發(fā)布任何具體損失或感染狀況報告。

　　早有建議，但未得到重視

　　2019年，研究人員們觀察到黑客團伙開始積極利用FortiGate VPN中曝出的安全漏洞。當時約有48萬臺FortiGate VPN設備接入公共互聯(lián)網(wǎng)。上周，聯(lián)邦調(diào)查局及網(wǎng)絡安全與基礎設施安全局發(fā)表聲明稱，作為FortiGate VPN中最嚴重的漏洞之一，CVE-2018-13379已經(jīng)引起黑客組織的關注、很可能被用于發(fā)動后續(xù)攻擊。

　　Fortinet公司在去年11月時表示，他們檢測到“大量”仍未修復CVE-2018-13379漏洞的VPN設備。通報還提到，公司研究人員發(fā)現(xiàn)，有地下犯罪論壇正公開出售這些漏洞設備的IP地址，也有人正在互聯(lián)網(wǎng)上大范圍掃描這些未安裝修復補丁的系統(tǒng)。

　　Kopevtsev強調(diào)，除了未能及時安裝補丁之外，這家德國制造商還犯下另外兩個嚴重錯誤：未能及時更新所安裝的反病毒軟件，也沒有將敏感系統(tǒng)的訪問權限限定在公司員工范圍。

　　過去也發(fā)生過其他針對制造業(yè)的攻擊活動，在遭遇WannaCry勒索軟件與另一未知惡意軟件的兩輪沖擊后，本田公司先后在2019年與2020年兩度叫停生產(chǎn)運營。挪威鋁材料生產(chǎn)巨頭Norsk Hydro也曾在2019年遭遇勒索軟件攻擊，這次攻擊導致其全球業(yè)務網(wǎng)絡被迫關停、工廠癱瘓，好在IT部門第一時間介入并很快恢復了正常運營。

　　在工業(yè)環(huán)境中修復及重新配置設備是出了名的困難，這是因為大部分此類設備必須持續(xù)運行才能保證制造流程的順利運轉(zhuǎn)。由安全更新與測試、或者網(wǎng)絡變更引發(fā)的生產(chǎn)線關停，往往會給企業(yè)帶來沉重的成本支出。但如果不及時行動，勒索軟件團伙很可能搶先出手，迫使生產(chǎn)流程陷入癱瘓。面對這個兩害相權取其輕的命題，企業(yè)必須做出艱難的選擇。