2023年针对能源部门和关键基础设施的勒索软件攻击爆发式增长,包括BlackCat/ALPHV、Medusa(美杜莎)和LockBit3.0等十几个知名勒索软件组织纷纷加强了对能源行业高价值目标的攻击,能源行业面临的威胁态势急速恶化。
2023年能源行业重大勒索软件/数据泄漏事件如下:
- 2023年11月,勒索软件组织BlackCat/ALPHV将台湾中国石化添加到泄漏站点受害者名单中,泄漏数据大小为41.9GB。
- 2023年11月,美国爱达荷国家实验室(INL)遭黑客组织SiegedSec攻击,运行OracleHCM系统的服务器遭到入侵,包括工作人员在内的数十万个人数据泄漏。INL是美国能源部运营的核研究中心,拥有50座实验核反应堆。
- 2023年9月7日,亲俄罗斯的“STORMOUS”勒索软件团伙宣布泄漏了越南国家石油天然气集团(PVN)旗下的越南石油建设股份公司(PVC)成员公司JSC(PVC-MS)的300GB数据。后者成立于1983年,主要从事石油和天然气领域建造、制造、安装平台、储罐、管道。
- 2023年8月,以色列Neve Ne'eman核反应堆数据库在暗网论坛中以900美元的价格出售,黑客声称数据库中包括官员和教授的全名及其居住地址的所有信息;10GB机密文件,包括实验中使用的组件和材料;反应堆的尺寸、水平和位置;用于登录的电子邮件、ip和密码(ssh smtp服务器)。
- 2023年5月,黑客在暗网论坛上泄露了从伊朗核电生产和开发公司(AEOI)窃取的10万多封电子邮件。
- 2023年3月,黑客在暗网论坛上泄露了从印度尼西亚国家核能机构(Batan)窃取的1.4GB数据。
- 2023年2月,勒索软件组织美杜莎声称攻击了中国石油(印尼公司)并索要赎金40万美元。
- 2023年2月,中国台湾电池制造商菲宏(Phihong)公司遭Lockbit3.0攻击,遭数据泄漏勒索。
- 2023年2月,为罗马市提供电力和供水服务的意大利公司Acea遭Black Basta勒索软件组织攻击,导致网站服务瘫痪。
2023年能源行业勒索软件攻击六大趋势
根据Resecurity最新发布的《2022-2023能源行业勒索软件攻击报告》,2023年能源行业勒索软件攻击呈现以下六大趋势:
针对能源行业的勒索软件攻击显著增加。在北美、亚洲和欧盟(EU)都发现了针对能源行业的恶意活动。网络犯罪分子瞄准这一领域的原因是涉及的数据资产价值更高,可以索取更多赎金。这些攻击也表面,对于勒索软件组织而言,关键基础设施的数据资产比其他经济部门的数据资产更有价值。
采用新的攻击策略提高加密速度,逃避检测。勒索软件攻击者在针对能源企业和机构的“大型狩猎”中部署的新攻击策略包括间歇性加密、使用更现代的专业编程语言以及涉及多个变体的双重勒索软件攻击。根据美国国土安全部的报告,这些新兴技术策略使攻击者能够“更快地加密系统并减少被检测到的机会。
能源行业勒索软件攻击的生态化协作。能源行业的勒索软件攻击并非单一组织的孤立行动,而是得到了包括初始访问权限经纪人(IAB)和工具开发商组成的蓬勃发展的攻击生态系统的支持,这些网络犯罪组织的横向合作表明能源行业已经被攻击者眼中的高价值数据金矿。
初始访问经纪人积极寻找能源行业的凭据和身份数据。Resecurity已识别出几家在暗网上运营的初始访问经纪人(IAB),正在积极寻找能源行业的凭据和其他未经授权的入侵方法。其中一些IAB甚至兜售核能公司的未授权访问。此外,Resecurity还发现主要网络犯罪论坛上的大量帖子,包括RAMP(俄罗斯匿名市场),攻击者已经并继续从购买能源行业非法网络访问权限中获利。
勒索赎金金额高涨。针对能源公司的勒索软件攻击赎金金额不断增长,最高超过了700万美元。勒索软件组织向受害组织索要巨额赎金的另外一个关键因素是:受害者周围环境中的工业流程可能遭受毁灭性破坏。
核能设施和机构成热门目标。核能组织是勒索软件组织和从事网络间谍活动的APT组织的高优先级目标。因为核能设施遭受勒索软件攻击会对地缘政治关系、资本市场、公共安全和国家安全产生重大影响。
2024年展望
2024年,预计将有越来越多的勒索软件组织优先考虑能源行业的高价值目标,尤其是核能行业以及石油和天然气供应商的下游和上游业务。随着能源行业数字化的不断发展,IT与OT加快融合,攻击面随之不断扩大,资产和数据多样化、为攻击者提供了更多利用机会。
此外,由于能源属于关键基础设施行业,支付巨额赎金的可能性较高,进一步增加了对勒索软件组织的吸引力。因此,2024年能源行业将迎来勒索软件攻击的“大考”,能源企业必须大力加强网络防御,为即将出现的破坏性极高的复杂攻击做好准备。