2022中国工业数据勒索形势分析报告
AI智能总结
主要观点 2022年1-9月,奇安信集团安服团队共接到工业数据勒索应急服务需求72起。医疗和制造业是攻击者攻击的主要目标,成工业数据勒索重灾区。 数据泄露成工业企业面临的最大挑战。攻击者将数据进行窃取和加密,导致数据丢失,严重影响系统和业务的正常运行。 业务专网成为攻击者攻击的首要目标。工业企业在对办公系统进行安全防护建设的同时,更应重视业务系统的安全防护和安全管理。 弱口令成为工业企业防护短板。弱口令账号的低攻击成本和高命中效果,攻击者易通过盗取弱口令账号以横向渗透获得特权账号,进而破坏或泄露重要数据资源。 漏洞利用是攻击者最常用的攻击手段,攻击者利用的漏洞仅有少数是未公开的0day漏洞,多以历史漏洞为主。这也直接反映出工业企业安全运维人员对下辖网络资产动态跟踪不及时、安全运维缺乏常态巡检机制、对存在的漏洞及安全威胁缺乏应对等问题。 Phobos和Makop是最活跃的勒索病毒。工业企业应重点防护并及时跟踪勒索病毒传播变化趋势,随时调整应对策略。 基于工业数据勒索应急现状,提出防护建议。补短固底,做好基础安全防护是当务之急;结合具体业务场景,做好工业数据分类分级;系统治理,规划新型数据安全防护体系;有序建设,持续运营。 目录 第一章2022年工业数据勒索安全态势1 第二章工业数据勒索应急响应事件受害者分析3 一、医疗和制造业成工业数据勒索重灾区3 二、数据泄露成工业企业面临的最大挑战3 三、弱口令成为工业企业防护短板4 第三章工业数据勒索应急响应事件攻击者分析5 一、业务专网成为攻击者攻击的首要目标5 二、漏洞利用是攻击者最常用的攻击手段5 三、Phobos和Makop是最活跃的勒索病毒6 第四章工业数据勒索应急响应典型案例分析7 一、某制造企业遭Phobos勒索病毒攻击7 二、某医疗卫生企业遭Bonzon3勒索病毒攻击8 三、某集成电路企业遭Makop勒索病毒攻击9 四、某医疗企业API存在安全漏洞导致数据泄露10 第五章工业领域数据勒索安全防护建议12 一、补短固底,做好基础安全防护是当务之急12 二、结合具体业务场景,做好工业数据分类分级工作12 三、系统治理,体系规划新型数据安全防护体系12 四、数据安全能力有序建设,持续运营13 附录一工业控制系统安全国家地方联合工程实验室14 附录二巽丰工控安全实验室15 附录三奇安信工业数据安全能力16 第一章2022年工业数据勒索安全态势 勒索病毒是一种新型计算机病毒,主要以网络攻击勒索企业/用户钱财为目的,利用安全漏洞、钓鱼邮件、网页挂马等形式传播,采取锁定屏幕、数据窃取、加密数据和加密磁盘等方式,恐吓、胁迫、勒索企业/用户支付赎金。本报告中将因为勒索病毒攻击导致工业企业数据被加密、窃取等事件定义为工业数据勒索事件。 拥有丰富数据、数据勒索损失巨大的工业企业生产系统成为被勒索攻击的首要目标。最近频繁曝出针对大型工业企业的勒索事件,根据国家工信安全中心统计,2021年公开发布的工业领域勒索事件比2020年增长约51.5%。 数据勒索也成为数量排名第一的工业网络攻击威胁源,本文主要依据奇安信集团安服数据为基础,从受害者和攻击者视角剖析工业数据勒索安全态势,通过分析典型案例,为工业企业数据勒索提供安全建议。 2022年1-9月,奇安信集团安全服务中心共参与和处置了全国范围内174起工业网络安全应急响应事件,其中与工业数据勒索相关的安全事件72起,占到工业安全应急响应事件的41.4%。前三章节主要针对2022年工业数据勒索相关的事件进行态势分析。 2022年1-9月工业数据勒索应急响应服务月度统计情况具体如下: 2022年1-9月,奇安信应急响应中心共处置和工业数据勒索相关的安全事件72起。 2021年1-9月,工业企业数据勒索病毒攻击态势在5月份达到峰值,和2021年同时期相比较而言,其攻击态势有所增加,勒索攻击愈发具备针对性。 第二章工业数据勒索应急响应事件受害者分析 为进一步提高工业企业对突发数据勒索安全事件的认识和处置能力,增强工业企业安全防护意识,对2022年1-9月处置的所有数据勒索应急响应事件从被攻击角度、受害者行业分布、失陷原因以及攻击行为造成的影响几方面进行统计分析,剖析工业企业内部网络安全现状。 一、医疗和制造业成工业数据勒索重灾区 2022年1-9月工业数据勒索应急响应处置事件TOP3的行业分别为医疗卫生行业(36起)、制造业(20起)、能源行业(7起),事件处置数分别占2022年1-9月工业数据勒索应急处置事件的50.0%、27.8%、9.7%。 工业数据勒索应急响应行业分布TOP5详见下图: 从行业排名可知,2022年1-9月攻击者的攻击对象主要分布于医疗卫生行业和制造业。其中,制造业遭受双重勒索(“勒索+窃取”)攻击导致数据泄露问题更加突出。 二、数据泄露成工业企业面临的最大挑战 2022年1-9月,从工业企业遭受数据勒索攻击产生的影响来看,攻击者对系统的攻击所产生的影响主要表现为数据丢失和系统/网络不可用等。下图为工业企业遭受攻击后的影响分布。 攻击者将数据进行窃取和加密,导致数据丢失。在上述数据中,有36起数据勒索应急响应事件导致工业企业数据丢失,占比50%。有12起应急响应事件导致系统/网络不可用,占比16.7%,攻击者对系统重要数据库进行攻击,严重影响系统和业务的正常运行。 三、弱口令成为工业企业防护短板 在2022年1-9月工业数据勒索应急响应事件中,弱口令是工业企业遭受数据勒索失陷的重要原因,占比55.6%。 由于弱口令账号的低攻击成本和高命中效果,通过盗取弱口令账号以横向渗透获得特权账号,进而破坏或泄露重要数据资源的攻击行为,给数据安全管理带来很大挑战。 第三章工业数据勒索应急响应事件攻击者分析 应急响应事件攻击者分析以2022年1-9月所有工业数据勒索应急数据为支撑,从攻击者角度对攻击者攻击手段、攻击影响范围和攻击常用的勒索病毒进行分析,为工业企业建立安全防护体系、制定应急响应处置方案提供参考依据。 一、业务专网成为攻击者攻击的首要目标 2022年1-9月工业数据勒索应急响应事件的影响范围主要集中在业务专网,占比75%;其次为办公网,占比25%。根据受影响区域分布对受影响设备数量进行统计,2022年1-9月失陷的设备中,682台服务器受到影响,75台办公终端被攻陷。2022年1-9月工业企业遭受数据勒索攻击影响范围如下图所示。 工业企业在对办公系统进行安全防护建设的同时,更应重视业务系统的安全防护和安全管理。 本文中办公网指企业员工使用的台式机/笔记本电脑、打印机等设备,而业务专网泛指工业企业整体运行与正常生产所需要的各种网络系统。 二、漏洞利用是攻击者最常用的攻击手段 通过对2022年1-9月工业数据勒索安全事件攻击类型进行分析,漏洞利用攻击手段占比最高,达到43.1%。漏洞利用是攻击者利用工业企业网络安全建设不完善的弊端,使用常见系统漏洞、设备漏洞等,对系统进行的破坏性攻击,通常会导致重要数据丢失、泄露、内部投毒、敲诈勒索等严重后果。 漏洞利用类型主要包括未授权访问、远程命令执行、文件上传与下载、敏感信息泄漏与SQL注入等,这些漏洞仅有少数是未公开的0day漏洞,多以历史漏洞为主,历史漏洞基本都是由于没有及时升级、更新应用造成的。这也直接反映出客户网络运维人员对下辖网络资产动态跟踪不及时、网络运维缺乏常态巡检机制、对存在的漏洞及安全威胁缺乏应对等问题。 三、Phobos和Makop是最活跃的勒索病毒 在2022年1-9月最活跃的勒索病毒分别为Phobos和Makop,占比均为13.9%。 Phobos勒索病毒主要是通过开放的端口或远程桌面协议暴力破解+人工投放或钓鱼邮件的方式进行勒索,值得关注的是,Phobos在运行过程中会进行自复制并在注册表中添加自启动,当工业企业中了该勒索病毒后,一定要进行彻底清除,否则容易遭受二次加密。 Makop勒索病毒主要的攻击方式是通过开放的远程桌面协议端口进行暴力攻击或字典式攻击,Makop以攻击中小企业为主,攻击者使用Phobos勒索病毒发起的攻击数量较多,目前仍然是获利最多的勒索病毒之一。 表1遭受攻击勒索软件类型TOP5 勒索软件名称 应急次数 Phobos勒索软件10 Makop勒索软件 10 Buran勒索软件 5 Tellyouthepass勒索软件 3 Wannacry勒索软件 3 工业企业应加强内部数据安全建设,应重点防护并及时跟踪勒索病毒传播变化趋势,随时调整应对策略。 第四章工业数据勒索应急响应典型案例分析 2022年1-9月奇安信安全应急响应中心关于工业数据勒索共收到全国各地应急求助72起, 发生的安全事件均不同程度地给工业企业带来经济损失和恶性的社会影响。下面介绍4起2022 年1-9月份典型的数据勒索应急事件。 一、某制造企业遭Phobos勒索病毒攻击 (一)事件概述 奇安信工业安全专家接到制造业某客户应急响应求助,现场一台刚上线服务器感染勒索病毒,所有文件被加密,客户希望对受害服务器进行排查,溯源入侵途径。 工业安全专家对受害服务器进行排查,发现被加密文件后缀为.dewar,确认受害服务器感染的是Phobos勒索病毒。 工业安全专家对受害服务器日志进行分析,发现从事发前一周开始,公网IP(x.x.x.75)持续对受害服务器RDP服务进行账号密码暴力破解。由于该服务器存在弱口令,于事发前一晚成功爆破登录系统并向受害服务器释放Phobos勒索病毒。获取系统权限后,攻击者继续使用黑客工具向内网进行了横向渗透、端口扫描及RDP爆破等行为,部分内网服务器被爆破,数据被加密。客户反馈,失陷服务器是通过内网工业堡垒机登陆运维的,且只允许8735端口进行访问, 工业安全专家继续对堡垒机排查发现,有操作者将8735端口网络流量通过端口转发到服务器3389端口至公网,经确认,是客户运维人员为了方便管理,通过流量转发操作将RDP服务映射至外网。 (二)防护建议 1)定期进行内部人员安全意识培训,禁止擅自修改服务器配置,关闭不常用的端口,对已安装的工业堡垒机正常启用,没有部署工业堡垒机的业务系统进行补充部署,对运维操作进行集中化管控; 2)杜绝使用弱口令,应使用高复杂强度的密码,如包含大小写字母、数字、特殊符号等的混合密码; 3)采用特权账号管理系统(PAM)主动发现各类基础设施的账号分布、识别账号和口令风险,帮助工业企业实现账号安全管理; 4)加强内外部数据库访问行为的监测,部署实施数据库审计系统,提高数据资产安全。 做好以上基础安全防护,结合具体业务场景,落实分类分级工作,做好系统治理,从数据安全全生命周期和全流程两种视角做好体系规划和有序建设。 二、某医疗卫生企业遭Bonzon3勒索病毒攻击 (一)事件概述 奇安信工业安全专家接到医疗卫生行业某客户求助,某制药企业内网服务器感染勒索病毒,重要数据被加密,客户希望对受害机器进行排查,并溯源入侵途径。 工业安全专家对客户现场被加密服务器A(x.x.x.7)进行排查,根据被加密文件后缀、勒索信等内容,确认服务器A(x.x.x.7)感染Bonzon3勒索病毒,文件加密时间为事发当天凌晨03:50:08;实施复杂度高。 攻击者发现服务器A(x.x.x.7)的sqlserver数据库端口1433对公网开放,并存在远程命令执行漏洞;事发前一天22:03:53,攻击者利用远程命令执行漏洞执行恶意命令,使服务器A (x.x.x.7)主动连接恶意网站https://kmsauto.us/,下载并执行恶意脚本start.psl;事发前一天22:04:12,恶意脚本start.ps1执行后主动外连恶意网站https://kmsauto.us/,下载后门程序javaw.exe至服务器A(x.x.x.7);事发当天01:12:51,攻击者利用远程命令执行漏洞启动后门程序javaw.e
