工业网站，公司面临着复杂的勒索软件的风险

工业网站以及其他行业正在攻击来自新版本的赎金软件，这些赎金软件被称为相当不同的名称，而是在全球各国感染网络。

Petya Ransomware，它是主要被称为，加密受感染的Windows计算机的主引导记录，使受影响的机器无法使用。开源报告指示RansomWare在服务器消息块（SMB）中漏洞漏洞。

将这种恶意软件与上个月超过150个国家的武器爆发进行了比较，但到目前为止，至少，Petya似乎只在大约64个国家散布更慢。像Wannacry一样，Petya Ransomware要求300美元的比特币付款来检索加密的文件和硬盘驱动器。截至周三早上，该账户已收到约10,000美元。德国电子邮件公司Posteo阻止了Petya黑客正在使用的电子邮件地址来确认赎金付款。

迄今为止的一些受害者是乌克兰政府，其国家银行和最大的电力公司;该国的机场和地铁服务也感受到了效果。

“乌克兰继续在持久网络攻击者的十字丝中，”Nozomi网络首席执行官Edgard Capdevielle说。“无论你认为乌克兰是一个敌国侵略的测试床还是两个特定国家之间的问题，对乌克兰基础设施的持续袭击令人不安。”

公司堕落受害者

航运公司A.P.Moller-Maersk报告了一台计算机系统停电，周二，它表示可能是一个全球问题。

“我们可以确认Maersk IT系统跨越多个地点和业务部门。我们目前正在评估情况，”马德克在Twitter上说。麦克斯克发言人表示，崩溃的原因尚不清楚，但它可以跨越公司的全球运营。

俄罗斯的顶级石油制片人Rosneft表示，周二其服务器已被击中大规模的网络攻击，但其石油产量不受影响。

恶意软件类似于Wannacry，但利用其他技术传播和加密系统，从Claroty从Claroty帖子中的帕特里克麦克莱德说。

更严重

我们的初步分析表明，Petya对ICS网络的潜在影响似乎比Wannacry更严重：

• 对IC Microsoft Windows机器的影响：Petya不会通过匹配的扩展名列表逐个加密文件，但是加密主文件表（MFT），以便无法访问文件系统 - 有效地砖块机器。这意味着任何感染的HMI都会立即锁定。虽然这不会直接影响潜在的过程，但它将剥夺所有能见度和监测能力，这将在大多数情况下导致所有案例关闭。OT网络必须留在手动模式，直到恢复受感染的窗口端点。此外，其他SCADA组件例如历史学家，备份服务器和工程站也会受到影响。
• 传播：Petya的传播能力超出了Wannacry的传播功能，因为它利用了用户的特权在整个网络中传播（使用PSExec）。它还利用WMI作为传播矢量。McBride还表示，缓解步骤类似于vannacry中使用的步骤。他说，修补以下CVES：CVE-2017-0199和CVE-2017-0144。

McBride添加了一些额外的保护和恢复步骤：

• 块SMB＆WMI端口135,139,445,1024-1035 TCP - 如果可能的话。
  • 1.注意：一些ICS软件依赖于这些服务，因此这可能会影响操作。
  • 2.客户可以使用Claroty平台来确定其当前的ICS环境是否利用这些端口/协议。

• 在％AppData％和％TEMP％中块执行.exe作为临时测量以避免感染，直到可以采取其他缓解步骤。这可能导致问题 - 例如，它将影响安装程序，但是提供暂时的缓解，直到可以采取其他缓解步骤。
• 检查下面的IOC的日志
• 如果感染：
  • 尽量避免重启。shutdown -a以中止关机并从内存中保留MFT表的副本以进行恢复。（cmd / k shutdown -a）
  • 尽量不要格式化加密系统，而是在恢复步骤中获取其映像。

需要保护

“虽然细节仍然是新兴的，但有一件事是明确的，诸如这些不区分地理或行业之间的攻击，”在PAS的ICS Cyber​​security的大卫Zahn说。“就像Wannacry攻击一样，临界基础设施被占据了横毛，早期报道识别石油和天然气和受害者。银行和制药也经历过问题。

"Prima facie, the motive behind this attack looks financial. But, were the motivation different, we’d face a much more serious situation today. Within critical infrastructure companies, such as chemical processing, there are proprietary industrial control systems responsible for production reliability and safety," Zahn said. "Compromising these systems could impact the environment, cause injury, or disrupt production. It’s also possible the effect would be less noticeable. Imagine the process at a pharmaceutical plant being altered instead of halted."

新的攻击时代

“似乎我们已经抵达了ICS（工业控制系统）攻击的黎明，”Ioactive Sentsent Services总监Bryan Singer说。“过去十年来，对工业控制系统的任何攻击都是一个休息，专门针对的内部人员攻击;或者以其他方式非常有限。例如，我们仍然在2010年谈论从2001年和Stuxnet谈论Vitek Boden。但似乎over the last few weeks we have hit a new era, it is now impossible to say ‘that can’t happen to us’ any more."

“赎金瓶似乎是一个新版本的Petya，可能对vannacry具有类似的特征，雇用永恒的蓝色在加密文件之前传播到其他系统，”歌手说。“这种爆发和崇拜之间的一个主要区别，尽管这一爆发和wannacry是可能包含用于另一个已知的漏洞CVE-2017-0199的利用代码，影响Microsoft Office进一步传播有效载荷。”

“如果谣言证明这次攻击是由外部蓝爆炸发起的，它是使用SMB v1的众所周知的漏洞，”Nozomi网络的联合创始人和首席产品官员说，Andrea Carcano表示。“SMB是在工业网络中经常使用的协议。因此，安全人员应该在其ICS中识别任何可以利用的Microsoft系统，并立即采取纠正步骤来修补它们。”

格雷戈里哈莱是Isssource的创始人。本文最初出现在isssource的博客。Isssource是CFE媒体内容合作伙伴。由Carly Marchal，内容专家，CFE媒体编辑编辑，cmarchal@cfemedia.com.。

查看下面的更多信息资源文章。