了解赎金软件攻击和它背后的人

没有人可以拒绝赎金软件是一个问题，击中制造自动化部门，这么多，使公司在遭受攻击后的轨道被停止。只是问Maersk，FedEx和Merck的名字。

在2016-2017时间框架上，它出现了更多的工厂遭受赎金软件攻击，因此斯蒂芬·威尔斯，趋势科学的高级威胁研究员以及他的团队决定将一个现实的虚拟工厂或蜜罐，了解为什么这些公司是为什么持有赎金。

设置蜜罐陷阱

“我们希望看到赎金的被持有的内容，”在迈阿密S4X20会议上的演讲中，威尔士说。“我们更多地了解了这个过程。”

蜜罐去过2019年5月6日，他们在圣诞节前闭嘴。他起初说过，他们有一点活动，但不是任何完整的攻击。

“在5月6日至7月24日之间，我们的活动很少，”他说。“但在6月下旬和7月初，我们张开了它，它表现出更多的活动;然后我们开始看到更多的行动。一个演员进入安装了一个Python安装程序。有人进入安装后门，我们很兴奋。我们有一个赎金软件攻击。“

由此产生的虚拟工厂的攻击正在打开，它关闭了设施。

“兰森制造器攻击让我们下降了四天，”威尔说。“我们试图看起来像真正的受害者。他们要求10,000美元，但我们谈判并将其降至6,000美元。我们与演员界面互相衡量他们的知识。“

虚拟公司的官员给攻击者发了一封电子邮件，要求他们举例解密一个文件，以确保他们确实拥有解密密钥。

“在我们交易所的这一部分，我们采取了一个不满的公司代表的一部分，询问为什么威胁演员首先这样做这一点，”莱斯说。“他们通过解密样本文件简洁地回答并义务我们。我们将传送带可编程逻辑控制器（PLC）编程文件（OMRON CXP文件）发送给它们，它们相应地解密，建议他们没有意识到我们实际上已经向他们发送了一个重要的文件。“

这次交流非常讲述团队。

“他们对控制系统的知识很小，”威尔士说。

虽然它是一个虚拟的环境而不是真正的工厂，但是，虽然我们谈判了“工厂已经下跌了四天。如果我们没有备份，那将是一个非常昂贵的攻击。“

在初始攻击之后，虚拟公司遭受了在严重程度方面变化的其他攻击。

一个攻击来自他们所说的是一个“好人攻击者。这个人写了一个说明，说我们有一个开放的端口，你应该创建一个密码，“威尔士说。

威尔士和他的团队学会了关于攻击以及纯蜜罐应该如何工作的大量优惠。他们甚至发现在白帽攻击者身上发现了互联网上的虚拟公司并向正确的当局报告。威尔斯和他的团队随后向研究员联系，让他知道这是一个蜜罐，而不是担心。威尔士说，研究人员表示，这是他见过的最逼真的假公司之一。

研究人员结束了如果您想运行高功能蜜罐，则需要每日互动。此外，您必须在发生时处理事件。不要等待，否则你会看到你的蜜罐崩溃。此外，HIVEL表示，“不要将控制系统放在互联网上。”

“我们来自这种蜜罐实验的发现应为组织，特别是那些运行工业控制系统（ICSS）和智能工厂的组织的规定示例，以确保在其系统上就有充分的安全措施，”威尔士说。

知道你的攻击者

在像效用这样的关键基础设施实体的黑客思考时，第一次思想必须是一个国家 - 国家攻击。即使在寻找和消化事实之前，也很容易跳到这一结论。从研究人员向一名高管发出一名记者，可能会发生在涉及该主题的记者。

IOactive的ICS负责人Jason Larsen在迈阿密S4x20的一次会议上说，等一分钟，停下来看看所有的事实。他在演讲中指出，他花了14个小时武器化对电网的攻击，而他不是一个民族国家。

拉森说:“在一场相当熟练的攻击中，这是所需的时间。”“在所有条件相同的情况下，大约需要三周时间才能制造出类似于乌克兰的袭击。”

事实证明，Larsen被电力实用程序雇用，以证明剥离漏洞链和创造攻击需要多长时间。

他说，那些14个小时涉及分析以太网到串行网关，寻找可利用的错误，为这些错误编写漏洞，并构建一个人在参与的后期部门中的某些积分。

就2015年乌克兰攻击而言，“我们看看先进的持续威胁（APT）作为超级对手，具有卓越的技能。我们正在用神秘的力量来看待他们，“拉尔森说。“他们没有任何高级技能。”

虽然对乌克兰的袭击中的群体可能有先进的技能，但是当你看实际的攻击时，他们并不超级精致，所以任何人都可以把它们拉下来。

“这完全由个人做到，”拉尔森说。

在类似针对乌克兰电网的两起独立攻击事件中，这些系统可能还没有得到足够的加固，不足以抵御攻击。

In any event, the types of attacks that show any kind of details are ones used as political statements, like Ukraine and Stuxnet, where an Iranian nuclear facility ended up falling under attack by the U.S. and Israel in an effort to slow down or stop the country’s nuclear enrichment program.

在非政治性事件中，当发生网络攻击时，攻击者总是在攻击发生后清理系统，消除自己的存在。

“清理阶段是让人们认为这是一个系统打嗝，”拉尔森说。所以，如果系统中有一个轻微的昙花一现，它看起来都没有，运营商可以“归咎于过程。但如果是一个网络事件，你就不会在苹果上得到第二次咬。“

Larsen添加了Stuxnet和乌克兰没有清理。“这些是政治声明袭击。”

在解释乌克兰袭击事件时，拉森说，这些坏人一边行动一边学习。

“乌克兰的第一次攻击是拒绝服务，但他们不了解系统，”他说。“该团队擅长信息技术(IT)黑客，但不擅长ICS。第二次乌克兰袭击时，他们更了解情况。他们进步了，说话也好些了。”

但他们仍然没有识字在ICS控制环境中。

Larsen表示，与不识字有关，当谈到攻击时有两个有效载荷，物理有效载荷和网络有效载荷。

“乌克兰攻击都没有表明他们对物理有效载荷有任何了解，”他说。“报告是超级性感，这是一个宽朴的，但他们没有ICS控制的能力。”

这导致拉森说，更多的安全专业人员需要花时间研究和发展基础知识。因为，如果他只花了14个小时就制造了一次袭击，其他人也可以做同样的事。

“地下室的一些家伙可以写入利用，”拉尔森说。

不要落在报告的攻击的炒作。了解它是什么，知道如果您有基础，可以防止发生攻击。

此内容最初出现在ISSSource.com在两部分。Isssource是CFE媒体内容合作伙伴。由Chis Vavra，CFE媒体，CFE媒体编辑编辑，cvavra@cfemedia.com.。