作者 | 天地和兴工业网络安全研究院
编者按:随着越来越多的企业依靠物联网设备来采集数据,物联网设备为黑客提供了进入企业网络的通道。制造商为每个物联网设备创建的应用程序种类繁多,黑客可以进入网络并以多种方式造成破坏。根据SonicWall安全研究人员近日发布的2020年第三季度威胁情报,物联网攻击数量增加了30%,勒索软件攻击数量激增了40%,而恶意软件总量连续三个季度下降,下降了39%。物联网攻击数量的增加可归因于远程工作人员的增加以及连接到公司网络的不安全设备的数量增加。企业在享受IoT设备带来的便利的同时,也应采取相应措施保护硬件设备及网络免受日益复杂的勒索软件攻击。
一、勒索软件攻击威胁形势严峻
SonicWall Capture Labs威胁研究人员2020年10月29日公布了该公司超过100多万全球安全传感器收集的第三季度威胁情报。截至2020年9月的最新年度调查结果显示,网络犯罪分子越来越多地使用勒索软件、加密威胁和利用非标准端口的攻击,而恶意软件总量连续第三个季度下降。
SonicWall总裁兼首席执行官比尔·康纳(BillConner)表示,“对大多数人来说,2020年是经济几乎停止、通勤结束、和传统办公场所消失的一年。然而,一夜之间出现的远程工作人员和虚拟办公室给了网络犯罪分子提供了新的和有吸引力的载体。威胁行为者正在不懈地追求获得不属于自己的东西,以获得金钱利益、经济主导地位和全球认可。”
SonicWallCapture Labs的主要发现包括:
恶意软件下降39%(年初至今44亿),数量连续第三季度下降;
全球勒索软件激增40%(1.997亿);
入侵尝试次数增加19%(3.5万亿);
物联网恶意软件增长30%(3240万);
加密威胁增长3%(320万);
加密劫持增加2%(5790万)。
( 一 ) 物联网设备遭受攻击数量激增
COVID-19导致网络上的设备数量异常增加,导致在新冠大流行期间仍保持运营的公司面临的潜在威胁增加。SonicWall Capture Labs发现,IoT恶意软件攻击增加了30%,全球总量为3240万次。
大多数物联网设备,包括有语音功能的智能设备、门铃、电视摄像机和电器,在设计时并没有将安全放在第一位,这使得其容易受到攻击,并为犯罪者提供了众多的入口点。
康纳表示,“员工过去依赖于公司提供的安全办公网络,但远程办公员工的增长扩展了为家庭和家庭办公提供服务的分布式网络。消费者需要确认空调控制、家庭报警系统或婴儿监视器等设备是否安全部署。为获得最佳保护,使用虚拟家庭办公室的专业人士,尤其是高级主管级别的专业人士,应考虑对家庭网络进行分段。”
SonicWall威胁情报数据还得出结论,虽然加密劫持(5790万)、入侵尝试(3.5万亿)和物联网恶意软件威胁(3240万)在上半年的报告中呈上升趋势,但它们继续构成威胁,仍然是网络犯罪分子的机会来源。
( 二 ) 勒索软件爆发,Ryuk占所有攻击的三分之一
勒索软件攻击每天都成为头条新闻,因为会对企业、市政当局、医疗机构和教育机构造成严重破坏。SonicWall的研究人员在第三季度的每个月都追踪到了强劲的增长,包括9月份的大幅增长。虽然印度(-29%)、英国(-32%)和德国(-86%)的数量有所下降,但美国的勒索软件攻击却达到了惊人的1.452亿,同比增长了139%。
值得注意的是,SonicWall研究人员观察到2020年Ryuk勒索软件的检测数量显著增加。截至2019年第三季度,SonicWall仅检测到5123起Ryuk攻击。到2020年第三季度,SonicWall检测到6730万次Ryuk攻击,占今年勒索软件攻击总数的三分之一(33.7%)。
SonicWall平台架构副总裁DmitriyAyrapetov表示,“有趣的是,Ryuk是一个相对年轻的勒索软件家族,于2018年8月被发现,并在2020年人气显著上升。远程办公员工的增加似乎增加了该勒索软件的感染率,不仅造成了经济损失,而且还对医疗服务造成了攻击,从而影响了医疗保健服务。Ryuk是特别危险的,因为它是有针对性的且手动的,并且经常通过Emotet和TrickBot恶意软件进行的多阶段攻击加以利用。因此,如果一个组织感染了Ryuk,则表明该组织感染了多种类型的恶意软件。”
( 三 ) 恶意软件数量下降,攻击更有针对性、多样化
尽管恶意软件使用者和网络罪犯仍忙于发动复杂的网络攻击,SonicWall Research得出的结论是,全球恶意软件总量在2020年继续稳步下降。与第三季度相比,SonicWall的研究人员记录了44亿次恶意软件攻击,全球范围内下降了39%。
区域比较显示,印度(-68%)和德国(-64%)的降幅比率高于美国(-33%)和英国(-44%)。恶意软件数量减少并不意味着它会完全消失。相反,这是周期性衰退的一部分,很容易在短时间内恢复。
二、勒索软件攻击放大物联网的安全风险
( 一 ) 物联网会带来安全风险
每个连接的设备都是黑客安装IoT勒索软件并要求付款的潜在入口。黑客使用恶意软件感染IoT设备并将其转变为僵尸网络,黑客可以使用僵尸网络来探查和探索启动过程,以找到获得网络访问的最佳方法。
黑客也会搜索IoT设备固件中存在的未禁用、未删除、未更新的有效凭证。然后,攻击者将受感染的设备用作企业网络的入口点。在拉斯维加斯的一个大型水族馆里,黑客通过智能恒温器入侵了一家赌场。黑客通过恒温器进入网络,访问他们的大型数据库,并将数据移回云端。攻击者还可以将IoT设备变成机器人程序,并感染其他连接的设备。
企业拥有太多的物联网设备,这些设备将企业网络扩展到传统的安全边界之外,从而导致安全问题。
( 二 ) 黑客通过物联网获得访问权限
黑客通常通过向互联网开放的IoT设备来访问公司网络。他们远程扫描公司网络以查找设备,扫描网络中的已知漏洞,尤其是设备或设备运行的软件,或使用恶意软件攻击医院、研究机构和物流组织等特定机构。
黑客使用IoT设备来访问公司网络,因为它们通常不存储数据。通过受信任的设备进行访问意味着他们能够在网络中停留更长的时间,从而使他们有更多的时间规避最精致的检测工具。黑客可能会使用在设备或软件内存中运行的无文件恶意软件。
犯罪分子越来越多地使用非标准端口来访问IoT设备。这些端口通常不被基于代理的防火墙覆盖,并且可以使IoT设备联机。许多IT专业人员没有时间、资源或专业知识来充分保护IoT设备的安全。
在企业淘汰传统防火墙、尝试保护非标准端口或为IT人员提供足够的培训和资源以确保其安全之前,IoT设备一直是进入网络的便捷途径。
( 三 ) 物联网的攻击增加的直接原因
当外全球经济正在通过高级数字化转型项目复苏时,黑客进行攻击的机会将会增加。对于那些不在公众视野内的行业或机构来说亦是如此,例如物流和供应链公司,以及与健康相关的研究设施。根据组织的规模、预算和地理位置,组织可能缺乏大型公司拥有的网络安全工具和资源来保护它们。对这些组织的犯罪攻击也影响到至关重要的服务,包括政府服务、信息网站、电话服务和食品供应。
三、安全建议
愈演愈烈的勒索软件攻击,使企业/组织陷入了无尽的双重勒索困扰之中。不支付赎金,几乎就没可能解密被加密的数据。而即使组织付清了攻击者的勒索需求,通常也有可能无法完全拿到解密密钥或解锁网络。而且,在美国,政府机构出台了法律规定,支付赎金还可能面临执法机构的处罚。某些勒索软件,例如GermanWiper,即使受害者支付赎金也会删除文件。
比如美国佛罗里达州湖城市支付了42个比特币(折合50万美元)来解锁其网络,但仍无法恢复所有赎回的数据,其中包括近100年的城市记录。韩国网络提供商Nayana在勒索软件攻击后支付了100万美元,并由于试图与黑客进行谈判而丢失了部分客户数据。
迅速发展的恶意软件和物联网技术使最新的网络安全工具和方法难以保持最新。希望利用物联网设备优势的企业必须在安全协议和工具上进行更多投资。为了确保其IoT设备的安全并防止对其网络的勒索软件攻击,IT专业人员必须依赖系统化、专业化的网络安全防御体系,并且采取经过实践检验的最佳作法。
在部署之前,通过互联网评估设备受到黑客攻击的可能性;
禁用设备上不必要或未使用的服务;
确保定期正确备份所有数据;
创建并实施适当的恢复程序,其中包括勒索软件流程;
将从物联网设备的访问与数据和关键网络进行分段;
使用最新的防火墙和其他网络监控工具,来检测和阻止新的入侵。
参考资源:
1.https://www.sonicwall.com/news/new-sonicwall-research-finds-aggressive-growth-in-ransomware-rise-in-iot-attacks/
2.https://internetofthingsagenda.techtarget.com/tip/Tackle-the-growing-number-of-IoT-ransomware-threats
转载请注明来自:关键基础设施安全应急响应中心
声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。