趋势科技警告：勒索软件已瞄准工业控制系统

全球网络安全解决方案领导厂商趋势科技（东京证券交易所股票代码：4704）6月30日发布《2020年ICS端点威胁报告》，指出专门针对工业工厂的勒索软件攻击正令停机与敏感资料泄露的风险日益增高。

趋势科技前瞻威胁研究团队资深经理 Ryan Flores 表示：“防护工业控制系统的挑战已日益严峻，而越来越多安全漏洞出现也让黑客有着明显的针对目标。有鉴于美国政府目前已将勒索软件攻击视为与恐怖主义同样严重的问题，我们希望透过这研究来协助拥有工业工厂的企业重新调整其信息安全措施的焦点。”

报告的主要发现显示：

1、勒索软件仍然是全球范围内对ICS终端的一个令人担忧且迅速演变的威胁。主要的勒索软件家族影响ICS终端，而美国是这些攻击的目标国家之一。

2. Coinminers主要通过未打补丁的操作系统影响ICSs。由于ICS端点仍然容易受到永恒蓝漏洞的攻击，利用这一漏洞的矿工在几个国家，特别是印度非常猖獗。

3.Conficker仍然在运行更新操作系统的ICS端点上传播。带有强制管理共享附加例程的Conficker变体可以感染ICS端点，即使它们运行的操作系统不容易受到MS08-067的攻击，Conficker可以将MS08-067作为攻击的载体。

4. 传统恶意软件继续在IT/OT网络中蓬勃发展。尽管是相对较老的恶意软件类型，但通过可移动驱动器传播的蠕虫，如Autorun、Gamarue和Palevo，仍然经常在ICS端点中检测到。

5. ICS端点检测到的恶意软件在不同国家之间是不同的。按百分比计算，日本受恶意软件或潜在风险软件影响的ICS终端数量最少，而中国(在前10个国家中)受此类检测最多。如前所述，美国有最多的勒索软件感染，而印度有最多的挖矿矿工感染。

工业控制系统（简称 ICS）是水电公用设施、工厂以及其他工业工厂中的主要元素，用于监视及控制横跨IT及OT网络的工业流程。勒索软件一旦入侵这些系统，就可能造成工厂无法运作，而且会增加企业敏感资料/数据如设计文件、程序等泄露至黑暗网络（Dark Web）的风险。

趋势科技报告指出，几个知名的勒索软件如 Ryuk（20%）、Nefilim（14.6%）、Sodinokibi（13.5%）和 LockBit（10.4%）加起来就占了 2020 年所有ICS勒索软件感染案例的一半以上。

报告也指出：黑客透过感染ICS端点来从事虚拟加密货币挖矿，专门攻击那些尚未修补EternalBlue漏洞的操作系统。Wannacry在一些主要国家比较严重，统计显示的比例，印度和中国比例较高。

Conficker 勒索软件在面对一些较新的操作系统时，可透过暴力登入系统共用资料夹的方式来散布。

一些存在已久的恶意程序，如Autorun、Gamarue 和 Palevo 目前仍不断通过流动储存装置在IT/OT网络之间散布。

研究指出，IT安全与OT团队之间的合作刻不容缓，双方应共同确认关键操作系统相容性及运转率要求等需求，以便拟定一套更有效的信息安全策略，趋势科技也提供以下建议：

1．尽速应用补丁是相当重要一步，如果无法执行，应考虑采用如趋势科技提供的虚拟补丁技术或透过网络隔离来降低风险。

2．企业可采用应用程序管控软件来彻底杜绝黑客入侵时会植入的勒索软件，也可利用威胁检测及响应工具，在网络搜索入侵指标（IoCs）。

3．加强对网络共享的管控，强制使用高强度的帐号口令来防止帐号遭暴力登录。

4．采用入侵检测/防护（IDS或IPS）来建立正常网络活动的基准数据，有助于侦测可疑活动。

5．使用独立工具来扫瞄独立非连网环境的ICS端点。

6．设置专门用来扫瞄 USB 恶意程序的工作站来检查所有在独立非连网端点之间传输资料的移动介质。

7．采取最低授权原则来管制OT网络系统管理员与操作人员的帐号。

参考报告：

https://www.trendmicro.com/vinfo/hk/security/news/internet-of-things/2020-report-ics-endpoints-as-starting-points-for-threats。

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。