工业领域的勒索攻击态势与应对思路

I

技术&应用

工业领域的勒索攻击态势与应对思路

Situation and Strategy of Ransomware Attacks in Industrial Field

★李江宁，覃汐赫北京天地和兴科技有限公司

摘要：为了利用“阻断访问式攻击”从而获取巨额赎金，网络罪犯使用了许多

不同的技术方法，勒索病毒是一种最常见、最特殊的恶意软件。近年来，频繁

应用在电力、水利、交通、制造业等领域的工业型勒索软件，给相关企业和组

织造成巨大的经济损失，甚至威胁国家安全。勒索病毒导致工业企业停产已经

不是个案，这充分说明工业企业网络安全的脆弱性，同时也证实工业企业在数

字化转型过程中的网络安全设计和建设环节严重缺失，工业企业已成为网络黑

客的重点攻击目标。

关键词：勒索攻击；工业领域；网络安全

Abstract

：

In order to achieve "blocking access attack" and obtain huge

ransom, cyber criminals use many different technical methods.

Ransomware is one of the most common and special malwares. In

recent years, industrial ransomware frequently occurs in the fields of

electric power, water conservancy, transportation, manufacturing,

etc., which causes huge economic losses to related enterprises

and organizations, and even threatened national security. It is no

longer a case that ransomware caused industrial companies to

stop production, which also fully demonstrates the vulnerability

of industrial enterprises' network security. At the same time, it

also confirms that industrial enterprises are seriously lacking in

network security design and construction in the process of digital

transformation, and industrial enterprises have become the key

targets by cyber hackers.

Key words

：

Ransomware attacks; Industrial field; Cyber security

工业行业

Ift

丨临的勒索威胁^5、势

2020年来，各种勒索病毒不断涌现，新型黑

客组织加入，导致勒索病毒攻击越来越频繁，企业

及个人用户都成为了勒索病毒的攻击目标。据《腾

讯安全2020上半年勒索病毒报告》显示，传统企业

(42%)、教育（18%)、医疗（15%)、政府机

86 •自动化博览•工业控制系统信息安全专刊

构（15%)遭受勒索病毒攻击最为严重，同时互联

网（5%)、金融（2%)、能源（1%)也遭受勒索

病毒攻击不同程度影响。

1.1勒索软件变种增多

今年以来，最常见的几款勒索病毒十分活跃，

仍是值得关注的安全风险。

WannaRen

勒索病毒家族于2020年4月被发

现，为

WannaCry

勒索病毒新变种，主要靠

TXT

文

本和图片两种形式进行传播。三年前

，WannaCry

勒索病毒肆虐全球150个国家，30多万家机构的文件

遭黑客加密攻陷，诸多行业运转几近停摆，直接经

济损失高达80多亿美元。

01〇匕61!1^(^61'勒索病毒家族占比22.85〇/〇，

于2017年首次被发现，之后演化出多个知名变种。

2020年上半年该勒索病毒携

C

4

H

强势来袭，利用

RDP

/

SMB

暴力破解方式进行攻击。2月23日湖南某

医院系统被植入该病毒，导致文件被加密，所有医

院信息系统无法正常使用，黑客要求支付价值30万

元人民币的比特币才能恢复正常。

5〇出11(^13丨勒索病毒占比26.7%，于2019年5

月在意大利被发现，已在全球大范围传播。主要通

过

Oracle

WebLogic

漏洞

、Flash

UAF

漏洞、网络

钓鱼邮件、

RDP

端口等方式发起攻击，已非法获利

数百万美元。

Phobos

勒索病毒占比19.65%,于2019年8月

被发现。其传播方式主要为

RDP

暴力破解和钓鱼邮

件。

Phobos

使用

RSA

+

AES

算法加密文件，攻击者

成功入侵后通常会关闭系统的安全软件防护功能并

运行勒索病毒，不仅加密文档文件还会加密可执行

文件，并在加密后创建勒索信件。

Ryuk

勒索病毒占比19.6%，于2018年8月首次

发现。其前身是

Hermes

勒索软件家族，由黑客团伙

GRIM

SPIDER

运营。

Ryuk

的传播和

TrickBot

僵尸

网络有着密切联系。2020年来，工业企业遭受数十

起勒索软件攻击，

Ryuk

感染了钢铁制造商

EVRAZ

、

EMC

0

R

集团等多家工业企业，加密企业关键数据信

息，导致企业停工停产，造成重大经济损失。

1.2勒索攻击造成损失巨大

勒索病毒攻击会给企业带来严重危害。例如

AMD

的

GPU

源代码被盜，攻击者勒索1亿美元赎

金；

GPS

厂商

Garmin

遭勒索病毒勒索千万美元赎

金。2019年仅美国医疗机构就因勒索病毒损失约40

亿美元。

据

C

0

VEWARE

公司报告，2020年一季度企业平

均赎金支付额为11,1605美元，比2019年第四季度增

长了33%，赎金中位数为44,021美元。据亚信安全

预计，2021年全球因勒索病毒攻击造成的损失将达

到200亿美元，是2015年的61倍。勒索病毒攻击已经

越来越严重，是一种发展最快、流行最广、威胁最

大、最常见的一款病毒，也是黑客组织牟取暴利的

绝佳手段，被称为“安全业界最头疼的软件”。

1.3勒索方法呈现新特点

勒索病毒主要攻击方式仍以

RDP

和网钓邮件为

主，能源、制造业、运输、医疗机构等关键基础设施

为重点攻击对象。针对性、复杂化和高伤害成本是勒

索病毒加速进化的主要特征。攻击者以投递钓鱼邮件

展开攻击，在前期对目标用户进行深入调研，选取与

目标用户所属领域相关内容来构造邮件和恶意文档。

随后将精心编写的主题如“采购订单”等文档添加在

邮件附件中发送给目标用户，诱使其下载附件。一旦

打开恶意文档，恶意代码会在后台静默下载和执行恶

意软件，从而窃取目标用户的敏感信息并对其主机进

行控制。受害者遍布于美国、加拿大、德国、中国、

英国、法国、西班牙等国家。

2针对工业行业的勒索攻击路径分析

勒索病毒和其他恶意软件的最大区别在于，恶

意软件主要目的是通过发送恶意指令来损坏设备，

Technology & Application

造成工厂停产甚至事故；但勒索病毒的主要目的是

对受害者的设备数据进行加密，然后向用户索要解

密赎金。虽然目的不同，但是针对工控系统，勒索

病毒与恶意软件的传播方式是相似的。勒索软件在

工业网络的攻击行为主要以邮件、程序木马、网页

挂马的形式进行传播，该病毒性质恶劣，危害大，

一旦感染将给用户带来无法估量的损失。

2.1利用设备漏洞

勒索病毒与其他恶意软件一样，会利用工控环

境的脆弱性实施恶意行为。工控系统在最初设计时

并没有考虑到互联网环境，因此主要通过隔离实现

其安全性。但随着互联网迅速发展及效率的提高，

IT

/0

T

—体化迅速发展，工控系统中越来越多设备与

互联网互连，开放性与日倶增，系统暴露、系统漏

洞、远程维护成为导致勒索病毒入侵的主要因素。

例如

FPGA

芯片中的高危漏洞

Starbleed

可导致

多个关键基础设施遭受攻击。

Starbleed

可被用来完

全入侵控制芯片，使用恶意代码对芯片进行重新编

程，影响多达数十亿台设备。

据

CNVD

统计，截至2019年12月收录的工控系

统相关的漏洞高达2306个，2019年新增的漏洞数量

达到413个，且大多为中高危漏洞。据

Claroty

8月发

布的《2020上半年度

ICS

风险和漏洞报告》显示，

2020年上半年披露的工业控制系统（

ICS

)漏洞中，

可以远程利用的超过60%。在

ICS

-

CERT

发布的2020

年上半年139条

ICS

公告中，包括385个常见漏洞和披

露（

CVE

)。能源、关键制造以及水和废水基础设

施领域，是

ICS

-

CERT

公告中发布的漏洞影响最大的

领域，其中能源占236个，关键制造业有197个，水

务和废水处理行业有171个。美国国家漏洞库

NVD

在

2020年上半年发布了 365个

ICS

漏洞，与2019年上半

年发布的331个相比，增长了 10.3%。其中超过75%

的漏洞被指定为

CVSS

严重等级或严重等级，这些漏

洞涉及到53个厂商。安全形势可谓十分严峻。

2.2操控远程入侵

配置错误或者管理问题可能会导致一些工控系

统设备直接暴露在互联网中，恶意软件就可以通过

远程操作利用漏洞来感染工控系统设备，达到其恶

意目的。尤其是当前大力推进借助互联网基础构建

自动化博览•工业控制系统信息安全专刊_ 87

技术&应用

物联网，企业可因此远程监控自身生产数据，甚至

执行远程操作，这同时也给黑客远程攻击、操控生

产网络提供了理论上的可能。

2020年3月，网络设备制造商

DrayTek

的企业路

由器存在严重远程命令注入漏洞

CVE

-2020-8515，

允许黑客将脚本下载到受影响的设备中获取用户网

络信息，收集数据上传至服务器。

2.3绕过外部防火墙

管理员通常会在工控系统与外部网络之间安装

防火墙等安全设施进行防护，恶意软件不能直接攻

击，则会利用邮件、

U

盘等存储设备通过运营人员

所携带的设备进入工控网络，以绕过工控系统的外

部防火墙，给病毒传播带来了机会。企业内部人员

有意或无意的行为皆可能破坏工业环境、传播恶意

软件、忽略工作异常等。特别是针对人的社会工程

学、钓鱼攻击、邮件扫描攻击等大量攻击，都利用

了员工无意泄露信息的行为。

例如2018年2月国内各大医院爆发的

Globelmposter

勒索病毒变种2.0版本，可能是通过

RDP

爆破、社会

工程等方式进行传播，采用

RSA

2048加密算法，导

致加密文件无法解密。

2.4实施供应链攻击

除了运营管理人员，可将设备带入工控系统的

还有软硬件供应商。勒索病毒可通过预先感染供应

商设备，在工控系统安装新设备时将勒索病毒融入

到工控系统中，再利用勒索蠕虫病毒内置漏洞在内

网中进行横向渗透，一旦发现存在漏洞，对设备进

行感染。根据

ESG

和

Crowstrike

的2019年供应链

安全报告，16%的公司购买的

IT

设备被做过手脚，

90%的公司没有做好应对供应链攻击的准备。

3月初，美国精密零件制造商

Visser

遭受勒索软

件

DoppelPayment

攻击，对其文件进行加密，并要求

支付赎金。由于没有收到勒索款项

，DoppelPaymer

在网上公开了有关

SpaceX

、

Lockheed

-

Martin

、

Tesla

、

Boeing

等公司的机密信息。

3工业行业勒索攻击的影响与后果

如今勒索病毒攻击目标多元化、攻击手段复

杂化、解密数据难度大、危害影响难估量。勒索病

88 •自动化博览•工业控制系统信息安全专刊

毒数量增幅快，特别是针对关键基础设施和重要信

息系统的勒索攻击，影响更为广泛。被勒索组织既

要承受巨额经济损失，其数据也有可能无法恢复。

勒索攻击的危害远不止赎金造成的经济损失，更严

重的是会给组织带来额外的复杂性，造成数据损毁

或遗失、生产力破坏、正常业务中断、企业声誉损

害，甚至会影响到国计民生大计。工业领域作为近

年来地缘政治增多和网络空间对抗的主战场，一旦

被攻击可能会造成灾难性后果。因此，工控系统安

全事关经济发展、社会稳定和国家安全。

加密文件。勒索病毒一般通过

Windows

设备对

用户的文件进行加密、覆盖或破坏掉原始文件，且

大部分勒索病毒都具备了蠕虫病毒的特性，会主动

扫描其他被感染的设备，然后寻找有漏洞和脆弱性

的设备进行扩散。

窃取机密。恶意软件在攻克并进入工控系统

后，根据需求去搭不同的攻击载荷。可将硬盘整个

加密或锁死，从内存或者本地文件系统里提取密

码、控制列表等机密信息，并进行加密，以便将信

息传回恶意软件的作者用于勒索或其他恶意目的。

锁定设备。工控系统的漏洞或弱口令等脆弱性

问题，一直都让人头疼。勒索病毒可以轻易的利用这

些问题控制

PLC

等工控系统设备，然后修改认证口令

或者利用固件验证直接绕过漏洞，刷入恶意固件并禁

用设备固件更新功能，达到获取设备控制权目的。

物理攻击。在某特殊场景下，勒索病毒控制

PLC

后可以执行对物理世界造成威胁的操作，如锁

定阀门或修改上报的参数，来“欺骗”操作人员。

研究人员已经在模拟环境中实现勒索病毒控制水处

理厂，关闭城市供水或增加氯浓度污染城市用水等

攻击行为。

双重勒索。攻击者首先窃取大量敏感商业信

息，然后对受害者的数据进行加密，并威胁受害者

如果不支付赎金就会公开这些数据，这种勒索策略

被称为“双重勒索”。传统的勒索软件基本信守支

付赎金即提供解密密钥的策略，逐渐演变到从用户

攻击到有针对性的商业攻击，现在又增加了数据勒

索的双重危险。这使受害者被迫支付赎金的可能性

大幅提高，同时受害者承受着支付赎金后仍被公开

数据的风险，以及监管机构对其数据泄露进行处罚

的双重压力。

4勒索攻击的发展趋势

当前，勒索病毒在攻击手段、对抗溯源、目标

选择、勒索策略等方面显示出越来越强的针对性。

勒索病毒攻击越来越频繁，不仅是企业，个人用户

也已经成为勒索病毒黑客组织攻击的目标，有些病

毒目前都无法解密。在很长一段时间内，勒索病毒

仍是工业行业安全的头号敌人，勒索病毒攻击的趋

势是如下：

(1) 新勒索病毒不断涌现，旧勒索病毒不断演

变进化

未来可能会有更多的勒索病毒家族出现或成熟

的新的黑客组织加入，同时国外一些主流勒索病毒

运营团队已在国内寻找勒索病毒运营商，通过暗网

与国内运营商逬行合作传播。云服务将是新的攻击

目标，针对

Windows

服务器和

Linux

平台的勒索病

毒攻击可能会更多。

(2) 攻击精准，针对性更强

勒索病毒团伙越来越多地将高价值大型政企

机构作为重点打击对象。为了追求利益最大化，多

数情况下，攻击者在攻陷企业一台网络资产后，会

利用该资产持续渗透更多资产，从而迫使受害者在

业务系统大面积瘫痪的情况下，强迫受害者交付赎

金，不付赎金就在暗网“耻辱墙”页面公开企业机

密，进一步勒索。

(3) 攻击手段多变，勒索病毒技术升级

经过长期演变，勒索病毒技术越发成熟，攻击

者也在加密流程的细节上进行优化，从早期的单线

程文件加密到针对每个磁盘分区进行多线程加密；

从单一的

X

86可执行病毒版本到增加

X

64可执行版本

等，受害者更加难以察觉。

(4) 多病毒投放，实行“联合”攻击

攻击者为避免病毒单一导致加密失败，开始

与多个勒索病毒家族合作。同时更多的勒索病毒开

始针对国内市场做优化，如增加中文版的勒索信件

等。国内依然是勒索病毒团伙关注最为密切的市场

之一。

(5) 僵尸网络成勒索病毒传播中间力量

Technology & Application

为了对目标进行精准打击，更多勒索病毒会利

用僵尸网络庞大的感染基数逬行迅速扩张。新型软

件为了快速切入市场，也会选择与僵尸网络进行合

作，以获得市场知名度。

(6) 企业数据安全是最重要的关注方向

今后针对企业的勒索病毒可能会更多，新型窃

密木马会随着勒索病毒一起发放，窃取企业数据。

通过“勒索+窃取”的方式对企业数据进行攻击。全

球数据泄露的安全事件中大部分是通过恶意软件进

行网络攻击造成的。

(7) 各个不同的勒索病毒组织之间竞争越来越

激烈

这将促使勒索病毒黑客组织不断更新，开发更

多新型勒索病毒，同时也会加大勒索病毒方面的运

营手段。

随着制造强国战略全面推进，我国工业领域的

数字化、网络化、智能化水平加快提升，遭受勒索

病毒攻击的形势也会愈发严峻，因此构建有效的勒

索病毒防御体系迫在眉睫。

5勒索病毒防御建议

攻击和防御在信息安全领域一直是一个不变的

话题。工业企业不仅面临民间黑客攻击

，一

些基础

设施也成为有组织犯罪甚至国家级网络攻击的重点

目标。勒索病毒攻击已成为工业企业面临的最大安

全问题之一，在今后一段时间内仍是政府、企业、

个人共同面对的主要安全威胁。勒索病毒的攻击方

式，随着技术的应用发展不断变化，有针对性的勒

索病毒事件给不同行业和地区的企业带来了破坏性

攻击威胁。勒索攻击产业化、场景多样化、平台多

元化的特征会更加突出。在工业场景中，勒索病毒

惯用的攻击向量主要是弱口令、被盜凭据、

RDP

服

务、

USB

设备、钓鱼邮件等，面对被勒索病毒攻击

的棘手问题，有效防范措施仍是有针对性地做好基

础防御工作，构建和扩张深度防御，从而保障企业

数据安全，促进企业良性发展。针对勒索病毒的攻

击防护建议如下：

(1)强化端点防护。及时加固终端、服务器，

所有服务器、终端应强行实施复杂口令策略，杜绝

自动化博览•工业控制系统信息安全专刊• 89

技术&应用

弱口令；安装杀毒软件、终端安全管理软件并及时更

新病毒库；及时安装漏洞补丁；服务器开启关键日志

收集功能，为安全事件的追溯提供基础。

(2)

将该培训与网络钓鱼演练相结合来掌握员工的薄弱

点，并且为最薄弱的员工提供更多支持或安全保障以

降低风险。

(8) 持续检测生产风险。每三到六个月对网络

关闭不需要的端口和服务。严格控制端口

管理，尽量关闭不必要的文件共享权限以及不必要的

端口（

RDP

服务的3389端口），同时使用适用的防恶

意代码软件进行安全防护，采取适当隔离和其他最佳

实践，是限制勒索病毒和其他恶意程序横向扩散的最

有效方法之一

(3)

卫生习惯、威胁状况、业务连续性计划以及关键资产

访问日志进行一次审核，并不断改善安全计划，及时

了解风险，主动防御勒索软件攻击并减轻其影响。

(9) 建立低位、中位、高位能力“三位一体”

，一

旦发现中毒机器立即断网。

的工业互联网信息安全产品体系。传统的安全防御产

采用多因素认证。利用被盜员工凭据来进

品已逐渐无法应对越来越严重的安全威胁。构建防护

监测层、安全运营层、态势感知层分别实现不同安全

功能，融合联动发展的互联网安全产品体系将成为未

来发展的重要趋势。

此外，无论是企业还是个人受害者，都不建议支

入网络并分发勒索软件是一种常见的攻击方式。这些

凭据通常是通过网络钓鱼收集的，或者是从过去的入

侵活动中获取的。为了减少攻击的可能性，需在所有

技术解决方案中采用多因素身份验证（

MFA

)。

(4) 全面强化资产细粒度访问。重点关注工业

付赎金。支付赎金不仅变相鼓励了勒索攻击行为，解

密的过程还可能会带来新的安全风险。

工业信息安全不是一个单纯的技术问题，而是一

个从意识培养开始，涉及到管理流程、架构、技术、

产品等各方面的系统工程，是事关国家经济社会可持

主机资产，做好工业主机防护。增强资产可见性，细

化资产访问控制。员工、合作伙伴和客户均以身份和

访问管理为中心。合理划分安全域，采取必要的微隔

离，落实好最小权限原则。

(5) 深入掌控威胁态势。持续加强威胁监测和

续发展、长治久安、人民群众福祉的重大战略问题。

工业网络安全整个行业需要在维度上提升，仅关注

信息安全、电脑安全、系统安全远远不够，还要推动

整个工业网络安全能力增强，需要站在更高的角度守

护国家安全、社会安全、城市安全、基础设施安全及

检测能力，依托资产可见能力、威胁情报共享和态势

感知能力，具有识别0

T

资产中存在哪些安全漏洞以

及准确评价每个漏洞带来的风险级别的能力，形成有

效的威胁早发现、早隔离、早处置机制。

(6) 制定业务连续性计划。强化业务数据备

人身安全。需要探索性地研究如何借助护网行动的模

式，打幵强化企业安全能力的新思路

。EB

份，对业务系统及数据进行及时备份，并验证备份系

统及备份数据的可用性。建立安全灾备预案。同时做

好备份系统与主系统的安全隔离，避免主系统和备份

系统同时被攻击，影响业务连续性。

_作者简介

李江宁（1977-)，女，陕西大荔人，硕士，现任

(7) 加强安全意识培训和教育。员工安全意识

北京天地和兴科技有限公司威胁情报分析师，研究

方向为工业领域网络攻击与安全。

淡漠是一个重要问题。必须经常开展网络安全培训，

覃汐赫（1990-)，女，北京人，硕士，现任北京

以确保员工严格使用

U

盘、移动硬盘等可执行攻击设

天地和兴科技有限公司威胁情报分析师，研究方向

备，发现并避免潜在的勒索攻击网络钓鱼电子邮件。

为威胁情报分析。

参考文献：

[1] Fortinct. A Semiannual Report by FortiGuard Labs

：

Global Threat Landscape Report[R|. 2020.

[2] Clarotv. CLAROTY BIANNUAL ICS RISK & VULNERABILm7 REPORT: 1H 2020[R], 2020.

丨

3

】

腾讯安全.

2020

上半年勒索病毒报告

[R]. 2020

丨

4]

天地和兴

.2020

上半年典型勒索软件

[R】. 2020.

[5] Fortinet. Ransomware: Gestern, hcute und morgen[KB/C)L]. wwu-./fortincr-cvbcrsccurin-spezialistcn-diskutiercn-ueber-ransomware/

a23915/, 2020.

[6] 优炫软件•频繁的“工业型勒索软件”敲响警钟

|EB/OL]./s?id=16695645*1 3688061237&wfr=spickr&for=pc,202a75*2

[7] Danny Palmer. Everything you need to know about one of the biggest menaces on the wcbfEB/C'JL]. /googlc-amp/articlc/ransomware-an-

executive-guide-to-one-of-the-biggest-menaccs-on-the-web/, 2020.

|8] Lawrence Abrams. List of ransomware that leaks victims' stolen files if not paid[EB/C)Lj. /news/security/list-of-ransomware-

that-leaks-victims-stolen-files-if-not-paid/, 2020.

90 •自动化博览•工业控制系统信息安全专刊