工业物联网勒索软件攻击直接控制系统 媒体

工业控制系统中的新型勒索病毒攻击

关键要点

最近，Forescout的Verede Labs发布了一项概念验证，利用一种漏洞深入渗透工业系统，这一现象在工业过程中前所未见。

Verede Labs最新的一个项目是“Memoria项目”，该项目对流行的TCP/IP协议栈进行了漏洞审计，包括许多在物联网设备中常用的协议栈。该团队在周三推出的“R4IIoT”勒索病毒概念，将这一研究成果武器化，利用其在2021年发现的Nucleus中的拒绝服务漏洞，使工业过程中断。

以往其他勒索病毒也曾攻击工业系统。例如，Colonial Pipeline事件中，勒索病毒 reportedly 使IT网络的计费系统停摆，导致该公司在未能适当收费前关闭了OT系统。Snake/Ekans勒索病毒则干扰了Windows系统，致使向可编程逻辑控制器PLC及与工业过程直接连接的其他设备下达指令的系统发生故障。

然而，R4IIoT的工作方式有所不同，它直接破坏PLC及类似系统。这一点至关重要，因为这种IIoT系统常常是远程部署的。尽管在中心办公室处理基于加密的攻击已有不少困难，然而，一位攻击者如果能够逐一关闭地理分散的设备直至满足要求，将会带来前所未有的人员问题。

“当谈到OT时，可能是在海洋中的一艘船。也可能是地理上非常分散的事物，像是位于地球另一端的制造工厂，或者是位于偏远沙漠中的变电站，而你可能并没有团队在那里准备进行任何取证或了解发生了什么。实际上，当你看到OT出现问题时，它往往并不只是重启所有设备，”Verede Labs安全研究负责人Daniel Dos Santos表示。

Verede认为，这种IIoT攻击可能成为勒索病毒团伙下一步的攻击模式。以往勒索病毒运营者尝试过多种层次的勒索形式，包括增加泄露威胁和DDoS攻击，以鼓励拥有良好备份的企业支付赎金。IIoT的关闭可能会产生一个全新的勒索层次，而专注于加密的组织可能对此并未做好准备。

“我们注意到的一件事是，很多人依然把勒索病毒视为数据加密，而这已经不再是唯一情况，”Dos Santos表示。“真正的情况是，勒索病毒的目的是通过攻击获得赎金。”