歐洲能源技術(shù)供應(yīng)商遭勒索攻擊,業(yè)務(wù)系統(tǒng)被迫關(guān)閉
為挪威200個(gè)城市水處理設(shè)施提供的基礎(chǔ)設(shè)施應(yīng)用被迫全部關(guān)閉,覆蓋全國(guó)約85%的居民。
挪威公司Volue是一家專為歐洲能源及基礎(chǔ)設(shè)施企業(yè)提供技術(shù)方案的廠商,該公司在5月4日-5日遭遇勒索軟件攻擊,被搞得疲于奔命。
而就在前幾天,美國(guó)科洛尼爾油管公司才剛剛遭遇勒索軟件攻擊,并引發(fā)一場(chǎng)全美有史以來規(guī)模最大的輸油管線停擺事故。
這兩次網(wǎng)絡(luò)攻擊凸顯出能源與關(guān)鍵基礎(chǔ)設(shè)施公司已成為勒索軟件攻擊的頭號(hào)目標(biāo)。
受影響情況
在此次攻擊事件中,勒索軟件關(guān)閉了挪威國(guó)內(nèi)200座城市的供水與水處理設(shè)施的應(yīng)用程序,影響范圍覆蓋全國(guó)約85%的居民。為了防止勒索軟件進(jìn)一步傳播至其他計(jì)算機(jī)系統(tǒng),Volue公司不得不關(guān)閉了所托管的其他多種應(yīng)用程序,并將約200名員工使用的設(shè)備盡數(shù)隔離。
考慮到Volue公司目前在全球44個(gè)國(guó)家及地區(qū)擁有2000多家客戶,挪威面向能源與水務(wù)部門的網(wǎng)絡(luò)安全響應(yīng)單位KraftCERT建議,所有Volue客戶應(yīng)立即關(guān)閉與該公司應(yīng)用的連接并重置登錄憑證。
調(diào)查人員在Volue公司的計(jì)算機(jī)系統(tǒng)中發(fā)現(xiàn)了Ryuk勒索軟件,這與科洛尼爾油管公司攻擊事件有所不同。
Gartner公司工業(yè)系統(tǒng)網(wǎng)絡(luò)安全分析師Katell Thielemann認(rèn)為,以能源供應(yīng)商及油氣公司為代表的關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商,已經(jīng)成為勒索軟件團(tuán)伙的主要攻擊目標(biāo)。犯罪分子顯然很清楚,這類組織必須保證設(shè)備的正常運(yùn)轉(zhuǎn)以支持業(yè)務(wù)延續(xù)。她強(qiáng)調(diào),“只要能夠中斷業(yè)務(wù)運(yùn)營(yíng),受害者立刻就會(huì)受到致命打擊。”
行業(yè)CERT緊急協(xié)調(diào)
KraftCERT目前正幫助Volue向各家客戶發(fā)布關(guān)于攻擊事件的信息。KraftCERT首席執(zhí)行官M(fèi)argrete Raaum表示,“在了解到Volue遭受攻擊的那一刻起,我們就意識(shí)到必須盡快搞清影響范圍、可能產(chǎn)生的后果并盡快向客戶群體發(fā)布通報(bào)。”
Raaum女士強(qiáng)調(diào),目前的主要任務(wù)之一是防止惡意軟件傳播。在她看來,向其他電力及能源公司通報(bào)攻擊事件細(xì)節(jié),有望幫助同類企業(yè)避免不必要的業(yè)務(wù)中斷、盡可能維持正常運(yùn)營(yíng)。Raaum女士還解釋道,此次事件的處理難度應(yīng)該低于之前備受矚目的SolarWinds事件。她指的自然是去年廣泛影響到美國(guó)乃至世界各地?zé)o數(shù)政府機(jī)構(gòu)及企業(yè)客戶的大規(guī)模攻擊。她強(qiáng)調(diào),SolarWinds攻擊活動(dòng)的目標(biāo)在于滲透至該供應(yīng)商的客戶群體之內(nèi),而針對(duì)Volue的勒索軟件攻擊則只會(huì)影響這一位受害者。
自2019年挪威鋁業(yè)及能源公司Norsk Hydro遭受攻擊入侵以來,指向工業(yè)企業(yè)的勒索軟件攻擊活動(dòng)正變得愈發(fā)普遍。她提醒大家,“警鐘已經(jīng)響起,請(qǐng)務(wù)必引起重視。”
Volue公司應(yīng)對(duì)策略
Volue公司首席執(zhí)行官Trond Straume在5月5日上午從公司首席財(cái)務(wù)官Arnstein Kjesbu那里了解到這次攻擊,他立即從挪威南部的家中飛往總部奧斯陸,隨后趕往由內(nèi)部員工管理的、位于挪威北部特隆赫姆市的行動(dòng)指揮部。Straume先生回憶道,發(fā)現(xiàn)攻擊后約30分鐘,外部網(wǎng)絡(luò)安全專家已經(jīng)趕到并協(xié)助該公司恢復(fù)數(shù)據(jù)。
Volue公司CEO Trond Straume(圖左)與首席安全官Brynjar Larrsen在行動(dòng)指揮部中商討勒索軟件攻擊應(yīng)對(duì)之策。
Straume還會(huì)見了多家客戶,解釋了Volue公司在保護(hù)業(yè)務(wù)數(shù)據(jù)以及阻止惡意軟件繼續(xù)傳播方面的應(yīng)對(duì)措施。
本周一,Starume開始與各客戶組織討論,并在Volue公司內(nèi)部建立起相應(yīng)流程,評(píng)估各家客戶什么時(shí)候才能重新使用暫時(shí)被禁用的應(yīng)用程序。公司發(fā)言人Johannes Hold?還提到,安全專家們分析了客戶是否使用到由Volue托管的應(yīng)用程序、選擇了云服務(wù)還是本地設(shè)施,同時(shí)檢查客戶數(shù)據(jù)是否存在意外泄露或者被直接刪除的風(fēng)險(xiǎn)。
Hold?補(bǔ)充稱,Volue公司目前還沒有發(fā)現(xiàn)數(shù)據(jù)泄露的證據(jù)。就目前的情況看,他認(rèn)為超過90%的客戶屬于安全或者基本安全的狀態(tài),不會(huì)受到相關(guān)風(fēng)險(xiǎn)的影響。
Straume提到,“整個(gè)行業(yè)都面臨著同樣的風(fēng)險(xiǎn)。從這個(gè)角度來看,我們其實(shí)是與客戶建立起了同仇敵愾的合作關(guān)系。”
Straume還強(qiáng)調(diào),他不會(huì)考慮支付贖金以解鎖Volue數(shù)據(jù)。Hold?提供了更多細(xì)節(jié),稱攻擊方確實(shí)提供了帶有鏈接的勒索消息,但Volue公司的安全團(tuán)隊(duì)并沒有點(diǎn)開這條鏈接。
Raaum女士認(rèn)為,Ryuk勒索軟件是一種相當(dāng)常見的勒索攻擊工具,因此目前很難確定誰是Volue攻擊事件的幕后黑手。
而Straume此次奔赴特隆赫姆行動(dòng)指揮部,也是他在新冠疫情影響下的遠(yuǎn)程辦公階段之后,第一次與其他員工在線下重聚。
Straume表示,公司的管理人員一直在通過短信、電話以及微軟Teams平臺(tái)與員工保持溝通。但由于應(yīng)用程序已被鎖定,不少員工的正常工作都受到了影響。
Straume表示,在從此次攻擊中完成恢復(fù)之后,Volue公司將雇用專職黑客持續(xù)測(cè)試其業(yè)務(wù)系統(tǒng)。目前,Volue聘請(qǐng)的外部安全廠商也會(huì)組織滲透測(cè)試,但公司內(nèi)部還沒有全職黑客駐守。
他總結(jié)道,“這次事件給了我們深刻的教訓(xùn)。我們會(huì)努力把自己的經(jīng)驗(yàn)與體會(huì)分享給更多企業(yè),讓不幸變成對(duì)全行業(yè)有利的萬幸。”
參考來源:wsj.com
來源:互聯(lián)網(wǎng)安全內(nèi)參
