17的勒索软件攻击泄露关键OT信息

news2024/12/19 22:41:01

数据泄漏一直是企业关注的问题,敏感信息泄露可能导致声誉受损、法律处罚、知识产权损失、甚至影响员工和客户的隐私。然而很少有关于工业企业面临的威胁行为者披露其OT安全、生产、运营或技术的敏感细节的研究。

2021年,Mandiant威胁情报研究发现,勒索软件运营者试图通过在泄露网站上披露窃取的信息来勒索数千名受害者。这种趋势称之为“多方面勒索”,
在短短一年内影响了关键基础设施和工业生产部门的1,300多家组织。

为了验证“多方面勒索”泄漏对OT构成的风险程度,Mandiant分析了通常利用OT系统进行生产的行业的半随机样本。利用各种技术和人力资源,研究人员下载并解析了数TB转储数据,发现了大量敏感的OT文档,包括网络和工程图、操作面板图像、第三方服务信息等。由于数据集的规模,对每个转储的分析是有限的,并且对少数转储进行更有针对性的检查可能会发现每个组织的更多文档。

根据研究分析,在勒索软件泄露网站上发布的工业组织的泄密信息中, 每七个就有一个可能会泄露敏感的OT文件。
访问此类数据可使威胁行为者了解工业环境、确定最佳攻击路径、并设计网络物理攻击。最重要的是,泄漏中还包括的其他有关员工、流程、项目等的数据,可为威胁行为者提供非常准确的目标文化、计划和运营状况。

主要发现

2020年初,美国工业承包商Visser泄露了其客户的技术文档,包括航空航天和工业制造企业。一年后,一个威胁行为者在地下论坛上转发了Doppelpaymer勒索软件组织从拉美一家石油和天然气组织窃取的2.3GB数据,声称其中包含OT信息。

分析了泄漏的数据发现,其中包括用户名和密码、IP地址、远程服务、资产标签、原始设备制造商(OEM)信息、操作面板、网络图等各种敏感数据。威胁行为者会在侦查期间寻找可以用来识别目标OT网络中的攻击路径的所有信息。

图1
拉丁美洲某大型石油和天然气组织遭勒索致泄漏数据

为了更好地理解这些数据泄露给OT资产所有者带来的风险,Mandiant构建了一个大型数据集。在几个月的时间里,网络安全分析人员和数据研究人员分析了数百个泄露和收集的样本,以找到OT文档,并确定了至少10个包含敏感OT技术数据的转储。由于许多泄漏中的数据量很大,研究团队只对转储进行了表面分析。如果有进一步的资源投入,可能会发现大量额外信息。

由于资源限制或对特定目标感兴趣,大多数威胁行为者可能会将精力集中在少数组织上。这使攻击者能够将资源集中在查找每个目标的更多信息上,这对于任何复杂的攻击都是至关重要的。

Mandiant发现了超过3,000起勒索软件运营商泄露窃取的数据,其中大约1,300起泄漏来自可能使用OT系统的工业部门的组织,如能源和水设施或制造业。通过浏览现成的文件列表或其他感兴趣的指标,例如威胁行为者的评论或目标子行业,选择并检索了数百个此类样本。

图2 勒索攻击的泄漏数量

初步分类后,研究人员使用定制和公开工具收集并手动分析了大约70个泄漏,发现七分之一的泄漏至少包含一些有用的OT信息,而其余的则包含与员工、财务、客户、法律文件等相关的数据。

勒索软件数据泄漏主要在暗网上的各种威胁行为者运营的网站上共享。尽管每个威胁者的运作方式不同,但即将泄密的信息通常会发布在黑客论坛或社交媒体上。任何可以访问Tor浏览器的人都可以访问这些站点并下载可用的转储文件。

图3
勒索软件泄露网站示例

下载单个泄漏信息非常简单,但鉴于可用数据量巨大,从不同泄漏中收集多个样本非常复杂。下载这些泄漏信息的能力取决于多种因素,例如攻击者和下载者的基础设施、数据泄露的时间、获取文件的用户数量、以及文件本身的质量。

研究人员利用手动和自动文件分析从感兴趣的样本中搜寻数据,查找了网络和流程图、机器接口、资产清单、用户名和密码、项目文件、以及第三方供应商协议等。

手动分析主要通过浏览文件列表来识别可能存在OT相关数据的关键字。威胁行为者有时会发布目录或文本文件列表,来传播勒索数据泄露。如果没有文件列表,则会自己创建一个。针对中小型转储使用了免费的公开取证工具Autopsy。对于较大的转储则使用定制工具或本地下载文件,通过rar或7z等默认工具构建列表。如果无法获取列表,则会手动浏览文件名。

有时,快速查看列表和关键字搜索就足以确定转储是否适合分析,但有时,文件命名约定并没有透露太多信息。此外勒索泄露包含各种语言的数据,又增加了一层复杂性。

对于中小型转储使用的是Autopsy,能够分析相对较大的文件夹。该工具可以解析文件,并提供时间戳、文件类型、关键字、其他有用数据的摘要。研究人员还能够使用正则表达式搜索关键字,以查找IP地址或用户名等数据,并快速可视化现有文件的.jpeg图像。

图4
使用Autopsy分析勒索泄漏文件

然而Autopsy很难分析更大的转储,解析只有几GB的转储文件就需要好几个小时,但是泄露的数据是TB级别的,因此必须构建定制工具来可视化和分析大量数据。即使使用定制工具,仍然需要大量存储能力和人力投资来处理数据。

在如此大量的文件中找到敏感的OT文档并不容易。此次调查结果包括来自不同部门和地区的组织的数据。

表1 调查结果示例

受害者

|

泄漏内容—|—工业和客运列车制造商

|

OEM的密码管理凭证、欧洲有轨电车的控制架构和通信通道要求、Siemens TIA Portal PLC项目文件的备份等。两个石油和天然气组织

|

深入的网络和流程文档,包括图表、HMI、电子表格等。控制系统集成商

|

客户项目的工程文档(一些文件受密码保护)。水力发电厂

|

大多数数据与财务和会计相关,确定了来自IT、工厂维护和运营员工的姓名、电子邮件、用户权限和一些密码。卫星车辆跟踪服务商

|

用于通过全球定位系统(GPS)跟踪车队的专有平台的产品图表、可视化和源代码。可再生能源生产商

|

受害者与客户之间的法律协议,规定了可再生能源基础设施的维护和供应条件。合同规定,服务提供商可以通过公共互联网IP地址完全访问第三方的SCADA系统。###数据泄漏的影响

勒索软件泄露的敏感OT和网络文档可供任何人下载,包括安全研究人员、行业竞争对手或威胁行为者。最令人担忧的是资源充足的威胁行为者,他们有能力系统地寻找数据,以了解特定目标。

从历史上看,间谍活动曾帮助国家资助的组织获取有关工业组织运作的详细信息。这些侦察数据支持了真实网络物理攻击的不同阶段,例如2015年和2016年的乌克兰停电和TRITON事件。

来自勒索泄露的数据可能会为老练的威胁者提供有关目标的信息,同时减少对防御者的暴露和运营成本。威胁者还可以根据有关受害者基础设施、资产、安全漏洞和流程的现成敏感数据来选择目标。利用更高水平的网络物理侦察数据的攻击可能会产生更显著和更精确的影响。

资源和能力有限的威胁者对大型勒索泄露数据的可见性可能会更有限。但是他们仍然可以探索转储,以了解组织、满足好奇心、或转发内容。

缓解措施

根据研究分析,在勒索软件泄露网站上发布的工业组织的泄密信息中,每七个就有一个可能会泄露敏感的OT文档。访问此类数据可以使威胁者了解工业环境、确定最佳攻击路径、并设计网络物理攻击。最重要的是,泄漏中还包括的其他有关员工、流程、项目等的数据,可为威胁行为者提供非常准确的目标文化、计划和运营状况。

即使暴露的OT数据相对较旧,网络物理系统的典型寿命也从20年到30年不等,这导致泄漏与侦察工作相关的时间比IT基础设施上的暴露信息要长得多。为了预防和减轻暴露的OT数据带来的风险,建议应用以下缓解措施:* 制定并实施稳健的数据处理策略,以确保内部文档受到保护。避免将高度敏感的操作数据存储在安全性较低的网络中;* 勒索软件入侵的受害者应评估泄露数据的价值,以确定哪些补偿控制有助于降低进一步入侵的风险;* 更改泄露的凭据和API密钥,考虑更改关键系统和OT跳转服务器的公开IP地址;* 定期进行红队演习,以识别外部暴露和不安全的内部信息。

最后

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【点下方卡片】免费领取:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/788962.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

ambari管理配置组实现针对不同节点使用不同配置

实操 一.新建配置组: 二.取名后指定该配置组针对哪些节点生效: 三.添加节点: 保存后有个空的配置组newMR2. 四.接下来在该配置组内自定义一些配置参数,比如单独针对节点hdp01配置fetch最高并发度为20: 五.重…

区块链服务网络的顶层设计与应用实践

日前,2023全球数字经济大会专题论坛:Web3.0发展趋势专题论坛暨2023区块链、元宇宙蓝皮书发布会在北京举行。本次论坛上隆重发布了《中国区块链发展报告(2023)》,对我国区块链行业在2022年的发展状况进行了总结梳理&…

【英飞凌PSoC 6】使用软件和硬件I2C点亮OLED屏,帧率从2FPS提升到51FPS

文章目录 一、准备工作1.1 硬件准备1.2 软件准备1.3 硬件连接 二、原理分析2.1 开发板原理图2.2 芯片数据手册 三、软件I2C驱动OLED3.1 创建RT-Thread项目3.2 添加ssd1306软件包3.3 配置软件I2C和ssd1306软件包3.4 编译和下载程序3.5 运行和测试程序 四、硬件I2C驱动OLED4.1 增…

depcheck检测缺失哪些依赖包

npm install -g depcheck 如果不想全局安装,npm i depcheck后可以在package.json的scripts中输入 "check": "depcheck" 之后使用 npm run check depcheck - npm 超级好用的依赖检查工具depcheck【渡一教育】_哔哩哔哩_bilibili

Cron 选择器

// 定义一个名为 cron 的新组件 Vue.component(cron, {name: cron,props: [data],data() {return {second: {cronEvery: ,incrementStart: 3,incrementIncrement: 5,rangeStart: ,rangeEnd: ,specificSpecific: [],},minute: {cronEvery: ,incrementStart: 3,incrementIncremen…

[Tools: tiny-cuda-nn] Linux安装

official repo: https://github.com/NVlabs/tiny-cuda-nn 该包可以显著提高NeRF训练速度,是Instant-NGP、Threestudio和NeRFstudio等框架中,必须使用的。 1. 命令行安装 最便捷的安装方式,如果安装失败考虑本地编译。 pip install ninja g…

QT第一讲

思维导图 手动实现登录框 要求&#xff1a; 1、登录窗口更改标题、图标 2、设置固定尺寸、并给定一定的透明度 widget.h #ifndef WIDGET_H #define WIDGET_H#include <QWidget>#include<QWidget> #include<QDebug> //信息调试类&#xff0c;用于打印输出…

谱瑞PS186芯片DP1.4转HDMI2.0主动式4K转换线DSC支持10bit色深HDR

PS186 是 DisplayPort ™ v1.4a 到 HDMI ™ 2.0b 视频接口转换器&#xff0c;非常适合电缆适配器、扩展坞、监视器、电视接收器和其他需要视频协议转换的应用。输入是一个 DP v1.4a 兼容的上行端口&#xff0c;它接受音频和显示数据&#xff0c;输出是一个 HDMI 2.0b 兼容的下行…

【C++】模板(下)

文章目录 一、typename的使用二、非类型模板参数三、模板的特化1.概念2.函数的模板特化3.类的模板特化① 全特化② 偏特化 一、typename的使用 前面我们在使用模板参数的时候可以使用class&#xff0c;也可以使用typename定义模板参数&#xff0c;现在typename有了新的作用 tem…

jQuery 对象转换与选择器

目录 1.js与jQuery对象之间转换 2.jQuery选择器 2.1 基本选择器 2.2层级选择器 2.3 基本过滤选择器 1.js与jQuery对象之间转换 js的DOM对象转换成jQuery对象&#xff0c;语法&#xff1a;$(js的DOM对象) var jsDomEle document.getElementById("myDiv"); //js的…

搭建禅道环境作为练习UI和接口自动化测试对象

搭建禅道环境作为练习UI和接口自动化测试对象 1 目的2 禅道下载3 禅道安装4 禅道运行5 接口查看6 验证接口测试7 验证UI测试 1 目的 做UI和接口自动化练习时&#xff0c;有时候找不到合适的对象&#xff0c;我们可使用禅道来联系&#xff1b;因为禅道有开源版&#xff0c;可以…

three.js-解决外部模型太暗的问题

先看效果 优化前 优化后的效果 在网上找了好久&#xff0c;好多方法都过时了&#xff0c;还有调整自发光都不行&#xff0c;后来又调金属度的&#xff0c;试了下很ok, child.material.metalness 0.58;&#xff0c;完整例子看下边。 解决方案 调整模型的金属度 loader.lo…

git 提示 不能合并

今天A分支合并B分支&#xff0c;提示“不能合并” 最终发现&#xff0c;是另一个分支的版本落后导致&#xff0c;但是git并未提示出来 有遇到这种问题可以先检查下版本

go-zerogo web集成JWT和cobra命令行工具实战

前言 上一篇&#xff1a;从零开始基于go-zero的go web项目实战-01项目初始化 从零开始基于go-zero搭建go web项目实战-02集成JWT和cobra命令行工具 源码仓库地址 源码 https://gitee.com/li_zheng/treasure-box JWT JWT&#xff08;JSON Web Token&#xff09;是一种开放标…

一起学SF框架系列5.8-spring-Beans-注解bean解析4-bean解析

前面三节主要讲了如何加载注解Bean的BeanDefinition&#xff0c;执行环节是在DefaultBeanDefinitionDocumentReader.parseBeanDefinitions中用BeanDefinitionParserDelegate.parseCustomElement(ele)加载的&#xff0c;实际上没对注解真正进行解析。本节主要讲述注解bean如何被…

性能测试过程有哪些?都要做什么

13.1 性能测试过程概述 13.2 性能测试设计 需要关注的问题&#xff1a;事务需求、技术需求、系统要求、团队要求 分析从五个方面分析&#xff1a;需求调研、事务模型、场景模型、数据设计、环境设计 13.2.1 需求调研 ① 测试系统预研&#xff1a;系统相关知识、系统目的、…

MinIO在Linux环境下单机安装部署

1、MinIO是什么&#xff1f; MinIO 是一个基于 Go语言实现的高性能对象存储。它采用AGPL&#xff08;GNU Affero General Public License&#xff09; 开源协议并兼容 S3 协议。 官网地址&#xff1a;https://min.io/ github地址&#xff1a;https://github.com/minio/minio …

C 程序 运算符

文章目录 1、算术运算符2、关系运算符3、逻辑运算符4、位运算符5、赋值运算符6、杂项运算符 ↦ sizeof & 三元7、运算符优先级 1、算术运算符 #include <stdio.h>int main() {int a 21;int b 10;int c ;c a b;printf("Line 1 - c 的值是 %d\n", c );c …

Jenkins从配置到实战(一) - 实现C/C++项目自动化构建

前言 本文章主要介绍了&#xff0c;如何去安装和部署Jenkins&#xff0c;并实现自动拉取项目代码&#xff0c;自动化编译流程。 网站 官网中文网站 下载安装 可以下载这个 安装jenkins前先安装java yum search java|grep jdkyum install java-1.8.0-openjdk 安装jenkins j…

我是如何做性能测试 - 文档收集并深入学习

目录 前言&#xff1a; 1. 架构设计说明书 2. 需求说明文档/需求规格说明书 3. 接口设计文档 4. 接口详细设计文档 5. 数据库设计文档 前言&#xff1a; 性能测试是软件开发过程中的一个重要方面&#xff0c;它旨在评估软件在不同负载和压力条件下的性能表现。性能测试需…