2022中国工业数据勒索形势分析报告
主要观点 2022年1-9月,奇安信集团安服团队共接到工业数据勒索应急服务需求72起。医疗和制造业是攻击者攻击的主要目标,成工业数据勒索重灾区。 数据泄露成工业企业面临的最大挑战。攻击者将数据进行窃取和加密,导致数据丢失,严重影响系统和业务的正常运行。 业务专网成为攻击者攻击的首要目标。工业企业在对办公系统进行安全防护建设的同时,更应重视业务系统的安全防护和安全管理。 弱口令成为工业企业防护短板。弱口令账号的低攻击成本和高命中效果,攻击者易通过盗取弱口令账号以横向渗透获得特权账号,进而破坏或泄露重要数据资源。 漏洞利用是攻击者最常用的攻击手段,攻击者利用的漏洞仅有少数是未公开的 0day 漏洞,多以历史漏洞为主。这也直接反映出工业企业安全运维人员对下辖网络资产动态跟踪不及时、安全运维缺乏常态巡检机制、对存在的漏洞及安全威胁缺乏应对等问题。 Phobos和Makop是最活跃的勒索病毒。工业企业应重点防护并及时跟踪勒索病毒传播变化趋势,随时调整应对策略。 基于工业数据勒索应急现状,提出防护建议。补短固底,做好基础安全防护是当务之急;结合具体业务场景,做好工业数据分类分级;系统治理,规划新型数据安全防护体系;有序建设,持续运营。 目 录 第一章 2022年工业数据勒索安全态势 .......................................................... 1 第二章 工业数据勒索应急响应事件受害者分析 ............................................ 3 一、 医疗和制造业成工业数据勒索重灾区 ................................................ 3 二、 数据泄露成工业企业面临的最大挑战 ................................................ 3 三、 弱口令成为工业企业防护短板 ........................................................... 4 第三章 工业数据勒索应急响应事件攻击者分析 ............................................ 5 一、 业务专网成为攻击者攻击的首要目标 ................................................ 5 二、 漏洞利用是攻击者最常用的攻击手段 ................................................ 5 三、 Phobos和Makop是最活跃的勒索病毒 .............................................. 6 第四章 工业数据勒索应急响应典型案例分析 ................................................ 7 一、 某制造企业遭Phobos勒索病毒攻击 .................................................. 7 二、 某医疗卫生企业遭Bonzon3勒索病毒攻击 ........................................ 8 三、 某集成电路企业遭Makop勒索病毒攻击 ........................................... 9 四、 某医疗企业API存在安全漏洞导致数据泄露 ................................... 10 第五章 工业领域数据勒索安全防护建议 ..................................................... 12 一、 补短固底,做好基础安全防护是当务之急 ....................................... 12 二、 结合具体业务场景, 做好工业数据分类分级工作 .......................... 12 三、 系统治理,体系规划新型数据安全防护体系 ................................... 12 四、 数据安全能力有序建设, 持续运营 ................................................ 13 附录一 工业控制系统安全国家地方联合工程实验室 ...................................... 14 附录二 巽丰工控安全实验室 .......................................................................... 15 附录三 奇安信工业数据安全能力 ................................................................... 16 1 第一章 2022年工业数据勒索安全态势 勒索病毒是一种新型计算机病毒,主要以网络攻击勒索企业/用户钱财为目的,利用安全漏洞、钓鱼邮件、网页挂马等形式传播,采取锁定屏幕、数据窃取、加密数据和加密磁盘等方式,恐吓、胁迫、勒索企业/用户支付赎金。本报告中将因为勒索病毒攻击导致工业企业数据被加密、窃取等事件定义为工业数据勒索事件。 拥有丰富数据、数据勒索损失巨大的工业企业生产系统成为被勒索攻击的首要目标。最近频繁曝出针对大型工业企业的勒索事件,根据国家工信安全中心统计,2021年公开发布的工业领域勒索事件比2020年增长约51.5%。 数据勒索也成为数量排名第一的工业网络攻击威胁源,本文主要依据奇安信集团安服数据为基础,从受害者和攻击者视角剖析工业数据勒索安全态势,通过分析典型案例,为工业企业数据勒索提供安全建议。 2022年1-9月,奇安信集团安全服务中心共参与和处置了全国范围内174起工业网络安全应急响应事件,其中与工业数据勒索相关的安全事件72起,占到工业安全应急响应事件的41.4%。前三章节主要针对2022年工业数据勒索相关的事件进行态势分析。 2022年1-9月工业数据勒索应急响应服务月度统计情况具体如下: 2022年1-9月,奇安信应急响应中心共处置和工业数据勒索相关的安全事件72起。 2 2021年1-9月,工业企业数据勒索病毒攻击态势在5月份达到峰值,和2021年同时期相比较而言,其攻击态势有所增加,勒索攻击愈发具备针对性。 3 第二章 工业数据勒索应急响应事件受害者分析 为进一步提高工业企业对突发数据勒索安全事件的认识和处置能力,增强工业企业安全防护意识,对2022年1-9月处置的所有数据勒索应急响应事件从被攻击角度、受害者行业分布、失陷原因以及攻击行为造成的影响几方面进行统计分析,剖析工业企业内部网络安全现状。 一、 医疗和制造业成工业数据勒索重灾区 2022年1-9月工业数据勒索应急响应处置事件TOP3的行业分别为医疗卫生行业(36起)、制造业(20起)、能源行业(7起),事件处置数分别占2022年1-9月工业数据勒索应急处置事件的50.0%、27.8%、9.7%。 工业数据勒索应急响应行业分布TOP5详见下图: 从行业排名可知,2022年1-9月攻击者的攻击对象主要分布于医疗卫生行业和制造业。其中,制造业遭受双重勒索(“勒索+窃取”)攻击导致数据泄露问题更加突出。 二、 数据泄露成工业企业面临的最大挑战 2022年1-9月,从工业企业遭受数据勒索攻击产生的影响来看,攻击者对系统的攻击所产生的影响主要表现为数据丢失和系统/网络不可用等。下图为工业企业遭受攻击后的影响分布。 4 攻击者将数据进行窃取和加密,导致数据丢失。在上述数据中,有36起数据勒索应急响应事件导致工业企业数据丢失,占比50%。有12起应急响应事件导致系统/网络不可用,占比16.7%,攻击者对系统重要数据库进行攻击,严重影响系统和业务的正常运行。 三、 弱口令成为工业企业防护短板 在2022年1-9月工业数据勒索应急响应事件中,弱口令是工业企业遭受数据勒索失陷的重要原因,占比55.6%。 由于弱口令账号的低攻击成本和高命中效果,通过盗取弱口令账号以横向渗透获得特权账号,进而破坏或泄露重要数据资源的攻击行为,给数据安全管理带来很大挑战。 5 第三章 工业数据勒索应急响应事件攻击者分析 应急响应事件攻击者分析以2022年1-9月所有工业数据勒索应急数据为支撑,从攻击者角度对攻击者攻击手段、攻击影响范围和攻击常用的勒索病毒进行分析,为工业企业建立安全防护体系、制定应急响应处置方案提供参考依据。 一、 业务专网成为攻击者攻击的首要目标 2022年1-9月工业数据勒索应急响应事件的影响范围主要集中在业务专网,占比75%;其次为办公网,占比25%。根据受影响区域分布对受影响设备数量进行统计,2022年1-9月失陷的设备中,682台服务器受到影响,75台办公终端被攻陷。2022年1-9月工业企业遭受数据勒索攻击影响范围如下图所示。 工业企业在对办公系统进行安全防护建设的同时,更应重视业务系统的安全防护和安全管理。 本文中办公网指企业员工使用的台式机/笔记本电脑、打印机等设备,而业务专网泛指工业企业整体运行与正常生产所需要的各种网络系统。 二、 漏洞利用是攻击者最常用的攻击手段 通过对2022年1-9月工业数据勒索安全事件攻击类型进行分析,漏洞利用攻击手段占比最高,达到43.1%。漏洞利用是攻击者利用工业企业网络安全建设不完善的弊端,使用常见系统漏洞、设备漏洞等,对系统进行的破坏性攻击,通常会导致重要数据丢失、泄露、内部投毒、敲诈勒索等严重后果。
