为什么我认为勒索软件是铁路行业的主要威胁德赢娱乐是什么
如果你还不知道,瑞士火车制造商斯塔德勒铁路公司遭遇数据泄露2020年5月初。该黑客团伙要求支付600万美元(580万瑞士法郎)的比特币赎金。该公司的一名发言人告诉新闻机构AWP:“施塔德勒现在和过去都不愿意付钱给勒索者,也没有进入谈判。”面对该公司拒绝谈判,黑客们在互联网上公布了一些被盗的文件。斯塔德勒内部文档的缓存是通过一条匿名Twitter消息共享的。
根据社交网络的消息,伴随着图像,攻击的肇事者声称不少于10,000个文件,代表4千兆位的数据量。敲诈勒索者给了Stadler第二次机会在第2部分出版之前“出版前”。
据《Tages-Anzeiger报》报道,这些照片公布的文件涉及贷款和银行合同,以及与Thurgau州的税收协议和阿尔滕莱茵的一个建筑项目。
更多的袭击,更多的经济损失
像这样的新闻故事正变得越来越普遍——这证明了网络勒索正在升级,而且是非常非常真实的。包括Mase, Sodinokibi, DoppelPaymer, Nemty, Nefilim, CLOP和Sekhmet在内的一些世界上最邪恶的勒索软件攻击,仅到6月,2020年最大的勒索软件攻击的受害者就花费了至少1.44亿美元。费用包括赎金、攻击调查、网络重建、备份恢复和针对未来攻击的保护措施。
在过去的几年里,勒索软件已经从一个温和的风险成长为一个主要的头条威胁。攻击者的能力随着时间的推移而发展。从一度等同于勒索软件攻击的相对“简单”的数据锁定威胁,勒索软件集团现在带来了更大的风险,并正在开发更复杂的方法来获取敏感数据,甚至在网上泄露数据。例如,在2020年第一季度,一些大量的勒索软件毒种——包括Sodinokibi、DoppelPaymer、Nemty、nefilm、CLOP和Sekhmet——导致了从非付费受害者那里窃取的数据的在线发布。
把偷来的数据卖给竞争对手,利用偷来的数据攻击受害者的商业伙伴,或者在网上公开受害者的“肮脏秘密”,这些都是越来越常见的策略。攻击者也在不断地寻找机会。随着新冠肺炎疫情的蔓延,许多攻击者利用了受害者搜索信息的机会。通过引诱在线用户打开恶意电子邮件和附件,这些犯罪团伙祈祷受害者在危险时期的不安全感。一旦用户与网络钓鱼发生冲突,他们就会使攻击者窃取他们的证书。这些证书可以使我们获得支持我们基本运输服务和关键国家基础设施的关键系统。
基本系统的操作员
在铁路运营公司中,我们有至关重要的系统,而这些系统的性能取决于这些系统。如果我们在恶劣天气、破坏、通讯和运营技术失效的情况下,未能计划、重新计划和重新安排时间,火车就会晚点,乘客会愤怒,整个经济也会受到影响。这对生意和声誉都不好,可能会导致罚款和处罚。英国铁路和公路办公室(Office of Rail and Road)表示,当it故障是一个因素时,将对未能交货的运营公司进行处罚。这不仅仅是火车的规划和维护,我们还必须对工作人员进行安排,以确保我们有正确的人驾驶火车,操作站台和管理车站。针对的售票系统将导致收入流受损和乘客不适。乘客信息系统对乘客体验和乘客在车站乃至整个网络的流动都很重要。与这些网络相连的是人力资源系统和财务应用程序——一旦黑客进入网络,关键系统就会受到威胁。高级持续威胁(APT)攻击延迟了时间线,攻击者试图感染网络中尽可能多的系统。
然后是火车本身。通过乘客wifi接入安全系统,如闭路电视和旅行记录仪黑匣子,可能会对性能和安全造成重大挑战。证明攻击者可以进行此类入侵的证据可能会被要求赎金或更糟。
经济损失和生产力损失
虽然统计数据显示,美国面临的勒索软件威胁最大,但没有一个国家或任何行业是安全的。最近公布的统计数字如下:
- 48%的英国组织在去年受到勒索软件的攻击
- 2020年上半年,英国共遭遇590万英镑的勒索软件攻击
- 对于英国企业来说,一次成功的勒索软件攻击的平均补救成本是84万英镑
实际上,还有一些看不见的额外成本:由于丧失生产力而造成的损失通常是实际赎金的5 - 10倍。如今,几乎任何人都可以联系勒索软件即服务(RaaS)组织发起攻击。
英国政府越是与俄罗斯正面交锋,针对英国关键国家基础设施的国家支持恐怖主义就会越多。这里有双重威胁——这个国家将成为恐怖分子和犯罪团伙的目标,结果是一样的:拖延、破坏和最终对安全构成威胁。
Ransomware是什么?
但是什么是勒索软件呢?最简单的形式是,勒索软件是一种恶意软件,它允许黑客以某种方式限制对个人或公司的重要信息的访问,然后要求支付某种形式的费用以解除限制。最常见的限制形式是对计算机或网络上的重要数据进行加密,这实质上是让攻击者持有用户数据(或整个系统)作为人质。加密货币支付是一种普遍需求,因为这种数字货币既是全球性的,也是匿名的。勒索软件攻击正迅速流行起来,这是有充分理由的:通过支付数万或数十万英镑,这是犯罪分子赚大钱的机会。
已经有一段时间了
虽然这似乎只是一个十年前的想法,但勒索软件的概念已经存在很长一段时间了。1989年,Joseph Popp博士分发了一种名为PC Cyborg的木马,恶意软件隐藏了受感染PC的C:驱动器上的所有文件夹并加密文件。然后一个脚本发送了一条勒索信息,要求将189美元转给PC Cyborg公司。直到支付赎金和恶意软件的行为被逆转,这台受影响的电脑才会正常工作。从那时起,对这种类型的方案进行了大量的改进,特别是在更强的文件加密领域。现在受害者几乎不可能解密自己的文件。另一种被称为“恐吓软件”的勒索软件会在用户的电脑上显示一个警告,称该设备感染了恶意软件,如果购买的是假冒杀毒软件,可以立即删除。恐吓软件的信息反复出现,促使许多受害者购买“杀毒软件”,只是为了摆脱警告信息。
攻击者包括Boss和SpiderBoss——国际罪犯
今天,“赎金软件”一词广泛地描述了广泛的电子犯罪,恶意软件计划,包括Doppelmayer,Revil,Ethria,Netwalker和Maze。每个策略都不同地不同。例如,迷宫不仅加密受感染的机器上的数据,而且还有虹吸的原件副本,给黑客额外的杠杆:未能支付赎金可能导致机密公司数据泄露或在线销售。从历史上看,绝大多数攻击都是针对基于Windows的系统。这主要是由于数字游戏;与任何其他类型的操作系统都有更多的基于Windows的计算机。然而,现在,Android和Mac赎金软件攻击也在上升,只有预计会增长。
在勒索软件的早期,攻击主要是机会主义的,影响个人用户或小企业的电脑。如今,犯罪分子正把目光投向那些有财力支付更高赎金的大型组织。这些公司将包括铁路制造商、ROSCOs和火车运营公司。
“勒索软件本身已经商品化;任何人都可以联系RaaS(勒索软件服务)组织来部署勒索软件。在未来,检测潜在的勒索软件攻击是、也将是企业日益重要的一部分,使用自动化进行快速响应的能力也是如此。”
宕机带来的损失可能会造成严重后果,如果以生产力损失(劳动力闲置和收入机会损失)来衡量,通常会花费实际赎金金额的5到10倍。
抱最好的希望,做最坏的打算!
他们说勒索软件攻击有五个阶段:
- 剥削和感染
- 交付和执行
- 备份毁弃
- 文件加密
- 用户通知,要求,如果你很幸运......
铁路公司能做什么?希望自己不会被攻击是不可取的。首先是检测和预防——遵循NCSC在为2018年网络和信息系统安全法规制定的网络保障框架中给出的指导方针。NCSC框架需要保护性监测和异常检测,以及采取恢复措施以减少造成的损害。备份您的计划和名册系统,以及它们所依赖的文件和记录也是一个不错的主意。记住使用独立的媒体或第三方。SIEM和SOC供应商将为他们的产品提供建议,但我坚持认为预防是关键:虽然防御和监视可以阻止攻击,但如果没有漏洞,攻击链就不能被激活。如果他们不能通过第一阶段,你就不会遭受第五阶段的痛苦。
治理
经营公司需要建立一个治理层次,以批准衡量风险和由此产生的缓解支出。这种治理可以监督所有IT系统的风险评估,包括那些在职培训以及那些对性能、计划、名册和维护至关重要的系统。由toc使用但由Network Rail提供的信号系统需要协作。必须对连接的系统进行评估,并在必要时将其分离。人员控制(如审查、培训和员工的安全意识)与技术控制(如强密码和防火墙)同样重要。通过打补丁和更新软件,对静止和传输中的文件进行加密,杀死漏洞。可以加强身体控制,改进程序以提高技术和实践。
需要专业风险分析师
专业的风险分析和管理将把漏洞和妥协的威胁降低到合理的水平。为了向高级经理证明所获得的控制是适当的,风险经理必须提供报告和文件证明投资回报是适当的。在过去四十年里,IT系统的风险管理一直受到中央政府和军队的重视。现在,随着关键的国家基础设施、支持运输的信息技术和通信网络被视为宝贵资产,关键服务的运营商被要求承担其安全责任,是时候开展专业的风险评估了。黑客攻击,尤其是勒索软件的威胁,使得我们有必要采取一种方法,利用治理和资源,确保铁路系统不容易受到攻击,并采取一切合理的防御措施。
确认你最担心的事情
由于控制不符合NCSC安全框架,识别系统中的弱点是很好的。最好是与每个系统的涉众进行全面和坦率的讨论(如果可能的话)。一些IT系统可能会受到漏洞扫描的影响。中央政府和武装部队使用经专业认证的渗透测试团队提供全面的IT健康检查。这将确认(或其他)您的系统的安全状况,并通过补救措施和持续监控和改进,向涉众和被选来提供治理的人提供必要的保证。
由Joe Ferguson,NCSC认证网络从业者和高级信息风险分析师
