汽车行业面临的勒索软件威胁加速

  • A+
所属分类:云安全

作者 | 天地和兴工业网络安全研究院

【编者按】近年来随着自动驾驶、电动汽车、联网汽车和汽车共享的迅猛发展,汽车行业正处于转型期,也越来越成为网络犯罪的焦点。不仅制造商的生产和工艺正在数字化,而且越来越多的软件正在进入汽车本身。在汽车行业的公司中,带有恶意附件的电子邮件攻击比例极高,被忽视的间谍软件、勒索软件或其他破坏性恶意软件会被下载,这些都为黑客提供了更大的攻击目标。作为一个收入特别高、媒体效率高、竞争激烈的行业,汽车行业正日益受到网络攻击的关注。继能源和物流业之后,汽车行业是过去一年中全球受攻击最严重的行业之一。 
勒索软件是一种恶意软件,它会感染计算机服务器、台式机、笔记本电脑、平板电脑和智能手机,通过各种机制渗透,并经常在企业间从一台机器横向传播到另一台机器。一旦病毒感染了系统,就会悄悄地加密每个数据文件,然后向用户显示一张勒索通知。勒索信息首先要求在线支付数百至数千美元,通常是比特币等无法追踪的加密货币,以换取恢复用户锁定文件所需的解密密钥。这种要求通常包括好几个付款截止日期,每错过一个截止日期都会导致更高的赎金要求,也许还会有一些文件被破坏。如果受害者不付钱,攻击者就会丢弃解密密钥,从而数据永久无法访问。

一、近半的汽车制造商易受勒索软件攻击

汽车行业已经开始加速其制造站点的数字化,但网络安全对于大多数组织来说仍然是事后考虑的问题。对于那些采用勒索软件攻击方法的网络罪犯来说,这是他们喜闻乐见的事。

根据最近的一份勒索软件趋势报告,100家最大的汽车制造商中,有近50%受到勒索软件攻击的严重影响。此外,超过17%的汽车供应商最有可能遭受勒索软件攻击。

勒索软件攻击重创汽车制造商的一个例子是2017年WannaCry病毒爆发。这次攻击影响了150多个国家的20多万台计算机。其中包括雷诺在法国、斯洛文尼亚和罗马尼亚的制造厂都受到严重影响,导致所有的工业生产都被关闭,并连续数日处于停工状态。

最近汽车制造公司受到攻击的例子是,大型汽车制造商大众(Volkswagen)和奥迪(Audi)成为Conti勒索软件的受害者。在美国和加拿大,超过330万客户和潜在买家受到了这次攻击的影响。攻击者可以通过抓取不安全的微软Azure服务器来访问他们的网络。被盗的数据包括电子邮件地址、车辆识别号码、电话号码和物理地址等。

随着越来越多的汽车公司成为网络攻击的受害者,汽车制造业的威胁格局只会继续扩大,对改善网络安全的需求将变得更加迫切明显。

没有哪个行业能够免受勒索软件等网络攻击的威胁,汽车行业尤其如此。由于要实现遗留系统及其物理网络安全方法,整个行业需要重新考虑其安全策略。

直到最近,大多数汽车制造商都认为,他们的制造工厂和企业IT系统的安全性并不是优先考虑的问题。这意味着,汽车企业会将安全攻击或事件置于公众视线之外,这会导致企业的安全团队忽视了手头的真正风险。

随着汽车制造商技术的不断进步,安全性不仅在汽车内部,在制造阶段也变得越来越突出。根据IBM的一份工业威胁研究报告,“2021年,汽车制造商是制造业子行业的头号目标,占制造业受到攻击总量的近三分之一。”

由于汽车制造业受到越来越多的攻击,企业及其管理团队现在更加重视安全问题,这就必须要了解企业的安全策略,以及如何加强防范攻击的安全态势。虽然这是组织了解自己在何处易受攻击的良好第一步,但汽车制造商需要了解为什么网络罪犯把他们视为有吸引力的目标。

汽车制造商不断遭攻击的原因

汽车制造业勒索软件攻击快速增长的原因主要是,由于汽车制造业是从一个曾经的家庭手工业演变成一个现代犯罪版本的软件即服务业务。勒索软件团伙复制了像Salesforce.com这样的技术供应商的模式,持续快速地开发和改进产品,并依靠分销商网络,通过各种技术把产品安装到尽可能多的机器上。在勒索软件的案例中,传播者是级别较低、技术不熟练的犯罪分子,他们使用各种技术攻击受害者,包括带有受感染的网页链接或附件的钓鱼电子邮件、向访问他们的用户无形中下载恶意软件的虚假网站,以及对像GitHub这样的热门行业特定网站的渗透。利用不广为人知的操作系统漏洞(即零日漏洞)是另一种流行的技术,这种技术在WannaCry和NotPetya勒索软件爆发中都被使用。

在这种勒索软件即服务模式下,犯罪软件工程师不断制造新的勒索软件变种,以利用操作系统、应用程序和用户行为中的各种漏洞,领先于业务IT人员和安全人员以及他们所依赖的技术供应商一步来采取防御措施。与此同时,这些勒索软件团伙还开发了完善的分销、监测、通知和支付基础设施,免费提供给“分销商”。想要成为勒索软件分发人员,只需下载一些易于使用的软件工具,然后开始四处传播病毒即可,开发商和分销商瓜分受害者支付的赎金利润。

随着汽车制造业开始接受更多的工业物联网(IIoT),这也带来了无尽的安全挑战。对于汽车制造系统来说,最明显的安全风险是技术的现代化,使其与互联网连接更加紧密,这导致他们的OT环境受到攻击。这对汽车制造厂产生了影响,因为过程控制设备和带有PLC的智能组装生产线的安全性日益下降,这些威胁从安全和组织的角度对该行业构成了挑战。

此外,由于汽车行业竞争激烈,网络间谍活动对汽车开发、生产和交付的制造业构成了巨大威胁。不仅是制造商之间,而且国家之间也因为新的汽车技术和创新有巨大的驱动力。攻击者主要是利用汽车制造商的系统,窃取与创新研究、开发、知识产权信息有关的信息,在某些情况下甚至放慢生产线的速度。

国家资助的攻击者攻击汽车行业的另一个原因是,窃取政府和军方正在开发的新技术的信息。通过针对汽车制造商,它可以为网络犯罪分子提供大量信息,包括人工智能、传感器细节、自主车辆系统和离散部署信息。

网络犯罪分子最近采用的一种流行方法是,通过第三方供应商攻击汽车制造商的供应链。这些外部机构被视为攻击者唾手可得的目标,因为它们很容易侵入供应链上的其他系统,以便进入目标的主要网络。如果第三方被利用,汽车制造商将面临更大的风险。

如何防止攻击

面对这种迅速增长的威胁,汽车制造商可以采取一些具体措施,保护系统免受成功勒索软件攻击造成的业务中断和高昂代价的影响。第一步是开始教育员工勒索软件经销商使用的技术,对点击的电子邮件链接、访问的网站和打开的附件保持警惕。

良好的网络和安全卫生措施仍然很重要,比如网络分段使勒索软件更难从一个系统传播到另一个系统,保持终端反恶意软件的更新,以及尽快修补操作系统和应用程序中的已知漏洞。

最后,考虑到勒索软件攻击的高成功率,建立严格的备份制度并在本地、离线和云中保存关键业务数据的多个副本是至关重要的。备份仍然是抵御勒索软件最简单的方法,如果系统受到威胁,只需要识别攻击的开始,并从入侵前创建的干净备份中恢复系统。

同时,执法和安全专家一致认为,不提倡支付赎金,因为有超过一半支付赎金的受害者没有成功地恢复他们的文件,纠其原因,要么是因为勒索者未能交付承诺的密钥,要么是由于实施加密/解密算法太差,密钥无法工作。

要了解如何保护组织的系统,还要了解与汽车制造商系统和设备相关的不同安全挑战和风险,以及需要哪种策略来提高安全性。

随着过去几年国家发起的大量成功攻击,包括汽车制造业在内的不同垂直行业现在认识到在保护其OT环境时采用正确安全做法的紧迫性。随着越来越多的汽车组织不断更新OT设备,并将其工业网络连接到互联网,这将为网络犯罪分子在OT网络内进行攻击和横向移动打开大门。

直到最近,老牌汽车制造商才开始使用独立的系统和设备。然而,随着技术的进步,越来越多的组织将他们的老旧系统连接到互联网上,以便第三方供应商使用他们的OT设备。这种工作方法迫使汽车制造公司的安全团队改变他们的思维方式和方法,以保护他们的OT网络和设备。

为了避免成为下一个广泛的勒索软件攻击的受害者,汽车行业需要实现一个更主动的基于在其生产环境中检测和降低风险的安全方法。通过利用意识和技术实施正确的OT安全方法,汽车制造业可以从中受益,确保其服务器和系统免受网络攻击危害。

参考资料:

【1】https://semiengineering.com/security-concerns-rise-for-connected-autos/

【2】https://www.acronis.com/en-us/articles/ransomware-automotive/



原文来源:关键基础设施安全应急响应中心

汽车行业面临的勒索软件威胁加速

本文始发于微信公众号(网络安全应急技术国家工程实验室):汽车行业面临的勒索软件威胁加速

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: