勒索凶猛！某欧洲制造商旗下两家工厂被逼关停两天

卡巴斯基实验室的一位研究人员在周三表示，勒索软件团伙利用一种较新的勒索病毒“变种”，成功加密了某欧洲制造商的工业流程控制服务器，最终导致两处生产工厂被迫关停。

这款新型勒索软件被命名为Cring，今年1月开始活跃。它利用Fortinet VPN中存在的几个长期未修补漏洞（官方已发布补丁）发动攻击，其中的目录遍历漏洞（CVE-2018-13379）允许未经身份验证的攻击者获取会话文件中的VPN用户名与明文密码。

借助这一登陆点，攻击者可以进一步侦察情况，使用定制版Mimikatz提取服务器内存中的域管理员凭证，最终利用Cobalt Strike框架安装了Cring勒索软件。为了掩盖行迹，勒索团伙还将Cring安装文件伪装成了来自卡巴斯基实验室或其他供应商的安全软件。

安装完成后，该勒索软件会锁定由256位AES密钥加密的数据，而后使用硬编码形式的RSA-8192公钥对该密钥进行加密。根据留下的勒索说明，攻击方要求受害者支付两个比特币，以换取解锁数据的AES密钥。

根据卡巴斯基实验室ICS CERT小组成员Vyacheslav Kopeytsev的介绍，这家德国制造企业遭遇Cring感染的情况发生在今年第一季度。感染传播到了该制造商生产线的配套数据库服务器，结果导致这家制造商设在意大利的两处工厂暂时关闭。从记录来看，两处工厂停运了两天左右。

Kopeytsev在博文中写道，“从攻击事件的种种细节来看，攻击方已经认真分析了受攻击组织的基础设施，并根据侦察阶段收集的情报适当调整了自己的基础设施与工具组合。而对攻击活动的进一步分析、特别是对被攻击网络进行取证之后，我们发现攻击者的加密目标有着极强的针对性，专门选择了那些会对企业运营造成严重影响的服务器。”

最终，响应小组通过备份还原了大部分加密数据，但仍有部分数据彻底丢失。受害者没有支付任何赎金，也没有发布任何具体损失或感染状况报告。

2019年，研究人员们观察到黑客团伙开始积极利用FortiGate VPN中曝出的安全漏洞。当时约有48万台FortiGate VPN设备接入公共互联网。上周，联邦调查局及网络安全与基础设施安全局发表声明称，作为FortiGate VPN中最严重的漏洞之一，CVE-2018-13379已经引起黑客组织的关注、很可能被用于发动后续攻击。

Fortinet公司在去年11月时表示，他们检测到“大量”仍未修复CVE-2018-13379漏洞的VPN设备。通报还提到，公司研究人员发现，有地下犯罪论坛正公开出售这些漏洞设备的IP地址，也有人正在互联网上大范围扫描这些未安装修复补丁的系统。

Kopevtsev强调，除了未能及时安装补丁之外，这家德国制造商还犯下另外两个严重错误：未能及时更新所安装的反病毒软件，也没有将敏感系统的访问权限限定在公司员工范围。

过去也发生过其他针对制造业的攻击活动，在遭遇WannaCry勒索软件与另一未知恶意软件的两轮冲击后，本田公司先后在2019年与2020年两度叫停生产运营。挪威铝材料生产巨头Norsk Hydro也曾在2019年遭遇勒索软件攻击，这次攻击导致其全球业务网络被迫关停、工厂瘫痪，好在IT部门第一时间介入并很快恢复了正常运营。

在工业环境中修复及重新配置设备是出了名的困难，这是因为大部分此类设备必须持续运行才能保证制造流程的顺利运转。由安全更新与测试、或者网络变更引发的生产线关停，往往会给企业带来沉重的成本支出。但如果不及时行动，勒索软件团伙很可能抢先出手，迫使生产流程陷入瘫痪。面对这个两害相权取其轻的命题，企业必须做出艰难的选择。