根据 Searchlight Cyber 的一份报告,能源行业越来越多地通过暗网上的活动成为恶意行为者和威胁组织的目标。
该报告详细介绍了威胁行为者出售全球能源组织初始访问权的众多实例。
其中包括美国、加拿大、英国、法国、意大利和印度尼西亚的流行暗网论坛(如 Exploit、RaidForums 和 BreachForums)上的目标。
能源行业目标
在暗网上观察到的针对能源行业的主要活动是“拍卖”,以获取能源公司的初始访问权,这些活动通常在暗网论坛上进行,而 Exploit 是这些拍卖中最受欢迎的网站。
该报告指出,一些威胁行为者发布了影响不同组织的多次拍卖,表明他们是初始接入市场的专家。
威胁行为者经常使用术语“开始”、“步骤”和“闪电战”,表示初始访问的起始价格、出价增量和“立即购买”价格(闪电战)。
该研究还强调了威胁参与者讨论 ICS 系统和分享有关 ICS/SCADA、PLC、RTU、HMI 和工业系统其他组件的教程、论文和文档。
这份报告很有启发性,他们揭示了针对石油和天然气行业的威胁格局发生了重大转变。
威胁行为者正在暗网上拍卖对企业网络的初始访问权,这一事实凸显了网络犯罪黑社会内部的复杂性和组织性。
值得注意的是,这些拍卖不是本地化的;它们以世界上许多国家的组织为目标,突出了这一威胁的全球性。
带有“开始”、“步骤”和“闪电战”等术语的拍卖帖子的标准化表明了这个非法市场的成熟程度。
它还提供了一个窗口,让我们了解网络犯罪分子在针对组织时所重视的信息类型,例如访问类型、国家/地区、行业和收入。
虽然此类活动“无疑令人担忧”,但重要的是要注意,这种可见性可以转化为安全专业人员的优势。
通过监控这些暗网论坛,我们可以识别对我们组织的潜在威胁,并采取积极措施来保护网络。
威胁建模见解
此外,该报告的调查结果为威胁建模提供了宝贵的见解。
即使某个组织与拍卖帖子中列出的受害者的确切资料不符,这种策略被用于对付其他能源公司这一事实也是至关重要的信息。
它可以为防御策略提供信息,帮助安全团队准备和减轻此类威胁。
勒索软件威胁行为者正在追逐任何产生可观利润的行业,能源公司当然属于这一类。
由于大量远程访问连接可以通过弱凭证或被盗凭证 (MITRE ATT&CK T1589.001) 或 VPN 漏洞 (T1588.005) 加以利用,因此能源行业组织的安全控制往往较弱。
事实上,Colonial Pipeline被 DarkSide 勒索软件团伙通过一个受损的 VPN 攻破,导致勒索软件支付 440 万美元,外加联邦监管机构提议的近 100 万美元罚款。
防止违规行为始于在您的安全运营中进行正确的检测,并且如报告中所述,组织应该使用 MITRE ATT&CK 来基于检测对手通常使用的针对其行业的 TTP 来构建威胁通知防御。
能源行业并不是网络犯罪分子攻击的新目标,该报告最终强调了这一点,它还显示了网络犯罪生态系统已经变得多么先进。
在犯罪即服务产品、出售受感染目标访问权的经纪人、僵尸网络、加密矿场和你拥有的东西之间,它们展示了我们对合法商业组织的多样性和成熟度。
拥有这些额外信息可能有助于组织了解他们可能面临的对手类型,但事实是任何人都可能成为目标。
最终,我们都应该采取的标准预防措施:最新的补丁、安全配置、受过教育的用户和其他措施,无论我们预计攻击来自哪里都适用。