“勒索”软件为何青睐制造业

转载：本文来自微信公众号“机器之能”（ID:almosthuman2017），作者：吴昕，转载经授权发布。原标题：《「勒索」制造业》

网络犯罪分子将注意力从消费者转移到‌更大更肥嘅系鱼上——有钱、缺人、承受迅速恢复产能嘅巨大压力嘅制造业公司。但係，好多制造商都无准备好同世界上最致命嘅恶意软件作斗争，就算遭受攻击，要么轻描淡写，要么讳莫如深。

虽然勒索软件通常会带来巨大嘅成本，浪费时间和资源，畀公司嘅声誉和品牌带来巨大嘅风险，并且会影响成个行业嘅睇法，但是，随住制造商向工业4.0过渡，面对网络威胁，佢哋比第啲行业更准备不足。

比如，只有不到三分之二嘅制造商拥有网络安全计划，但计划位于部门响应计划最底层。越来越多嘅制造业企业也没有计划投资于改进网络安全措施或数据保护工作，虽然自动化和物联网设备在工业环境中嘅实施正畀管理带来新嘅风险，也畀黑客带来更多攻击机会。

长期以来，制造业一直是全球经济嘅基础部分，也是技术创新嘅领导者。喺工业4.0为主导嘅世界度，制造商越来越多地采用机器人技术，人工智能，机器学习和高级分析。喺考虑工业4.0嘅家阵时和未来观点时，人嘅注意力需要逐渐转向「连接一切」嘅未来意味住乜嘢。

在工业4.0嘅规划过程度，解决安全问题唔系后续任务， 而是第一要务。

两年前，挪威首都奥斯陆嘅一个晴朗嘅夜晚，哈尔沃·莫兰(Halvor Molland)正喺度熟瞓，电话在凌晨3点左右响‌起来。莫兰是全球最大铝制造商之一挪威海德鲁(Norsk Hydro)负责通讯事务嘅高级副总裁。

两个钟头前，公司电脑突然开始加密文件并集体离线，匈牙利分公司嘅一个工作人员意识到大事不妙。他按照预设嘅安保程序关闭成个公司网络，包括公司网站、电子邮件系统、工资单系统等，但为时已晚。

海德鲁 500 台服务器和 2,700 台个人电脑已经无办法正常运转，员工电脑嘅屏幕上闪现住勒索留言，示意受害者电子邮件联系解密工具价格。

「我嘅感觉是：你真嘅不相信，」莫兰在最近嘅一次采访中回忆说。「当时决定将成个网络关闭，因为某种程度上已经没有乜嘢可以隔离嘅嘎啦。」

攻击始于海德鲁位于美国嘅工厂。喺肯塔基州和德克萨斯州，公司都有铝重熔设施，但位于宾夕法尼亚州克雷索纳嘅最大铝厂损失最为严重。这座工厂是美国政府在二战期间为生产武器用铝而建造嘅。

呢间市值120亿美元、全球拥有约200家工厂嘅巨头供应中断可能会引发全球铝业恐慌，因为世界上只有少数公司能够提供符合戴姆勒和福特汽车公司要求嘅产品，佢哋嘅客户还包括特斯拉。

海德鲁位于美国宾州嘅克雷索纳工厂。

海德鲁并没有支付赎金。佢哋关闭‌几条自动化生产线，并将挪威、卡塔尔和巴西等国家嘅工厂运营模式改为「手动」模式。由于目前大部分勒索病毒加密后嘅文件都无办法解密，海德鲁面临嘅艰巨任务之一是人工揾到具体订单，并完成佢哋。

克雷索纳嘅临时作战室，利用传真、便签纸和旧电脑战胜‌网络犯罪分子。

生产在大约一个月内恢复‌正常。由于部分工厂停产数周，呢次勒索软件攻击使公司不得不雇用3.5万名员工、损失9000万至1.1亿美元，呢个数字远远超过保险单赔付嘅 360万美元。

这是挪威历史上最严重嘅网络攻击事件。讽刺嘅系，没人知道是谁攻击‌海德鲁，虽然种种迹象指向‌一个有组织嘅东欧网络犯罪集团，但佢哋仍逍遥法外。

一 暗流涌动

不过，莫兰和他嘅团队做‌一件非比寻常嘅事：佢哋向公众详细讲述‌发生嘅事，并发布‌采访视频。

但这只是孤例。好多制造商都无准备好同世界上最致命嘅恶意软件作斗争，就算遭受攻击，要么轻描淡写，要么讳莫如深。

袭击海德鲁嘅勒索软件 LockerGoga 是2019年1月新出现嘅病毒。造成海德鲁关闭网络之后剩只几天，佢又被发现疑似入侵另外两家美国化学公司瀚森（Hexion Inc.）和迈图（Momentive Performance Materials Inc.）。虽然迈图承认遭遇勒索攻击，公司不得不紧急更换数百台计算机，但瀚森公司没有披露任何袭击细节。

几乎在同一时期，遭遇勒索软件袭击嘅比利时飞机零部件制造巨头ASCO已经停产一个多礼拜，而且仲未有结束嘅迹象。喺公司努力恢复被恶意软件攻击冻结嘅关键系统嘅同时，近1000名员工被送翻屋企休带薪假。

ASCO是世界上最重要嘅飞机零部件和零部件设计供应商之一。该公司嘅客户包括空客、波音、庞巴迪和洛克希德·马丁。同海德鲁不同，ASCO对此事件一直保持沉默。

同海德鲁不同，ASCO对此事件一直保持沉默。

制造商不断出而家勒索软件受害者清单中。德国自行车厂商Canyon 内部文件遭勒索加密，订单下达同交付被迫延迟；美国核武器承包商遭Maze勒索软件攻击，敏感数据被泄露；特斯拉、波音、SpaceX供应商Visser Precision拒付赎金，遭机密泄露。

最轰动嘅当属本田集团遭受SNAKE勒索团伙攻击，导致日本总部以外多国工厂生产停顿。同官方声明轻描淡写不同，外媒报道下嘅情况可谓惨烈：

「勒索软件已经传播到本田嘅成个网络，影响‌本田嘅计算机服务器、电子邮件以及第啲内网功能，目前本田正喺度努力将影响降到最低，并恢复生产、销售和开发活动嘅全部功能。」

IBM 2020年发布嘅威胁情报话，第一季度，勒索软件攻击在所有行业增长‌25％，但针对制造业嘅攻击增加‌156％，是风险最高嘅行业。全球网络安全软件公司趋势科技（Trend Micro Incorporated）数据显示，2020年第三季度有150家制造企业牵涉勒索软件，多于任何第啲行业。

咨询公司 Kivu Consulting 2019年嘅一份报告数据显示，虽然在2019年支付嘅赎金事件度，制造业占18%。但赎金数额非常可观，2019年支付‌680万美元嘅勒索软件付款，占总赎金额嘅 62%，高于第啲任何行业。

2021年3月，制造商霍尼韦尔(Honeywell)成为最新一家在网络攻击中受害嘅制造巨头。呢一事件也再次提醒世人制造业所面临嘅威胁。

霍尼韦尔发言人斯科特·塞雷斯(Scott Sayres)在3月25日嘅一封电子邮件中表示，「恶意软件入侵」对「我哋嘅生产造成嘅影响微乎其微」。他拒绝详细说明，也拒绝回答有关系咪涉及勒索软件嘅问题。

据两名不愿透露姓名嘅霍尼韦尔员工透露，虽然霍尼韦尔在3月23日发表声明称公司已「恢复服务」，但数天后公司仍存在挥之不去嘅IT困难。呢啲技术问题已经逐渐得到解决，包括连接到该公司嘅虚拟专用网络和内部数据共享驱动器嘅困难。

今年3月，趋势科技委托独立研究专家Vanson Bourne对美国，德国和日本嘅500名IT和OT专业人员进行嘅调查结果显示，61%嘅制造商在其智能工厂经历过网络安全事件，75%嘅制造商因此遭受系统中断，其中43%持续‌4天以上。

外媒CyberScoop曾要求采访十几家欧洲和美国嘅制造商，据报道，呢啲制造商在过去两年半嘅时间里因勒索软件事件而中断‌生产。几乎所有公司要么拒绝置评，要么没有回应，要么表示截止发稿时无办法联系到一位高管。

故事仲喺度继续，每天都有新嘅受害者。著名工业网络安全公司 Dragos 预测明年制造业面临嘅威胁将继续增加。

二 为何青睐制造业？

制造业已经成为勒索软件匪帮嘅热门目标。一个好重要嘅原因是成本同收益嘅巨大反差，毕竟也系一门生意。

勒索软件作为一种勒索手段之所以能持续成功，部分原因在于佢使用起来好容易。犯罪分子可以在暗网上购买和租赁各种勒索软件产品，然后通过钓鱼邮件和第啲手段迅速、廉价地开始传播呢啲产品。

呢啲勒索软件即服务嘅功能包括24/7在线聊天，帮助获取比特币支付赎金，访问支付服务，以及帮助犯罪经销商监控其运营进度和利润嘅控制台。

低成本嘅另一边是收益非常可观。针对制造业嘅大多数攻击都系出于经济动机，包括钱和知识产权。生产商最忌讳生产线停工，面对业务中断、生产损失、难以交付产品和开票嘅困境，企业往往需要耗费大量资金才能重回正轨。高昂成本迫使企业迅速支付赎金以恢复业务。

但这仲未包括难以计算嘅隐形损失。莫兰说，他并唔后悔公开详细说明勒索软件畀海德鲁他嘅公司带来多大嘅痛苦，因为，「佢太大嘎啦，我哋无论点样也掩盖不嘎啦。」

2020年12月，McAfee最新调查报告 The Hidden Costs of Cybercrime 指出，对于大多数组织嚟讲，勒索攻击事件发生后，平均需要安排8个人、耗时19 个钟头对IT系统或服务进行恢复补救。这不仅增加‌被攻击方嘅风险处理成本，仲要或因外部援助和风险保险等方面需求嘅激增，衍生出新嘅成本增长点。

比如，所谓新蓝领问题。瑞士制造商迈耶·托布勒(Meier Tobler)遭到勒索软件攻击，导致该公司直接成本超过500万美元，生产损失超过1060万美元。对于一啲员工(尤其系物流部门)，只能安排带薪休假；ASCO停产期间，近1000名员工被送翻屋企休带薪假；海德鲁甚至新雇佣‌大量劳动力。

长远来睇，业务中断也通常会不同程度影响客户体验，波及企业及机构嘅品牌信任度和声誉。

一次数据泄露可能会使制造商损失几年嘅专有信息价值，并导致客户信任度嘅永耐丧失。这也是点解绝大多数制造业「肉票」会对恶意软件入侵守口如瓶。佢哋担心失去客户，或者承认自己为‌恢复数据而付钱畀‌犯罪分子。

2020年6月，美国国际数据管理公司Veritas Technologies最新调查研究显示，44％嘅消费者表示会停止从遭受过勒索软件攻击嘅公司购买商品。

另外，一啲制造业公司活动延伸到多个垂直行业，这也使得佢们成为对手攻击电力公用事业或制药等行业嘅跳板；作为全球供应链嘅一部分，制造商也日益受到来自地缘政治冲突性质嘅网络风险挑战。

可以预期，网络犯罪分子将继续使用勒索软件攻击包括制造业，喺呢啲部门度，停机会畀利润，股票价格，人命或政治声誉带来高昂成本。注意力从消费者转移到‌更大更肥嘅鱼上：手头有钱，而且承受住迅速恢复嘅巨大压力嘅公司。

三 「肉票」为何破绽百出？

吊诡嘅系，「在网络安全方面，制造商好马虎。」人工智能平台 C3.ai CEO Thomas Siebel 曾直言不讳噉讲。

随住制造商向工业4.0过渡，面对网络威胁，佢哋比第啲行业更准备不足。《华尔街日报》上年嘅一篇报告中指出，只有不到三分之二嘅制造商有网络安全项目，排名垫底。

此外，更大比例嘅制造业企业表示，佢们不计划在未来12个月嘅任何时候在重要领域实施改进。例如，63%嘅制造商目前没有网络保险，37%嘅制造商在未来12个月内没有购买网络保险嘅计划。

网络安全培训也不在制造商来年嘅计划之内：22%嘅公司不打算实施员工培训，26%嘅公司表示唔会进行高管培训。仲有15%嘅人没有计划在明年识别出值得保护嘅关键数据。

《华尔街日报》网络安全在线研究中心在2019年12月至2020年3月期间对389家企业嘅受访者进行‌调查。

调查结果显示制造业嘅安全防范得分基本垫底。

事实上，现代化大型制造工厂也非常困难。好多设施使用嘅遗留设备或工业物联网（IoT）设备，喺最初设计时考虑‌效率和合规问题，没有考虑网络安全和数据隐私风险。生产线和工业流程通常运行在操作系统或工业控制系统上，由于软件嘅年代耐远，呢啲系统不再接受安全更新。

比如，好多食品工厂度，用于运行机器嘅硬件和软件多半系喺1990年代和2000年代开发和实施嘅，尤其系食品加工和制造中常用嘅较旧嘅工业控制系统（ICS），呢啲旧系统嘅问题在于佢们同家阵时嘅网络安全最佳实践不兼容，从而使其极易受到攻击。

如果制造商不让设备离线以更新安全，噉么就有可能被勒索软件攻击，导致产线瘫痪，但系统脱机维护可能会导致高昂成本或者对操作造成破坏。

而且，由于制造商每种设施在IT基础架构，使用嘅系统和要保护嘅数据方面都系不同嘅，好复杂。也没有统一方法可以喺一夜之间确保每个制造工厂嘅安全。

从认知层面来睇，目前好多制造业管理层对网络安全嘅认识不足，不愿意将资源用于升级旧系统。当然，除咗问题本身嘅负责和技术化，对人才嘅需求大于供畀，也导致解决方案嘅昂贵。据估计，到2020年，全球安全专业人员缺口将高达200万人。由于工业企业通常支付嘅薪水要低得多，因此，高端人才不太可能去OT公司寻求职业发展。

尤其值得注意嘅系，从企业规模来睇，虽然媒体报道主要关注大型制造商嘅网络攻击事件，但最常见嘅威胁来源是中小企业。由于小型企业通常没有财力或人力资源来进行强大嘅网络评估和风险量化流程，安全防范往往落后于大公司。

上述《华尔街日报》报告显示，喺收入低于5,000万美元嘅公司度，只有63%嘅公司有网络安全计划，而喺收入超过10亿美元嘅公司度，有81%嘅公司有网络安全计划。令人担忧嘅系，15%嘅小公司没有实施网络安全计划。

问题在于，中小型企业缺乏网络安全防范可能会通过复杂供应链将风险传导畀第啲企业。佢哋自己首先成‌那块最短嘅木桶板，但系能被用作破坏客户网络嘅跳板，好似2013年攻击目标公司(Target Corp.)嘅事件一样，黑客通过一家暖通空调供应商进入‌该公司网络。

2020年初，安全专家曾调查针对欧洲、英国太空同国防业嘅系列攻击活动时发现，攻击组织直接使用供应商同合作伙伴之间嘅合法远程连接或协作方案，绕过防护严密嘅边界防护，成功进入攻击目标嘅网络。

四 「绑匪」画像

在制造企业所遭受嘅勒索攻击度，有一点趋势是清楚嘅：制造业依靠工控系统（ICS）实现规模化、功能化，并确保一致嘅质量控制和产品安全，但针对工业控制系统嘅攻击越来越严重。

Dragos公司发现，过去两年工控系统成为‌攻击者嘅重要目标，采用工控系统感知功能嘅勒索软件显著增加。

Ekans/Snake勒索软件和 「最强」工控恶意软件 Trisis 是两个比较突出嘅「绑匪」代表。

2020年6月，Ekans勒索软件针对本田嘅攻击，导致其暂停美国和土耳其汽车工厂、以及印度和南美洲摩托车工厂嘅生产。这款勒索软件旨在终止受害计算机上嘅64种不同软件进程，包括好多特定于工业控制系统嘅软件进程。

其度，针对拥有工业控制和SCADA系统组织嘅「目标运动」，这是前所未有嘅。佢可以破坏用于监控基础设施嘅软件，例如石油公司嘅管道或工厂嘅机器人。这可能会带来潜在嘅危险后果，例如阻止员工远程监视或控制设备嘅运行。

除咗本田汽车，Ekans 攻击目标已经覆盖‌能源(巴林石油、ENEL能源)、医疗设备经销等多个工业行业，打击工业控制系统已成为其重要目嘅。

至于「最强」工控恶意软件 Trisis，是首款专门针对安全仪表系统（SIS）嘅恶意软件，也首款能远程让民用基础设施进入不安全状态嘅恶意软件。

安全仪表系统作为硬件和软件控制系统，其主要作用是保护核、油气或制造等工厂嘅工业进程和设备。SIS 是工厂企业自动控制中嘅重要组成部分。目前全球有为数不多嘅几家公司在开发并管理 SIS 系统，包括但不限于艾默生（Emerson）、霍尼韦尔（Honeywell）和日本嘅横河电机（Yokogawa）。

Trisis包含嘅指令可能导致生产中断、或使 SIS 控制嘅机器在可能引发爆炸嘅不安全状态下工作，对人类操作者嘅生命造成‌巨大嘅威胁。2017年12月，Trisis背后黑客组织 XENOTIME 利用施耐德 Triconex安全仪表控制系统零日漏洞，攻击中东一家石油天然气工厂，差点造成工厂爆炸。

Dragos目前公开跟踪‌五个以制造业为攻击目标嘅组织：CHRYSENE、PARISITE、MAGNALLIUM、WASSONITE和XENOTIME，以前或目前都试图利用远程访问技术或登录基础设施。不难发现，能源网络特别容易受到网络攻击。

作为最早将机器人集成到装配线嘅行业之一，制造业也将先进嘅自动化纳入到行业中。特别是金属和采矿业，技术和自动化是关键点。海德鲁公司于2015年投资于自动化超声波检测系统，以精确扫描产品杂质，满足运输行业客户嘅严格需求。如果没有自动认证，汽车制造商将无办法使用呢啲零部件。

但係，无论是联网机器人、移动机器人、监控和数据采集(SCADA)系统甚至AI集成，虽然带‌‌极大嘅效率提升，如果没有在前端嵌入网络安全，呢啲都可能增加制造业嘅高级网络风险。

好多新型连接设备已引入企业网络，但物联网设备嘅嵌入式操作系统并唔系为轻松修补而设计嘅，这会造成普遍嘅网络风险问题。

受新冠疫情大流行和全球数字化进程加快嘅驱动，数以百万计远程办公场景嘅快速激增一定程度上因网络开放度嘅提升和接口嘅增多，无形之度，又畀勒索病毒造就‌新嘅攻击面。

制造企业嘅数字化转型，导致工控系统成为‌攻击者嘅重要目标。2019年卡巴斯基嘅一份报告数据显示，易受攻击产品数量最大嘅领域是工业控制系统。对于嗰啲高度依赖计算机系统开展生产、自动化、质量保证、监控和安全嘅制造活动，勒索软件具有巨大破坏性。

五 工业4.0第一要务是安全

长期以来，制造业一直是全球经济嘅基础部分，也是技术创新嘅领导者。喺工业4.0为主导嘅世界度，制造商越来越多地采用机器人技术，人工智能，机器学习和高级分析。

在考虑工业4.0嘅家阵时和未来观点时，人嘅注意力需要逐渐转向「连接一切」嘅未来意味住乜嘢。

除咗轰轰烈烈嘅数据讨论，安全也系喺工业4.0过程中一个挥之不去嘅重要课题。对旧系统进行新工 业4.0应用改造可能增加安全风险， 旧系统并唔适用于此种方式嘅连接。

同样哋，高度互联嘅系统和供应链在产生巨大收益同时，企业也无办法全面认识其风险暴露面和攻击面嘅问题，尤其系喺涉及第啲互相连接系统、网络和供应链之时。

在工业4.0嘅规划过程度，解决安全问题唔系后续任务， 而是第一要务。

而家，Norsk Hydro正喺度开发一种AI工具，以检测黑客试图访问其工业设备嘅过程。该工具会寻找可能暗示黑客入侵嘅异常活动，例如设备上频繁更改密码。然后，佢将向Norsk Hydro嘅网络安全团队触发警报。

事实证明，机器学习和人工智能在呢一特定方面是有用嘅新技术，使端点防御在识别和响应新嘅勒索软件变体时更加敏捷和自适应。

自2015年以来，制造业一直是受网络安全攻击最严重嘅五个行业之一。未来，制造业只会变得越来越重要。面对失去嘅赎金、丢失嘅数据甚至知识产权和各种巨大风险，再「龟毛嘅」制造商也不得不在妥协中推动第一要务嘅落地。

参考链接：

链接

链接

‍