根据Searchlight Cyber的一份报告,能源行业越来越多地成为恶意行为者和威胁组织在暗网上开展攻击活动的目标,该报告详细介绍了威胁行为者出售全球能源企业初始访问权限的众多实例。
流行的暗网论坛(如Exploit、RaidForums和BreachForums)上出售的目标包括美国、加拿大、英国、法国、意大利和印度尼西亚的能源企业。
以能源行业目标
在暗网上观察到的针对能源行业的主要活动是“拍卖”,以获取能源公司的初始访问权限,这些活动通常在暗网论坛上进行,而Exploit.in是这些拍卖中最受欢迎的网站。
该报告指出,一些威胁行为者发布了针对不同企业的多次拍卖,表明他们是初始接入市场的专家。
威胁行为者经常使用术语“开始”、“步骤”和“突击”,表示初始访问的起始价格、出价增量和“立即购买”价格(突击)。
该研究还强调了威胁参与者讨论ICS系统和分享有关ICS/SCADA、PLC、RTU、HMI和工业系统其他组件的教程、论文和文档。
Ontinue安全运营副总裁Craig Jones称这份报告很有启发性,并表示他们揭示了针对石油和天然气行业的威胁格局发生了重大转变。
他说:“威胁行为者正在暗网上拍卖对企业网络的初始访问权,这一事实凸显了网络犯罪黑社会内部的复杂性和组织性。”
值得注意的是,这些拍卖不是本地化的;它们以世界上许多国家的企业为目标,突出了这一威胁的全球性。他补充说,带有“开始”、“步骤”和“突击”等术语的拍卖帖子的标准化表明了这个非法市场的成熟程度。
Jones说:“它还提供了一个窗口,让我们了解网络犯罪分子在针对企业发动攻击时所重视的信息类型,例如访问类型、国家/地区、行业和收入。”
他补充说,虽然此活动“无疑令人震惊的”,但重要的是要注意,这种可见性可以转化为安全专业人员的优势。
“通过监控这些暗网论坛,我们可以识别对我们企业的潜在威胁,并采取积极措施来保护网络。”他指出。
威胁建模的洞察力
此外,他说该报告的调查结果为威胁建模提供了宝贵的见解。
“即使某个企业与拍卖帖子中列出的受害者的确切信息不符,这种策略被用于对付其他能源公司这一事实也是至关重要的信息,”Jones说。“它可以为防御策略提供信息,帮助安全团队准备和减轻此类威胁。”
检测态势管理公司CardinalOps的网络防御战略副总裁Phil Neray指出,勒索软件威胁行为者正在追逐任何产生可观利润的行业,而能源公司当然属于这一类。
他补充说,由于大量远程访问连接可以通过弱凭证或被盗凭证(MITRE ATT&CK T1589.001)或VPN漏洞(T1588.005)加以利用,因此可以看出能源行业组织往往有较弱的安全防护能力。
“有一个案例,Colonial Pipeline被DarkSide勒索软件团伙通过一个受损的VPN攻破,导致勒索软件支付440万美元,外加联邦监管机构提议的近100万美元罚款。”他指出。
从他的角度来看,防止漏洞始于在您的SOC中进行正确的检测,并且如报告中所述,企业应该使用MITRE ATT&CK来建立一个基于检测对手针对其行业常用的TTP的威胁通知防御。
Vulcan Cyber的高级技术工程师Mike Parkin指出,能源行业并不是网络犯罪分子攻击的新目标,该报告最终强调了这一点——它还显示了网络犯罪生态系统已经变得多么先进。
他说:“在犯罪即服务产品之间,经纪人出售对被攻击目标的访问权,僵尸网络,加密矿场等等,他们显示了我们期待的合法商业组织的多样性和成熟度。”
他解释说,拥有这些额外信息可能有助于企业了解他们可能面临的对手类型,但事实是任何人都可能成为目标。
“最终,我们都应该采取的标准预防措施——最新的补丁、安全配置、受过教育的用户和其他措施——适用于我们预期攻击源自何处。”Parkin说。