据报道,西门子能源公司德国慕尼黑和施耐德电气公司法国吕埃尔-马尔迈松这两家关键基础设施行业的工业控制系统(ICS)供应商已被网络犯罪团伙CL0P列为勒索软件受害者,但是否有针对性的攻击尚未得到证实。
该勒索软件团伙(也称为TA505)从2023年5月27日开始利用MOVEit Transfer(一款面向互联网的自动文件传输Web应用程序)中的漏洞,据报道该团伙已经列出了全球数百家公司的名单。据威胁网络安全情报平台FalconFeeds6月27日在推文中称,CL0P勒索软件组织在其暗网泄密网站中将西门子能源、施耐德电气和其他一批实体列为新的受害者。
西门子能源公司在一份声明称,它已了解这一预警,并将继续与政府合作伙伴和客户密切合作,以确定这些说法是否属实。“我们拥有一支世界一流的事件响应团队,我们还有一个ProductCERT组织,负责在发生漏洞或攻击事件时进行披露。”一位公司官员指出。
CL0P的阴险手段
CL0P因其使用特定的恶意软件感染MOVEit Transfer的Web应用程序的能力,然后使用该恶意软件从MOVEit Transfer底层数据库窃取数据,而受到美国联邦政府的审查。美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在6月7日发布的联合网络安全咨询(CSA)中建议采取行动和缓解措施,以防范先前未知的结构化查询语言(SQL)注入漏洞(CVE-2023-34362)。
CISA表示:“CL0P出现于2019年2月,由CryptoMix勒索软件变体演变而来,在大规模鱼叉式网络钓鱼活动中被用作勒索软件即服务(RaaS),这些活动使用经过验证和数字签名的二进制文件来绕过系统防御。”。
CISA建议采取的防止或减轻影响的步骤包括,统计实体资产和数据清单、仅授予特定的管理权限,以及激活防火墙和路由器等网络基础设施设备上的安全配置。
此外,美国国务院根据正义悬赏的任务,于6月16日悬赏高达1000万美元,奖励那些将CL0P勒索软件团伙或任何其他针对美国关键基础设施的恶意网络行为者与外国政府联系起来的线索。
西门子能源公司强调调查正在进行中 ----------------
西门子能源公司一位官员表示,该公司在工业网络安全方面投入巨资,已立即采取行动,调查小组正在努力核实此次攻击。与大多数行业实体一样,该公司将其官方立场传达给电力信息共享和分析中心(E-ISAC)、北美电力可靠性公司(NERC)的威胁情报共享网络。这位官员表示,西门子能源客户还通过其ProductCERT团队共享信息,该团队管理西门子能源产品、解决方案和服务中所有与安全相关的问题。
这位官员补充道:“随着这些事情的实时发展,我们描述发生了什么以及如何发生的能力将变得更加准确。”“我们正在对CL0P勒索软件组织的帖子进行初步调查和回应。”
这位官员指出,最初的48小时通常涉及“从内部和外部各方收集大量信息,以确保我们如实报告正在发生的情况”。他说:“很可能,在接下来的几天和几周内,更多信息将继续出现,而在幕后,我们将继续直接与我们的行业合作伙伴和客户合作。”
OT环境的勒索软件威胁
NERC在其新发布的《2023年可靠性状况》报告中强调了勒索软件对电力行业日益增长的威胁。2022年,虽然没有报告与网络攻击相关的客户或大型电力系统中断的报告,但指定的美国电力可靠性组织(ERO)表示收到了8份网络安全事件报告(CIP-008-6)或攻击尝试。
2022年,勒索软件并未影响大宗电力系统,但E-ISAC警告称,威胁继续针对关键基础设施。联邦实体正在特别关注针对信息技术(IT)和运营技术(OT)环境的勒索软件代码的开发。
NERC指出,勒索软件“继续影响行业和主要供应商”。“虽然经济利益往往是跨国勒索软件团伙的主要动机,但其中一些团伙也可能在俄罗斯等民族国家对手的默许支持下开展活动。”
与此同时,在2022年,联邦调查局收到了800多份来自关键基础设施运营商的勒索软件犯罪投诉。这包括15个来自能源部门的实体,如电力资产所有者和运营商。“顶级勒索软件变种包括LockBit、ALPHV/BlackCat和Hive。勒索软件团伙还针对值得信赖的第三方电力承包商,如工程公司、建筑服务和原始设备制造商。”
该实体表示,E-ISAC在通过全方位公告提高行业对这些事件的认识方面发挥了至关重要的作用。E-ISAC还特别与行业和政府专家合作,制定了“电力行业ICS’ShieldsUp’注意事项”,这是一份针对其成员的通知,旨在协助实体改进对OT恶意软件和勒索软件威胁的响应。此外,CISA最近启动了 #StopRansomware 活动,帮助各种规模的企业和基础设施运营商为此类攻击做好准备。