本週三,卡巴斯基實驗室的一名研究人員透露,一種相對較新的勒索軟體變體,攻擊了一家歐洲製造商,導致其兩個工廠停工,該勒索軟體變體對伺服器進行加密以控制該製造商的工業流程。
攻擊者利用了一個披露已久的VPN漏洞。
勒索軟體Cring在1月份的部落格文章中引起了公眾的關注。它透過利用Fortinet出售的VPN中長期存在的一個目錄遍歷漏洞(CVE-2018-13379)來控制網路。該漏洞允許未經身份驗證的攻擊者獲取包含VPN使用者名稱和純文字密碼的會話檔案。
事實上,早在2019年,安全研究人員就觀察到駭客開始積極嘗試利用FortiGate VPN漏洞。當時大約有48萬個受該漏洞影響的裝置連線到網際網路。上週,美國聯邦調查局和網路安全與基礎設施安全機構表示,CVE-2018-13379是可被主動利用實施未來攻擊的幾個FortiGate VPN漏洞之一。
Fortinet在去年11月表示,已檢測到仍未修復CVE-2018-13379漏洞的大量VPN裝置。該通報還說,公司官員知曉有報道稱這些系統的IP地址正在地下犯罪論壇上出售,同時不法分子還在網際網路上主動掃描搜尋未打補丁的系統。
除了未能安裝更新之外,這家遭遇勒索軟體攻擊的德國製造商還忽略了安裝防病毒更新,以及未能將訪問敏感系統的許可權限制為特定僱員。
這不是大型製造企業的生產第一次被惡意軟體破壞。在遭受WannaCry勒索軟體和未知惡意軟體感染後,本田公司在2019年和去年兩次停產。挪威的Norsk Hydro是世界上最大的鋁生產商之一,它在2019年受到勒索軟體攻擊,導致全球網路關閉,工廠停工。
在工業環境中對裝置進行修補和重新配置可能會特別昂貴且困難,因為其中許多裝置停機損失巨大。而關閉組裝線以安裝和測試安全更新,或對網路進行安全加固更改也可能會帶來損失。當然,讓勒索軟體來關閉工廠是更可怕的後果。
