在工業環境下打補丁很難，更難的是勒索軟件導致生產流程關停。

　　卡巴斯基實驗室的一位研究人員在周三表示，勒索軟件團伙利用一種較新的勒索病毒“變種”，成功加密了某歐洲制造商的工業流程控制服務器，最終導致兩處生產工廠被迫關停。

　　這款新型勒索軟件被命名為Cring，今年1月開始活躍。它利用Fortinet VPN中存在的幾個長期未修補漏洞（官方已發布補丁）發動攻擊，其中的目錄遍歷漏洞（CVE-2018-13379）允許未經身份驗證的攻擊者獲取會話文件中的VPN用戶名與明文密碼。

　　借助這一登陸點，攻擊者可以進一步偵察情況，使用定制版Mimikatz提取服務器內存中的域管理員憑證，最終利用Cobalt Strike框架安裝了Cring勒索軟件。為了掩蓋行跡，勒索團伙還將Cring安裝文件偽裝成了來自卡巴斯基實驗室或其他供應商的安全軟件。

　　安裝完成后，該勒索軟件會鎖定由256位AES密鑰加密的數據，而后使用硬編碼形式的RSA-8192公鑰對該密鑰進行加密。根據留下的勒索說明，攻擊方要求受害者支付兩個比特幣，以換取解鎖數據的AES密鑰。

　　損失不大

　　根據卡巴斯基實驗室ICS CERT小組成員Vyacheslav Kopeytsev的介紹，這家德國制造企業遭遇Cring感染的情況發生在今年第一季度。感染傳播到了該制造商生產線的配套數據庫服務器，結果導致這家制造商設在意大利的兩處工廠暫時關閉。從記錄來看，兩處工廠停運了兩天左右。

　　Kopeytsev在博文中寫道，“從攻擊事件的種種細節來看，攻擊方已經認真分析了受攻擊組織的基礎設施，并根據偵察階段收集的情報適當調整了自己的基礎設施與工具組合。而對攻擊活動的進一步分析、特別是對被攻擊網絡進行取證之后，我們發現攻擊者的加密目標有著極強的針對性，專門選擇了那些會對企業運營造成嚴重影響的服務器。”

　　最終，響應小組通過備份還原了大部分加密數據，但仍有部分數據徹底丟失。受害者沒有支付任何贖金，也沒有發布任何具體損失或感染狀況報告。

　　早有建議，但未得到重視

　　2019年，研究人員們觀察到黑客團伙開始積極利用FortiGate VPN中曝出的安全漏洞。當時約有48萬臺FortiGate VPN設備接入公共互聯網。上周，聯邦調查局及網絡安全與基礎設施安全局發表聲明稱，作為FortiGate VPN中最嚴重的漏洞之一，CVE-2018-13379已經引起黑客組織的關注、很可能被用于發動后續攻擊。

　　Fortinet公司在去年11月時表示，他們檢測到“大量”仍未修復CVE-2018-13379漏洞的VPN設備。通報還提到，公司研究人員發現，有地下犯罪論壇正公開出售這些漏洞設備的IP地址，也有人正在互聯網上大范圍掃描這些未安裝修復補丁的系統。

　　Kopevtsev強調，除了未能及時安裝補丁之外，這家德國制造商還犯下另外兩個嚴重錯誤：未能及時更新所安裝的反病毒軟件，也沒有將敏感系統的訪問權限限定在公司員工范圍。

　　過去也發生過其他針對制造業的攻擊活動，在遭遇WannaCry勒索軟件與另一未知惡意軟件的兩輪沖擊后，本田公司先后在2019年與2020年兩度叫停生產運營。挪威鋁材料生產巨頭Norsk Hydro也曾在2019年遭遇勒索軟件攻擊，這次攻擊導致其全球業務網絡被迫關停、工廠癱瘓，好在IT部門第一時間介入并很快恢復了正常運營。

　　在工業環境中修復及重新配置設備是出了名的困難，這是因為大部分此類設備必須持續運行才能保證制造流程的順利運轉。由安全更新與測試、或者網絡變更引發的生產線關停，往往會給企業帶來沉重的成本支出。但如果不及時行動，勒索軟件團伙很可能搶先出手，迫使生產流程陷入癱瘓。面對這個兩害相權取其輕的命題，企業必須做出艱難的選擇。