据《朝日新闻》、NHK等日媒综合报道,当地时间7月4日6时30分左右,日本最大货物港口名古屋港因被黑客攻击,物流功能陷入瘫痪,病毒入侵系统导致5个集装箱码头装卸作业暂停,2万多个集装箱运输受到影响。
系统直至6日上午才修复,但因为运行并不稳定,装运工作直到6日下午才开始,等待的卡车堵了4公里以上。名古屋协会昨日发布紧急公告,已经报警并联系专业组织,并最终判断造成系统故障的原因是勒索软件LockBit 3.0攻击。
据悉,名古屋港是日本最大和最繁忙的贸易港口,贸易额约占日本总贸易额的10%。港口包括21个码头和290个泊位,每年处理超过200万个集装箱、1.65亿吨的货物。这次,系统感染的是“LockBit 3.0勒索病毒”,病毒直接攻击了码头的运营系统,导致部分数据消失,用数字技术统一管理的集装箱分拣和搬运被瘫痪。
据《朝日新闻》报道,名古屋海港运输协会原打算于5日能恢复正常,但系统直到6日早上才恢复,目前运行仍不稳定,原定于6日上午8时30分开始的装卸工作推迟到下午才开始进行,等待的卡车堵了4公里以上。
管理该系统的名古屋港运协会常务理事菊川幸信表示:“除了检查所有系统是否还有病毒外,还有几台受感染的服务器恢复过程需要很长时间,我们对给用户、船运公司、托运人等造成了极大的不便深感抱歉,但我们也是受害者,大约2万个以上的集装箱运输受到影响,我们对此次攻击非常愤怒。”
日本政府发言人6日在新闻发布会上说:“今天,网络攻击的风险正在增加,因此我们认为加强网络防御并提高日本基础设施建设非常重要”。日本内阁官房长官松野博一在6日早些时候的新闻发布会上表示:“我听说原因是因为系统感染了恶意程序,我们目前仍在收集信息,我不会对背后攻击的黑客身份进行预判,但我们将稳步推进提高防卫和其他能力的措施”。
LockBit 3.0是近年危害众多企业的勒索软件,其幕后黑客团队LockBit近日攻击了多家厂商。日前,台积电供应商擎昊科技被勒索7千万美金,也是LockBit 3.0所为。
LockBit 3.0,也称为LockBit Black,该勒索病毒攻击方式通常是通过电子邮件、恶意软件下载、远程桌面协议(RDP)攻击等方式进行,攻击者通常会利用社会工程学手段,欺骗受害者点击恶意链接或下载恶意附件,从而将勒索软件感染到受害者的计算机上。
LockBit 3.0的加密速度在一分钟内加密了大约25000个文件,是勒索软件团伙中加密速度最快的。一旦感染到计算机上,LockBit 3.0会扫描计算机上的文件,并使用先进的加密算法加密受害者的文件。加密完成后,勒索软件会在受害者的计算机上生成一个勒索信息,要求受害者支付赎金以获取解密密钥。勒索信息通常会包括如何支付赎金、支付方式、赎金金额等信息。
LockBit 3.0还具有自我保护功能,可以检测和逃避安全软件的检测。它可以检测和绕过安全软件的行为监测、文件扫描和进程监控等功能,从而使其可以成功地攻击受害者的计算机。是一种非常危险的勒索软件,可以对受害者的计算机和数据造成严重的破坏,严重影响企业运营。
六方云“XDR扩展检测与响应”理念解决LockBit 3.0对集装箱码头攻击
据不完全统计,全球60%以上的货物都是以集装箱方式进行运输,集装箱运输俨然已成为世界贸易运输的重要方式。与此同时,为进一步提高集装箱的运输效率、缩短集装箱中转时间、保障运输安全性,集装箱智能化概念应运而生。集装箱码头已实现无人化、智能化建设,码头运营管理操作系统(TOS)打通了互联网与设备控制系统的连接,对设备控制系统带来极大的网络安全风险。面对LockBit 3.0勒索病毒的来袭,六方云针对集装箱码头的特点,创新性的采用“XDR扩展检测与响应”的技术理念,打造集装箱自动化码头网络安全建设最佳实践。
(1) LockBit 3.0勒索软件一般通过社会工程学、电子邮件、恶意软件下载、远程桌面协议(RDP)攻击等方式进行攻击代码的投递,显然加强网络安全意识显得尤为重要。但是攻击行为防不胜防,所以做好边界隔离防护显得尤为重要,集装箱码头的远程控制中心使用TOS系统连接着互联网外部的海关与船东或货主司机,使得攻击者可以通过暴露在互联网中的可利用的远程服务、互联网可访问的设备等远程服务进入到码头生产设备控制系统,扰乱正常的生产装卸秩序。
(2) LockBit 3.0勒索软件一旦攻击到集装箱码头生产控制系统中,会通过Windows系统SMB漏洞和445端口进行横向移动;为了缩小攻击面,阻止勒索软件的横向移动到其他区域,造成更大财产损失,区域隔离措施要做彻底;远程控制中心操作员站通过监控软件对岸桥、堆场现场设备进行监控,岸桥桥吊、轨道吊之间未做区域隔离,一旦远程控制中心网络感染病毒或遭受网络攻击,容易导致远程控制中心系统瘫痪及桥吊、轨道吊无法正常运转。
(3) LockBit 3.0勒索软件的最终落脚点是生产操作的工控主机或者服务器上,虽然LockBit 3.0可以检测和逃避安全软件的检测,但是在勒索软件运行时和对目标文件进行加密时需要调用Windows系统的命令行窗口,对文件加密并对桌面文件进行文件名重命名;LockBit 3.0还会使用动态链接库解析.DLL模块并加载它们以执行,所以加强生产操作的工控主机或服务器的安全防护变得越发重要,由于勒索软件具有安全软件的检测逃逸,推荐采用基于白名单技术的安全防护手段。
(4) LockBit 3.0勒索软件在进行脚本执行时会与C&C服务器通讯并把已经获取的重要文件回传到C&C服务器,在这个过程中加强流量检测成为必要;由于勒索软件的变种越来越多,对于未知威胁的检测也要有相应的手段。
实现岸桥、轨道吊、远程控制中心操作员站边界进行细颗粒度的访问控制和安全防护;鉴于港口的自然环境问题,推荐部署可靠性更高的导轨式工业防火墙设备。通过丰富的特征库检测并阻断已知的勒索病毒;通过精细化的、指令级的访问控制进行管控,只有符合要求的会话才能通信,通过层层阻击的纵深防御体系,防止勒索病毒的快速扩散。
推荐部署工业审计与入侵检测系统,基于对工业协议深度解析与操作行为的安全审计,实时检测控制系统中的非法操作、异常数据传输、恶意文件传输等恶意行为和安全风险事件进行记录并实时报警。勒索软件在内网中进行扩散时能进行实时检测,并把攻击流量和攻击行为进行可视化,及时发现勒索病毒的扩散轨迹。同时工业审计与入侵检测系统也会把在不同节点中检测到的元数据上传到全流量威胁检测与回溯系统(NDR)进行分析。
聚焦于高级威胁和未知威胁检测两大痛点问题,实现威胁检测、资产发现、朔源取证、攻击场景还原、威胁处置及智能防御,推荐部署全流量威胁检测与回溯系统(NDR)帮助安全运维人员看见全部资产,看清全部行为、看到全部威胁、看懂全部攻击,提高已知、未知威胁攻击防御能力;对勒索病毒变种能够有效检测并进行分析。
部署集程序白名单、外设管控和通信管控立体化主机防护安全卫士,采用主机加固和基线核查对系统进行加固,一键关闭勒索病毒传播采用的端口(445),实现已知、未知病毒的防范。通过内存空间保护技术,能够检查无文件注入、远程进程注入、远程修改内存等.dll攻击注入方式,防止勒索病毒脚本无法运行。
通过文件保护、系统目录保护、注册表防护、强制文件读写访问控制等功能防止勒索软件对生产文件进行加密。同时主机安全卫士会采集系统运行数据进行全面采集并上送到全流量威胁检测与回溯系统(NDR),实现白名单策略优化,确保白名单策略的可信性,最终达到防御未知病毒攻击的效果。
部署统一管理平台,对所属的安全设备及工业主机安全防护软件进行统一配置管理,收集安全设备及软件日志进行集中分析展示。
通过智慧港口态势感知平台,实现安全监测预警、信息通报、应急处置手段,提高威胁信息的共享。通过人-机智能融合,全面提升智慧港口安全运营能力的自动化水平,提升威胁检测、风险评估、自动化响应等关键运营环节的处理效率,形成安全闭环。
以资产为中心,通过资产学习引擎能够识别资产的行为和攻击,实现资产、行为和攻击的一体化展示,从而实现资产从解析到解读,使运维人员能够轻松看懂勒索病毒攻击路径及攻击源,及时调整安全策略,并进行应急处置。
从点到面、从面到立体的实现威胁快速检测,有效降低长期折磨安全人员的大量警告噪音,使安全告警数量降低到100条/天,安全告警精准率达到90%以上,帮助安全管理人员快速发现安全事件,提高安全组件的能力,为威胁处置响应提供决策依据,使勒索病毒逃逸检测无处藏身。
以安全运营目标为导向,以人、流程、技术与数据的融合为基础,面向预防、检测、响应、预测、恢复等网络安全风险管控、攻防对抗的关键环节,构建数据驱动的、具有高自动化水平的可信任安全智能技术栈,实现安全智能范畴下的感知、认知、决策、行动能力,辅助甚至代替人在动态环境下完成各类安全运营服务,减少对安全技术专家的高度依赖。
