根据Forescout公司下属的Vedere Labs的研究,进入2022年,过去几年最大的两个威胁正在趋同:勒索软件攻击和物联网攻击。这种新的融合威胁被称为R4IoT。R4IoT是一种新型恶意软件,它在IT网络上将IoT入口点和与勒索软件相关的横向移动和加密结合在一起,从而对IT和OT网络造成广泛影响。R4IoT的最终目标是利用暴露和易受攻击的物联网设备(例如IP摄像头)获得初步立足点,然后在 IT 网络中部署勒索软件,并利用糟糕的运营安全实践来控制关键任务流程。很明显,勒索软件是一种威胁。根据身份盗窃资源中心的数据,勒索软件攻击在2020年和2021 年翻了一番。2016年,Mirai僵尸网络入侵了超过145,000台物联网设备,发起了前所未有的1Tbps分布式拒绝服务(DDoS) 攻击。
在过去几年中,勒索软件攻击变得更加复杂,将数据泄露与加密相结合,以最大限度地提高其收益。复杂的勒索软件系列像公司一样运作。勒索软件即服务-RaaS,已将这些攻击商品化,因此勒索软件团伙可以针对任何组织。同时,数字化转型趋势一直在推动物联网设备的快速采用以及IT和OT网络的融合。
IT/OT融合在某种程度上也代表了一个严重的漏洞,因为勒索软件和物联网攻击也融合在一起。R4IoT展示了“物联网勒索软件”的概念验证。如果物联网设备遭到入侵,攻击者可能会转向IT或OT设备,这可能会影响物理系统。易受攻击的物联网设备(例如IP 摄像机)可被用作初始接入点,正是IT/OT融合促成了这种横向移动。
R4IoT演示了这些攻击如何泄露数据并在IT环境中部署加密软件。对OT环境的攻击针对广泛存在的TCP/IP堆栈漏洞,因此它们不需要特定的操作系统或设备类型,也不需要修改这些设备上的固件。
自R4IoT诞生以来,已经发生了几起事件表明威胁行为者利用物联网设备进行初始访问。例如,研究人员发现了DeadBolt的多种勒索方法,该勒索软件针对暴露在互联网上的QNAP和Asusto 网络附加存储 (NAS) 设备,并为受害者和供应商本身提供赎金支付选项。发现其他勒索软件组利用VoIP设备中的0-day远程代码执行漏洞。最后,发现复杂的远程访问木马ZuoRAT最初以路由器为目标,然后枚举并横向移动到受害者网络中的工作站。
如何控制R4IoT?有多种方法可以减轻勒索软件对物联网的影响,以最大限度地降低这种威胁的风险。例如,以下是基于NIST网络安全框架的三个缓解步骤,可应用于勒索软件攻击:
●识别和保护– 勒索软件家族往往非常活跃,同时发生大量攻击。例如,Conti在 2021年发起了400多次攻击。分析如此大量的攻击可以揭示哪些漏洞正在被利用,以便可以修复或缓解它们。
●检测——勒索软件威胁行为者使用的大多数战术、技术和程序 (TTP) 都是众所周知的,并且可以在网络上检测到。例如,Cobalt Strike和恶意PowerShell脚本等工具是这些攻击的最爱。
●响应与恢复– 根据FireEye的说法,勒索软件攻击的平均停留时间为五天。尽管勒索软件攻击非常有效,但它们并不是完全自动化的,这通常会在数据加密之前为事件响应和恢复留出时间。
以下是缓解R4IoT的一些其他实用和基本步骤:
●创建设备清单– 发现您的连接设备,并根据公司网络安全策略对其进行分类和评估。
●网络监控和威胁搜寻——获得资产和通信清单的可见性,以监控威胁和漏洞指标。
●网络分段– 应用上下文感知分段策略以最小化初始访问的爆炸半径。
●自动执行策略– 跨解决方案集成以实现风险的自动缓解。
结论很明确:随着物联网设备经常成为网络犯罪分子的目标,组织的攻击面正在增加。因此,除了上述传统的网络卫生实践之外,缓解措施应根据显示当前目标设备类型的最新威胁情报优先考虑这种增加的攻击面。一个好的开始方法是关注您的IP摄像头和 NAS,即R4IoT概念验证中使用的确切设备类型,现在正被威胁者利用。
原文链接
https://securityboulevard.com/2022/09/when-ransomware-meets-iot-whats-next/
来源:网空闲话
在线咨询
在线咨询
0371-63319761