说到勒索软件攻击,很多人都觉得那是IT安全团队的事,跟业务部门和普通员工关系不大。但你要是仔细看看这几年全球范围内受勒索攻击影响最严重的企业,你会发现没有一家是"只影响了IT"的。今天要说的普利司通,就是全球轮胎行业的龙头企业,2023年被LockBit勒索软件攻击的案子,可以说是一个教科书级别的案例。
普利司通轮胎是日本的跨国企业,在全球有超过一百家工厂,年销售额超过三万亿日元,是美国这个全球轮胎消费市场的一线供应商。2023年2月底,普利司通位于美国田纳西州的北美总部遭遇了LockBit勒索软件攻击。LockBit是当时全球范围内最活跃的勒索软件即服务家族之一。
攻击最开始是怎么发生的?根据事后第三方安全公司的调查,攻击入口大概率是通过一封钓鱼邮件。普利司通北美总部一名财务部门的员工收到了一个伪装成客户付款通知的邮件,附件里携带了一个包含LockBit加载器的恶意文档。这名员工打开附件后,恶意代码在后台执行,通过本地的网络共享路径横向扩散到了公司内部的多个系统。
LockBit在这个阶段的行动速度是很快的。它加密了普利司通北美总部的文件服务器、域控制器、SQL数据库服务器和文件共享系统。被加密的数据包括了哪些?生产调度数据、客户订单信息、采购合同、供应链管理系统的数据库、财务系统的备份文件,以及包含大量北美地区经销商信息的CRM系统数据。
攻击发生之后,普利司通北美总部的办公室网络几乎完全瘫痪。员工无法访问共享驱动器,无法打开邮件,无法登录生产管理系统。更严重的是,工厂那边的生产管理系统也受到了影响——虽然普利司通的生产车间控制系统和IT网络是做了网断隔离的,但生产排程的数据库恰好被放在IT侧,导致工厂在攻防期间无法获得新的生产排程指令,部分产线不得不临时停产。
LockBit团伙在加密数据之后向普利司通开出了约合八百万美元的赎金,同时威胁说如果不支付赎金,就会把窃取到的数据放在暗网泄露站点上公开。2023年3月,LockBit确实在暗网上发布了第一批普利司通的数据,包括员工个人信息和客户信息。
来拆一下这个案例的泄密链。第一步,钓鱼邮件绕过终端防护。虽然普利司通部署了企业级邮件网关和杀毒软件,但鱼叉式钓鱼邮件的定制化程度越来越精细,传统的签名库检测已经很难防御。第二步,初始访问后的东西向横向移动。恶意软件通过域信任关系和共享文件夹权限从一台端点扩散到了整个内网。第三步,数据加密和窃取并行的双重勒索模式。LockBit不仅加密了数据,还在加密之前批量上传了敏感数据到其C2服务器。第四步,数据泄露的实际后果:员工隐私暴露、客户数据外泄、供应链关系暴露、生产中断导致直接经济损失。
这个案例给所有企业的警示是什么?一个看起来很简单的问题——钓鱼邮件,依然是从外部攻入内部的主要途径。全球几乎所有大型企业都在做员工的网络安全意识培训,但真正能百分之百防住钓鱼攻击的企业几乎不存在。因为邮件攻防是一场猫鼠游戏,攻击者永远在设计和迭代新的手法。
对于制造型企业特别是拥有大量生产和供应链数据的企业来说,有几个防护原则值得记住。第一条,IT网络和OT网络的隔离必须是物理级别的,不能只是策略级隔离。第二条,域控制和文件服务器的备份必须有离线的冷备份,不能和在线网络在同一个逻辑域里。第三条,客户订单数据和供应链数据的加密保护要加强——不是只有财务数据才值得保护,客户名单和订单明细在暗网黑市上的交易价格很高。第四条,应急响应预案要提前演练,不要让员工在勒索事件发生时不知道找谁、不知道拔网线、不知道要不要报警。普利司通用了一个巨大的案例告诉全世界的制造业企业:生产安全不光靠机器,也靠你负责的那封邮件。
