Gartner公司工业系统网络安全分析师Katell Thielemann认为,以能源供应商及油气公司为代表的关键基础设施运营商,已经成为勒索软件团伙的主要攻击目标。犯罪分子显然很清楚,这类组织必须保证设备的正常运转以支持业务延续。她强调,“只要能够中断业务运营,受害者立刻就会受到致命打击。”
行业CERT紧急协调
KraftCERT目前正帮助Volue向各家客户发布关于攻击事件的信息。KraftCERT首席执行官Margrete Raaum表示,“在了解到Volue遭受攻击的那一刻起,我们就意识到必须尽快搞清影响范围、可能产生的后果并尽快向客户群体发布通报。”Raaum女士强调,目前的主要任务之一是防止恶意软件传播。在她看来,向其他电力及能源公司通报攻击事件细节,有望帮助同类企业避免不必要的业务中断、尽可能维持正常运营。Raaum女士还解释道,此次事件的处理难度应该低于之前备受瞩目的SolarWinds事件。她指的自然是去年广泛影响到美国乃至世界各地无数政府机构及企业客户的大规模攻击。她强调,SolarWinds攻击活动的目标在于渗透至该供应商的客户群体之内,而针对Volue的勒索软件攻击则只会影响这一位受害者。自2019年挪威铝业及能源公司Norsk Hydro遭受攻击入侵以来,指向工业企业的勒索软件攻击活动正变得愈发普遍。她提醒大家,“警钟已经响起,请务必引起重视。”Volue公司应对策略Volue公司首席执行官Trond Straume在5月5日上午从公司首席财务官Arnstein Kjesbu那里了解到这次攻击,他立即从挪威南部的家中飞往总部奥斯陆,随后赶往由内部员工管理的、位于挪威北部特隆赫姆市的行动指挥部。Straume先生回忆道,发现攻击后约30分钟,外部网络安全专家已经赶到并协助该公司恢复数据。Straume还会见了多家客户,解释了Volue公司在保护业务数据以及阻止恶意软件继续传播方面的应对措施。本周一,Starume开始与各客户组织讨论,并在Volue公司内部建立起相应流程,评估各家客户什么时候才能重新使用暂时被禁用的应用程序。公司发言人Johannes Holdø还提到,安全专家们分析了客户是否使用到由Volue托管的应用程序、选择了云服务还是本地设施,同时检查客户数据是否存在意外泄露或者被直接删除的风险。Holdø补充称,Volue公司目前还没有发现数据泄露的证据。就目前的情况看,他认为超过90%的客户属于安全或者基本安全的状态,不会受到相关风险的影响。Straume提到,“整个行业都面临着同样的风险。从这个角度来看,我们其实是与客户建立起了同仇敌忾的合作关系。”Straume还强调,他不会考虑支付赎金以解锁Volue数据。Holdø提供了更多细节,称攻击方确实提供了带有链接的勒索消息,但Volue公司的安全团队并没有点开这条链接。Raaum女士认为,Ryuk勒索软件是一种相当常见的勒索攻击工具,因此目前很难确定谁是Volue攻击事件的幕后黑手。而Straume此次奔赴特隆赫姆行动指挥部,也是他在新冠疫情影响下的远程办公阶段之后,第一次与其他员工在线下重聚。Straume表示,公司的管理人员一直在通过短信、电话以及微软Teams平台与员工保持沟通。但由于应用程序已被锁定,不少员工的正常工作都受到了影响。Straume表示,在从此次攻击中完成恢复之后,Volue公司将雇用专职黑客持续测试其业务系统。目前,Volue聘请的外部安全厂商也会组织渗透测试,但公司内部还没有全职黑客驻守。他总结道,“这次事件给了我们深刻的教训。我们会努力把自己的经验与体会分享给更多企业,让不幸变成对全行业有利的万幸。”