ЛогикЛоккер

LogicLocker — это вирус -вымогатель разных производителей , нацеленный на программируемые логические контроллеры (ПЛК), используемые в промышленных системах управления (ICS). ^[1] Впервые описано в исследовательской работе, опубликованной Технологическим институтом Джорджии. ^[2]^[1] вредоносная программа способна захватывать несколько ПЛК различных популярных производителей. Исследователи, используя модель водоочистной станции, смогли продемонстрировать способность отображать ложные показания, закрывать клапаны и изменять выброс хлора до ядовитого уровня с помощью Schneider Modicon M241, Schneider Modicon M221 и ПЛК Allen Bradley MicroLogix 1400. Программа-вымогатель предназначена для обхода слабых механизмов аутентификации, обнаруженных в различных ПЛК, и блокировки законных пользователей, одновременно закладывая логическую бомбу в ПЛК. По состоянию на 14 февраля 2017 года отмечается, что существует более 1400 таких же ПЛК, использованных в проверке концепции, которые были доступны из Интернета, как было обнаружено с помощью Shodan . ^[3]^[4]^[5]^[2]

Метод атаки

Метод атаки, используемый с LogicLocker, состоит из пяти этапов. Первоначальное заражение, горизонтальное и вертикальное перемещение, блокировка, шифрование и согласование. Первоначальное заражение может происходить с помощью различных уязвимостей. Поскольку устройства ICS обычно находятся в постоянном состоянии, это дает киберпреступникам достаточно времени для попытки взлома ПЛК. ПЛК обычно не имеют надежных механизмов аутентификации, помогающих защититься от потенциальных атак. ^[1] Первоначальное заражение могло произойти, если пользователь щелкнул потенциально вредоносное вложение электронной почты. ^[1]^[2] При первичном заражении ПЛК возможно горизонтальное или вертикальное перемещение из ПЛК в корпоративную сеть в зависимости от возможностей ПЛК. Следующим этапом атаки является блокировка, при которой злоумышленник блокирует законных пользователей, чтобы заблокировать или предотвратить попытки восстановления. Это можно сделать путем изменения пароля, блокировки OEM, чрезмерного использования ресурсов ПЛК или изменения IP/портов. Эти различные методы блокировки предлагают разную степень успеха и сильные стороны. Для дальнейшего обеспечения успешной атаки используется шифрование, позволяющее следовать традиционным методам работы с криптовымогателями для будущих переговоров. В последнюю очередь между злоумышленником и жертвой проводятся переговоры о восстановлении сервиса. Некоторые ПЛК имеют функцию электронной почты, которую можно использовать для отправки сообщения о выкупе, как это было в случае с ПЛК MicroLogix 1400, использованным в атаке для проверки концепции. ^[1]^[4]

Стратегии защиты

Чтобы помочь в защите и снижении уязвимости, можно использовать несколько стратегий.

Безопасность конечных точек

методы обеспечения безопасности конечных точек , такие как смена паролей, отключение неиспользуемых портов и протоколов и внедрение списков контроля доступа Следует использовать (ACL), поддержание надлежащего резервного копирования и обновлений встроенного ПО. Это может существенно сократить поверхность атаки киберпреступников. ^[1]

Сетевая безопасность

Для обнаружения отклонений следует использовать усиленный и бдительный мониторинг сети. Белый список протоколов на межсетевых экранах, сегментация сети и автоматическое резервное копирование могут обеспечить дополнительную безопасность и сократить время восстановления при условии, что резервные копии не будут скомпрометированы в результате атаки. ^[1]

Политика

Обучение сотрудников правильному выявлению фишинговых писем, запрет на использование USB-устройств и внедрение комплексного плана реагирования на инциденты должны использоваться для оказания помощи в противодействии этой угрозе. ^[1]

См. также

Ссылки

^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Формби Д., Дурбха С. и Бейя Р. (nd). Вне контроля: программы-вымогатели для систем промышленного управления. Получено с http://www.cap.gatech.edu/plcransomware.pdf.
^ Jump up to: ^а ^б ^с «Эксперимент с вредоносным ПО предвещает захват заводов с целью получения выкупа» . 16 февраля 2017 г.
^ Чиргвин, Ричард (15 февраля 2017 г.). «Знакомьтесь, LogicLocker: программа-вымогатель SCADA, созданная Boffin» . Регистр . Проверено 20 февраля 2017 г.
^ Jump up to: ^а ^б «Программа-вымогатель, подтверждающая концепцию, блокирует ПЛК, управляющие электростанциями» . Боинг-Боинг . 14 февраля 2017 г. Проверено 20 февраля 2017 г.
^ Хандельвал, Свати. «Эта вредоносная программа-вымогатель может отравить ваше водоснабжение, если ей не заплатить» . Хакерские новости . Проверено 20 февраля 2017 г.

[:0-1] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Формби Д., Дурбха С. и Бейя Р. (nd). Вне контроля: программы-вымогатели для систем промышленного управления. Получено с http://www.cap.gatech.edu/plcransomware.pdf.

[:1-2] Jump up to: ^а ^б ^с «Эксперимент с вредоносным ПО предвещает захват заводов с целью получения выкупа» . 16 февраля 2017 г.

[3] Чиргвин, Ричард (15 февраля 2017 г.). «Знакомьтесь, LogicLocker: программа-вымогатель SCADA, созданная Boffin» . Регистр . Проверено 20 февраля 2017 г.

[:2-4] Jump up to: ^а ^б «Программа-вымогатель, подтверждающая концепцию, блокирует ПЛК, управляющие электростанциями» . Боинг-Боинг . 14 февраля 2017 г. Проверено 20 февраля 2017 г.

[5] Хандельвал, Свати. «Эта вредоносная программа-вымогатель может отравить ваше водоснабжение, если ей не заплатить» . Хакерские новости . Проверено 20 февраля 2017 г.

[1]

[2]

[3]

[4]

[5]