LogicLocker
LogicLocker , är en ransomware- mask för flera leverantörer som riktar sig till PLC ( Programmable Logic Controllers ) som används i Industrial Control Systems (ICS). Först beskrevs i en forskningsartikel som släpptes av Georgia Institute of Technology, skadlig programvara kan kapa flera PLC:er från olika populära leverantörer. Forskarna, med hjälp av en vattenreningsverksmodell, kunde demonstrera förmågan att visa falska avläsningar, stänga ventiler och modifiera klorutsläpp till giftiga nivåer med en Schneider Modicon M241, Schneider Modicon M221 och en Allen Bradley MicroLogix 1400 PLC. Ransomwaren är utformad för att kringgå svaga autentiseringsmekanismer som finns i olika PLC:er och låsa ut legitima användare samtidigt som man planterar en logicbomb i PLC:n. Den 14 februari 2017 noteras det att det finns över 1 400 av samma PLC:er som används i proof-of-concept-attacken som var tillgängliga från internet som hittats med Shodan .
Attackmetoden
Attackmetoden som används med LogicLocker använder fem steg. Initial infektion, Horisontell och Vertikal rörelse, låsning, kryptering och förhandling. Initial infektion kan ske genom olika sårbarhetsexploater. Eftersom ICS-enheter vanligtvis är i ett alltid på, ger detta cyberbrottslingar gott om tid att försöka kompromissa med PLC:n. PLC:er har i allmänhet inga starka autentiseringsmekanismer på plats för att hjälpa till att skydda sig mot potentiella attacker. Initial infektion kan ske genom att en användare klickar på en potentiellt skadlig e-postbilaga. Vid initial infektion av PLC:n kan horisontell eller vertikal rörelse uppnås från PLC:n till företagsnätverket beroende på PLC:ns kapacitet. Nästa steg i attacken är låsning där angriparen låser ut legitima användare för att hämma eller förhindra återställningsförsök. Detta kan göras genom lösenordsändringar, OEM-låsning, överutnyttjande av PLC-resurser eller byte av IP/portar. Dessa olika låsmetoder erbjuder olika grader av framgång och styrkor. För att ytterligare säkerställa en framgångsrik attack Kryptering används för att följa traditionell kryptornsomware-praxis för framtida förhandlingar. Slutligen förs förhandlingar mellan angriparen och offret för återställande av tjänsten. Vissa PLC:er innehåller en e-postfunktion som kan användas för att skicka lösenmeddelandet som var fallet med MicroLogix 1400 PLC som användes i proof-of-concept-attacken.
Försvarsstrategier
För att hjälpa till med försvars- och sårbarhetsreducerande insatser finns det flera strategier som kan användas.
Slutpunktssäkerhet
Endpoint-säkerhetstekniker som lösenordsändringar, inaktivering av oanvända portar och protokoll och implementering av Access Control Lists (ACL), underhåll av korrekta säkerhetskopior och firmwareuppdateringar bör användas. Detta kan avsevärt minska attackytan presenterade cyberbrottslingar.
Nätverkssäkerhet
Ökad och vaksam nätverksövervakning bör användas för att upptäcka avvikelser. Protokollvitlistning på brandväggar, nätverkssegmentering och automatiserade säkerhetskopieringar kan ge ytterligare säkerhet och ge minskad återställningstid förutsatt att säkerhetskopiorna inte äventyras i attacken.
Politik
Utbildning av anställda för att korrekt identifiera nätfiske- e-post, förbud mot USB-enheter och införlivande av en omfattande incidentresponsplan bör användas för att hjälpa till att motverka detta hot.