在过去几年中，勒索软件事件影响了数千个工业和关键基础设施组织。在某些情况下，Mandiant 观察到这些入侵如何扰乱工业生产链和运营工作流程，以此作为激励支付赎金的一种方法。尽管在大多数情况下，受害者所遭受的损害仅限于企业系统，但这并不意味着运营技术 (OT) 系统不会面临风险。

OT 技术的本质以及保护它的挑战意味着许多 OT 网络都存在安全漏洞，即使是不太成熟的参与者也可以利用这些漏洞。此外，Mandiant 一直强调，一些出于经 B2B 电子邮件列表 济动机的团体继续部署与高级持续威胁 (APT) 在备受瞩目的网络物理事件中使用的相同或相似的工具和技术。

在本博客中，我们描述了 Mandiant 红队针对欧洲工程组织的一次活动，以了解勒索软件运营商在其网络中可能达到的潜在影响范围。我们的红队模仿了 FIN11 使用的技术，FIN11 是一个出于经济动机的威胁组织，在多个行业进行了长期的勒索软件分发活动。使用 FIN11 的技术从具有常规员工凭证的企业端点移动，获取域管理员权限，窃取关键数据并获得对 OT 服务器的访问权限。

勒索软件攻击者已证明有能力访问 OT

2020 年，Mandiant 发布了一篇文章，描述金融犯罪分子如何将其触角扩展到 OT。我们的评估基于两个进程杀戮列表，这些列表与已知的勒索软件菌株一起部署，以放大攻击的影响。这些列表旨在枚举和终止软件进程，其中一些进程恰好与 OT 有关。虽然用于确定这些进程列表的影响的记录信息有限，但我们的评估表明，通过停止此类进程，攻击者可能会突然终止并加密关键 OT 功能，从而对受害者造成更大的损害。

两个进程杀戮列表之一与 CLOP 勒索软件样本一起部署，然后我们将其归因于名为 FIN11 的网络犯罪行为者。  该组织利用销售点 (POS) 恶意软件、CLOP 勒索软件和传统勒索手段将其运营货币化。

FIN11 没有表现出拥有专门的 OT 专业知识，也没有证据表明他们部署的进程终止列表对任何受害者 OT 环境产生了重大影响。然而，攻击者使用包含一些 OT 进程的进程终止列表引发了有关其功能范围以及它们将来如何影响 OT 的进一步问题。

过去，出于经济动机的参与者（例如 FIN11）使用的策略、技术和程序 (TTP) 与国家资助的参与者所使用的策略、技术和程序 (TTP) 相当，以支持 OT 目标攻击生命周期的早期阶段。这包括使用公开可用的工具、离地技术、已知的利用框架以及定制的恶意软件来危害受害者。

图 1 说明了 TRITON 和 INDUSTROYER 事件期间使用的技术与 FIN11 和另一个网络犯罪参与者 FIN6 用于勒索软件部署、勒索和零售卡盗窃的技术有一些重叠。

图 1：国家资助和经济动机行为者之间的 TTP 重叠

图 1：国家资助和经济动机行为者之间的 TTP 重叠

这四种情况下的 TTP 可能存在重叠，因为要实现 IT 和 OT 中的目标资产，通常需要参与者遵循跨公司和/或生产网络的横向移动和特权升级流程。尽管勒索软件运营商在过去几年中取得了显着发展，但仍然存在的主要区别是，一些国家资助的参与者也投入了大量资源来开发 OT 定制的有效负载以破坏物理过程。