软件供应链危机：勒索潮涌，安全治理当务之急

2023年勒索事件高发

2023年，约有 78% 的公司使用开源软件，90%的云平台以及区块链项目使用了开源组件进行构建。随着开源软件的广泛使用以及软件供应链安全治理困难，勒索组织有针对性的攻击关键供应商，进而勒索软件供应链下游大量拥有敏感数据、能够支付高额赎金的组织。

根据大数据平台statista统计，2017年到2022年的勒索攻击次数增加了168%，并且逐年呈上升趋势：

2017年到2022年的勒索攻击次数(源自：statista)

勒索事件为何频频发生？愈演愈烈？勒索是黑产获利的主要手段！

根据Chainalysis统计，仅2023年上半年勒索软件的年度累计收入已超过4.491 亿美元，占2022年总收入的90%：

2022年和2023年勒索软件年度累计收入对比(源自：Chainalysis)

今年，CL0p、LockBit等世界著名勒索组织持续活跃，通过软件供应链攻击从世界各地的知名厂商或政府手中窃取机密信息，从而勒索高额赎金。

MOVEit 事件

CL0p组织对MOVEit Transfer进行攻击

MOVEit Transfer 是 Progress Software 推出的托管文件传输 (MFT) 应用程序，旨在提供敏感数据的安全协作和自动文件传输，广泛应用于政府、公共和商业组织。

2023 年 5 月 27 日开始，CL0p勒索组织于利用MOVEit Transfer Web 0day漏洞对位于美国的金融机构1st Source和First National Bankers Bank、位于波士顿的投资管理公司Putnam Investments、位于英国的石油巨头Shell Global等组织进行攻击，窃取了大量隐私数据并勒索赎金，截止 2023年 8 月 15 日，Clop 团伙通过 MOVEit 勒索攻击赚取超过 7500 万美元。由于 Discord.io (Discord的自定义邀请服务) 未支付赎金，被窃取的超过76 万用户的数据在暗网贩卖，Discord.io下线。同时还有包括西门子能源公司在内的另外16家公司的机密数据泄漏在暗网：

Cl0p 发布了另外 16 家公司的数据

在窃取知名企业数据之时，CL0p组织也将手伸向了美国联邦政府的口袋。据 TechCrunch 报道，包括陆军部、空军部、食品和药物管理局在内的十多个美国机构受到攻击，6月17日，美国政府悬赏 1000 万美元寻找 Clop 勒索组织信息。

美国政府悬赏 1000 万美元寻找 Clop 勒索组织信息

截至2023年11月6日，据 MOVEit hack victim list 统计：约有超过2376个组织和 7380 万人受此事件影响，并且数量仍在持续增长。

MOVEit漏洞(CVE-2023-34362)发展时间线

2023年5月27日至28日，多家厂商受到MOVEit Transfer漏洞影响，攻击者可利用该漏洞部署自定义 ASP.NET Webshell (LEMURLOOT)，以在受害者网络上实现持久化并执行任意命令。并捕获攻击特征为：

MOVEit Transfer漏洞攻击特征

2023年5月31日，Progress Software发布了漏洞公告 ，提醒客户注意 MOVEit Transfer 和 MOVEit Cloud 中的0day漏洞，攻击者正在积极利用该漏洞来危害面向互联网的服务器(当时约 2500 个 MOVEit的服务器暴露在互联网)。

2023年6月2日，微软于正式将此次攻击归咎于 Lace Tempest 组织。

2023年6月5日，CL0P组织CL0P^_- LEAKS DLS上发布博客宣称对此次攻击事件负责。

CL0P组织发布博客承认参与攻击事件

CVE-2023-34362漏洞发展时间线

中国工商银行遭遇勒索

2023年10月10日，位于美国佛罗里达州的云计算技术公司 Citrix Systems 发布了关于 NetScaler ADC 和 NetScaler Gateway 的漏洞公告，其中包含NetScaler ADC(应用交付控制器)和NetScaler Gateway未授权的敏感信息披露(CVE-2023-4966)和拒绝服务漏洞(CVE-2023-4967)。

据悉，由于中国工商银行使用的 Citrix Netscaler 设备未及时打补丁，LockBit 勒索软件组织于11月8日利用 CVE-2023-4966 漏洞对中国工商银行股份有限公司在美全资子公司工银金融服务有限责任公司（ICBCFS）进行攻击。

11月10日，ICBCFS公司公开宣称遭受了勒索攻击，并且部分系统中断，以至于该公司的企业电子邮件都停止运行，迫使员工改用谷歌邮件，工商银行美国经纪自营商的停电也导致欠纽约梅隆银行 (BK.N) 90 亿美元。

11月13日, Lockbit 勒索软件团伙声明中国工商银行已支付赎金

哪里出了问题

软件供应链产品直接暴露互联网

MOVEit 等产品通常需要通过互联网进行远程访问和协作，并且存储有大量用户生产数据。由于直接暴露在互联网，攻击者有机会对这些产品进行主动扫描和定向攻击，增加了漏洞的影响范围。勒索攻击的主要动机是经济利益，攻击者会倾向于选择有较高概率支付赎金的目标，如拥有大量的数据的云盘、OA、ERP 等系统。企业需要重点关注这些产品的漏洞情报，并加强网络安全措施，采取有效的访问控制、加密通信等手段，避免将产品直接暴露互联网以减少潜在的风险。

缺少资产全生命周期管理

由于企业使用了大量开源和商业软件，每个软件又对应有不同版本，导致软件版本的资产管理极其复杂。如果没有对其进行统一管理，即便安全建议和补丁发布了，也难以快速定位受影响资产和进行修复。如果不能对资产的整个生命周期(包括采购、部署、使用、维护和报废等)进行跟踪和登记，容易出现忘记打补丁这种看似不痛不痒实则一击致命的“失误”。

勒索组织还在活跃吗

是的，勒索还在持续发生：

11月9日，微软发布公告：CL0p组织正在积极利用 SysAid 零日漏洞进行勒索软件攻击；

11月13日，中国汽车零部件供应商延锋汽车内饰系统遭到供应链攻击，Stellantis北美部分生产中断……

哪些组织易受勒索影响

据aag-it统计，2022 年全球 71% 的组织受到勒索软件攻击的影响，中国也是受勒索软件攻击影响最严重的 10 个国家(以色列、韩国、越南、中国、新加坡、印度、哈萨克斯坦、菲律宾、伊朗、英国)之一。

具体哪些行业易受勒索攻击的影响呢？statista调研出了2022年全球各组织每周平均遭受恶意软件的攻击次数(按行业分列)：

2022年全球各组织每周平均遭受恶意软件的攻击次数

以排名前三的教育、政府和医疗行业易受攻击的原因进行分析，可总结为以下方面：

1. 大量敏感信息： 以上行业中存在大量敏感信息，如个人身份信息、学术研究、政府机密和医疗记录。对于攻击者来说，敏感信息是有组织勒索谈判的关键筹码。
2. 网络安全建设投入预算不足： 教育、政府和医疗部门通常具有相对有限的网络安全预算，导致在安全基础设施和人员方面存在不足，增加了受攻击的风险。
3. 复杂的网络环境和老旧的系统设施： 这些行业的网络环境通常较为复杂，涉及多个部门、系统和数据库，使得系统难以维护， 并且政府和医疗行业多数使用较老的系统和软件，这些系统可能存在已知的漏洞，攻击者入侵门槛低。
4. 员工安全意识普遍薄弱： 由于教育机构、政府和医疗部门中的员工缺乏安全意识，容易成为社会工程攻击的目标，例如钓鱼邮件、欺骗性信息等。

如何预防

软硬件厂商

1. 提供SBOM增加供应链透明度：通过SBOM提供软件的元数据，包括软件来源、许可条款、版本号或发布日期、代码包、库和其他包依赖项，解决任何潜在的安全漏洞、恶意软件包、其他安全风险和合规性问题，有助于与客户和合作伙伴建立信任关系。
2. 供应商的监控与评估：定期评估公司所有供应商和第三方合作伙伴的数据处理、网络安全和事件响应计划方面的网络安全实践和政策。
3. 制定应急响应计划：制定并定期测试特定的事件响应计划，以便发生供应链违规时快速有效地做出响应，降低窗口期造成的损失，并与相关部门和行业团体建立畅通的报告和共享供应链安全事件信息的渠道。
4. 定期漏洞扫描：实施定期的漏洞扫描，包括对供应链中的软件和硬件组件进行扫描，或通过第三方渗透测试建立产品的安全态势，及时发现和修复潜在漏洞。
5. 加强员工安全意识：通过培训和教育提高公司内部员工对网络安全的认识，实施安全编码实践，并验证合并到代码中的所有第三方库、包和依赖项的安全性。
6. 权限最小化原则：通过部署网络分段等技术，限制第三方和其他合作伙伴对公司网络敏感部分的访问，有助于遏制违规行为并降低攻击者横向移动的风险。

用户

1. 软件安全审查：在采购和使用软件之前，对软件和厂商进行安全检测和审计，了解软件供应商的信誉和安全实践，选择安全可信赖的软件。
2. 软件可信校验： 仅从官方和信任的软件供应商或官方渠道下载软件，避免使用来历不明的软件或通过非官方途径获取软件，同时校验软件的签名等信息，以减少潜在的投毒等风险。
3. 定期更新和升级：及时应用软件供应商提供的安全更新和补丁，以修复已知漏洞和提高软件的安全性。
4. 网络防护工具：使用有效的防病毒软件和防火墙，确保网络安全，及时检测和防范潜在的恶意活动。
5. 教育和培训：通过对员工定期培训，提高员工对网络安全威胁的认识，避免因点击恶意链接、下载未经验证的附件等手段遭受攻击。
6. 备份数据：定期备份重要的数据，以便在发生勒索软件攻击时，能够迅速从备份中恢复数据，减轻损失。
7. 减少互联网暴露面 ：非必要不将软件暴露到互联网上进行使用，减少从互联网被攻击的风险点。

墨菲安全提供的产品能力

墨菲安全是软件供应链安全领域的专业厂商，提供了多款产品用于软件供应链安全风险的识别和处置。

1、苏木-软件成分分析

苏木拥有行业领先的漏洞知识库，支持10min快速接入各开发流程，将代码项目存在的安全风险清晰展示，并支持IDE插件、GitHub等方式快速完成漏洞修复，轻松管理开源风险。

2、京墨-源安全管理网关

京墨从源头卡住安全风险，安全能力左移前置，使代码安全检测用于从开发到测试的DevSecOps全流程之中。可无缝对接Nexus，Jfrog，支持黑白名单配置管理、卡位管理及制品检测，降低企业的成本和风险。

3、南星-云原生容器安全

南星可提供容器镜像管理，通过极低的接入成本、对镜像基础组件识别和容器镜像应用检测，持续降低交付安全风险。

4、赤箭-许可证合规管理

赤箭会自动识别开源组件协议，来降低许可证侵权风险。目前已覆盖3000+许可证类型，可做到对精准识别及合规风险快速管理。

5、贯众-风险情报预警

贯众提供资产台账平台，并覆盖超6w+主流组件，涵盖漏洞及投毒两大类风险，并已全球首发多个0day预警，漏洞预警已达分钟级，从容应对安全风险。

6、静态代码扫描（SAST）

检测速度达数万行/秒、准召率95%以上、IDE插件检测能力实现安全左移、专家定制规则更适用于工作场景。

参考链接

• 供应商遭网络攻击，Stellantis北美部分生产中断
• Clop 团伙通过 MOVEit 勒索攻击赚取超过 7500 万美元
• Discord.io 确认黑客窃取 76 万用户数据后出现违规行为
• 美国政府悬赏 1000 万美元寻找 Clop 勒索组织信息
• Global Accellion 数据泄露事件与 Clop 勒索软件团伙有关
• Software AG IT 巨头因 Clop 勒索软件被勒索 2300 万美元
• Clop 勒索软件声称使用 GoAnywhere 零日漏洞侵入了 130 个组织
• Progress Software发布CVE-2023-34362漏洞公告
• MOVEit 网络攻击：密切关注 2023 年最大的数据盗窃事件
• IOTW：MOVEit 网络攻击的完整时间表
• 我们对 Lockbit 勒索软件的了解
• 中国工商银行因黑客扰乱美国国债市场而支付了赎金