当全球最知名的啤酒制造商之一朝日啤酒因网络攻击导致生产骤然停滞时，引起了广泛关注。2024年中，朝日遭遇了一场严重的网络攻击，扰乱了制造业务并导致多个地区的供应延迟。背后的攻击者？正是麒麟（亦称Kadin）勒索软件即服务附属网络。这是一个庞大的生态系统，以窃取凭证、横向移动和大规模加密而臭名昭著。

乍看之下，这可能只是又一起勒索软件事件。但正如Dragos团队在Hack The Box的"ICS in the Crosshairs"网络研讨会中所剖析的，这次攻击是现代勒索软件运营商如何融合IT和OT（运营技术）干扰以最大化影响的范本。

深入剖析麒麟攻击啤酒厂的攻击链

在网络研讨会中，HTB产品营销主管Giacomo Bertollo与Dragos分析师Gil Garcia、Tim Vernick和Joseph Lee探讨了工业控制系统网络如何不再是从前那种孤立的模拟环境。

数字化已将企业系统（如ERP和MES）与生产车间直接融合，从而显著扩大了攻击面。为此，麒麟的操作遵循了现在熟悉的套路：

• 初始访问：很可能是通过被盗的VPN凭证或网络钓鱼导致的凭证重用，这与麒麟之前的活动一致。
• 执行与横向移动：利用自动化脚本和"就地取材"工具在连接的服务器和控制系统上部署勒索软件。
• 防御规避：删除日志、禁用防病毒软件，在某些情况下甚至强制系统进入安全模式以压制防御。
• 收集与数据外泄：据称约9300个文件（27 GB）出现在麒麟的泄露网站上，表明在加密前存在故意的数据窃取行为。
• 影响：朝日的运营和订单履行停止，表明即使是部分OT中断也能在全球供应链中产生连锁反应。

将洞察转化为行动

Hack The Box与Dragos合作创建了Alchemy Pro Lab，这是一个模拟啤酒厂工厂的游戏化工业环境，专门用于帮助防御者和操作员在安全的沙箱中测试相关场景。

对于蓝队，HTB Threat Range还提供了基于此类真实勒索软件活动建模的实战SOC和数字取证与事件响应模拟演练。

关于朝日数据泄露事件的最终思考

朝日事件阐明了一个简单的事实：勒索软件攻击者无需触碰PLC即可使工业组织瘫痪。中断那些告诉工厂生产什么的数字系统，就足以让生产线彻底停工，而这种运营影响会体现在我们的日常生活中。

ICS安全并非意味着要处于近乎持续的偏执状态。关键在于精准、准备和实践。那些将他们的响应计划像生产线一样对待——经过测试、完善并可重复执行的防御者，才是能让生产线持续运转的人。