当世界知名的啤酒制造商朝日啤酒的生产突然陷入停滞时，人们立刻注意到了。2024年中，朝日啤酒遭遇了一次严重的网络攻击，导致生产运营中断，多个地区的供应延迟。说得直白点——渴求啤酒的大众没酒喝了。

此次事件的幕后黑手？是Qilin（又名Kadin）勒索软件即服务附属网络。这是一个庞大的生态系统，以窃取凭证、横向移动和大规模加密而臭名昭著。

乍看之下，这可能只是又一起勒索软件事件。但正如Dragos团队在Hack The Box的“ICS in the Crosshairs”网络研讨会上所剖析的，这次攻击是现代勒索软件运营商如何融合IT和OT（运营技术）中断以最大化影响的蓝图。

现在观看网络研讨会

深入审视Qilin对啤酒厂的攻击链

在网络研讨会中，HTB的产品营销负责人Giacomo Bertollo以及Dragos的分析师Gil Garcia、Tim Vernick和Joseph Lee探讨了工业控制系统网络如何不再是过去那种孤立的模拟环境。

数字化已将企业系统（例如ERP和MES）与生产车间直接融合，从而显著扩大了攻击面。为此，Qilin的操作遵循了现在熟悉的模式：

• 初始访问：很可能是通过被盗的VPN凭证或网络钓鱼导致的凭证重用，这与Qilin之前的活动一致。
• 执行与横向移动：自动化脚本和无文件攻击工具在连接的服务器和控制系统上部署勒索软件。
• 防御规避：删除日志、禁用防病毒软件，在某些情况下还将系统强制进入安全模式以压制防御。
• 数据收集与外泄：据称Qilin的泄漏站点上发布了约9,300个文件（27 GB），表明在加密前存在有意的数据窃取。
• 影响：朝日啤酒的运营和订单履行停止，这表明即使是局部的OT中断也可能在全球供应链中产生连锁反应。

将洞察转化为行动

Hack The Box与Dragos合作创建了Alchemy Pro Lab，这是一个模拟啤酒厂生产环境的游戏化工业环境，专门用于帮助防御者和操作人员在安全的沙箱中测试相关场景。

对于蓝队，HTB Threat Range还提供了基于此类真实勒索软件活动建模的实战SOC和数字取证与事件响应模拟。

探索Threat Range

如果你从事OT安全工作，却尚未在真实的压力下测试过你的检测和响应能力，那么你已经落后了。

对朝日啤酒泄露事件的最终思考

朝日啤酒事件阐明了一个简单的事实：勒索软件攻击者无需触碰PLC（可编程逻辑控制器）就能使一个工业组织瘫痪。中断那些告诉工厂生产什么的数字系统，就足以让生产线完全停止，而这种运营影响会直接影响到我们的日常生活。

ICS安全不在于近乎持续的偏执状态。它关乎精确性、准备和练习。那些将应急响应计划视为生产线、不断测试、优化并使之可重复的防御者，才是能让生产线持续运行的人。

观看研讨会录像