关键发现:
- 在2024年10月至2025年10月期间,Qilin是针对能源行业的最主要勒索软件团伙。
- 能源行业勒索软件受害者中,56%位于美国和加拿大。
- 今年观察到威胁行为者通过恶意广告在Google Ads上向能源公司分发恶意软件,例如RecipeLister和AppSuite PDF Editor。
海上能源运营商正面临着日益严峻和复杂的网络安全风险时期。 2023年,与任何其他工业领域相比,运营技术(OT)和工业控制系统(ICS)安全事件遭受攻击的可能性要高出三倍。英国的公用事业公司受到的打击尤为严重,与2022年相比,2023年的攻击量激增了586%。此外,去年某机构年度能源安全圆桌会议的焦点是针对海上风电场和海底电缆的物理和网络攻击,这突显了保护关键安全基础设施日益增长的需求。 数字系统位于发电、管道物流、钻井和起重作业以及海上风能资产控制的核心。这意味着网络攻击不再仅仅扰乱后台办公系统,还可能波及海上和陆上的安全、环境影响、市场波动和服务可用性。 图1:一名威胁行为者在暗网论坛上寻找包括能源行业在内的关键基础设施实体的信息。 海上能源设施,如风力涡轮机、石油和天然气钻井平台,对网络犯罪分子尤其具有吸引力,因为它们的运营不仅依赖于远程连接,还需要良好的天气条件以便工作人员前往处理设施的任何问题。当天气使得此类行程变得危险时,工作人员必须暂停关键工作,直到可以安全操作为止。 图2:一名威胁行为者正在寻找能源行业的网络访问权限,以发动潜在攻击。 犯罪分子了解工作人员何时可以操作、何时无法操作,并利用这些知识来增加其在勒索过程中的筹码。海上安全警报记录了动态定位(DP)故障或传感器问题如何可能迫使钻井或重型起重作业暂停,这使得任何由网络攻击导致的停机代价更为高昂。 本文将用清晰的商业术语阐述这些风险,并将其与可在混合IT、OT和海事环境中实施的实用控制措施联系起来。
针对发电公司的勒索软件攻击
勒索软件团伙会选择停机损失最大的地方下手。能源和海上作业对中断的容忍度非常低,因为延误会连带引发安全风险、环境暴露和市场影响。犯罪分子知道,一条停运的管道或一艘必须暂停钻井的船只每小时都会造成巨大成本,因此受害者面临着快速恢复系统的巨大压力。Colonial Pipeline事件的公开证据表明,单一的勒索软件事件是如何导致燃料短缺并迫使快速做出恢复决策的,包括确认支付了赎金,而部分赎金后来被FBI追回。对于海上作业,先进的钻井平台日费率通常高达每天数十万美元,因此即使是短暂的停工也会造成巨大损失,从而放大了勒索的筹码。 图3:Inc勒索软件攻击针对汤加国有电力供应商Tonga Power的声明。 尽管针对关键基础设施的勒索软件攻击一直是各国面临的持续威胁,但近年来,能源行业持续经历着这些普遍且无情的攻击。
我们自己的研究数据支持这一事实。在我们的《2025年风险雷达报告:能源和公用事业行业》中,我们发现能源行业的勒索软件活动出现了惊人的80%同比增长。 在查看了不同勒索软件团伙的数据泄露网站后,团队发现Qilin是2024年10月至2025年10月期间针对能源行业最主要的勒索软件团伙。 Qilin是一个俄语网络犯罪组织,与多起事件有关联。该团伙以其激进的策略和高价值目标选择而闻名,使其成为针对能源行业最活跃的团伙。 表1:在勒索软件行为者各自的数据泄露门户上公布的属于能源行业的勒索软件受害者数量。 根据数据,还出现了以下区域模式:
- 56%的能源行业勒索软件受害者位于美国和加拿大。
- 亚太地区发生了大量勒索软件攻击,特别是针对澳大利亚、印度、印度尼西亚、新加坡和泰国的能源公司。
- 在欧洲,针对能源公司(尤其是位于德国、英国、法国和意大利的公司)的勒索软件攻击处于中等水平。
- 针对拉丁美洲(巴西、阿根廷、智利和哥伦比亚)能源公司的勒索软件攻击数量也有所增加。
- 勒索软件行为者还针对了阿联酋、卡塔尔、阿曼和约旦等中东国家的一些能源公司。
- 非洲(肯尼亚、乌干达和博茨瓦纳)的勒索软件活动有限。
数据还指出勒索软件行为者针对以下关键基础设施:
- SCADA系统: 工业控制系统
- 能源管理: 电网控制和监控系统
- 远程设施: 海上和远程能源装置
- 供应链: 能源服务提供商
能源公司持有犯罪分子可以通过多种方式变现的数据。这包括运营计划、工程文件、交易和客户信息,以及可持续性或碳排放报告数据集。影响能源供应商的一些事件,例如某中心的事件(2024年底),说明了攻击者如何窃取敏感数据,然后通过双重和三重勒索对供应商和下游客户施加压力。 今年早些时候,总部位于加拿大的Nova Scotia Power遭遇了一次勒索软件攻击,影响了其IT和网络运营。该公司被迫关闭受影响的服务器,导致运营中断和客户服务延迟。 在未经授权的入侵期间,勒索软件行为者窃取了一些客户信息,包括姓名、电话号码、电子邮件地址,以及客户的支付、账单和信用记录。在5月23日发布的更新中,该能源公司确认勒索软件行为者发布了窃取的客户数据,并且他们没有支付赎金。受影响的客户已得到相应通知,并获得了为期两年的免费信用监测服务,随后该服务被延长至五年。
影响能源行业的数据泄露
从能源公司及其供应商处窃取的材料涵盖工程和运营文件、身份数据、合同和内部通信,犯罪分子会重新利用这些数据进行有针对性的网络钓鱼和后续访问。 图4:一名威胁行为者分享了对某些面板的访问权限,他们声称是通过入侵一家能源公司获得的。 去年,总部位于德克萨斯州的能源服务公司Halliburton确认,一起安全事件导致公司信息被窃取,包括对其支持运营和企业职能的业务应用程序部分内容的有限访问。 供应链漏洞在MOVEit攻击活动中放大了这种风险暴露,攻击者通过单一的文件传输漏洞在某中心能源、某机构澳大利亚子公司以及多个美国能源部实体窃取文件,最终有数百家组织被列为受害者。即使核心运营没有中断,泄露的数据集也会给员工、客户和合作伙伴带来长期的风险。一旦发布,能源行业的泄露数据很难控制。对手和第三方追踪者会记录受害者并重新发布存档数据,这给运营商及其客户持续施加压力,并使得针对现场和办公室员工的社交工程攻击得以重复进行。 图5:威胁行为者正在出售据称通过入侵一家总部位于阿根廷的能源公司获得的136GB数据。 即使核心运营没有中断,泄露的数据集也会给员工、客户和合作伙伴带来长期的风险。 图6:一个暗网论坛帖子,内容涉及一家跨国企业集团(业务涵盖包括能源在内的不同行业)的泄露数据。 一旦发布,能源行业的泄露数据很难控制。对手和第三方追踪者会记录受害者并重新发布存档数据,这给运营商及其客户持续施加压力,并使得针对现场和办公室员工的社交工程攻击得以重复进行。
暗网上能源公司的访问权限
针对能源和海上运营商的初始访问权限销售是地下论坛的一个稳定特征。中介通过窃取的凭证和被利用的边缘设备获得立足点,然后将“网络访问权限”出售给出价最高者。列表通常宣传RDP或VPN入口,指明受害者的国家和收入,并使用诸如“起拍价”、“加价幅度”和“立即购买价”等拍卖行话来标示起始价、加价幅度和一口价。 图7:一名威胁行为者出售某能源公司访问权限的暗网广告恢复版本。 定价旨在快速成交。最近的访问中介回顾显示,大多数企业列表以数百美元的低价出售,典型的价格区间大约在500美元到3000美元之间,偶尔对高价值环境会开出五位数的要价。访问类型已从主要是RDP转向更多的VPN和其他远程服务,这反映了攻击者现在如何大规模窃取凭据并滥用外围设备。这些市场为勒索软件和数据窃取团伙提供资源。市场论坛显示,中介帖子年复一年保持着稳定的数量,许多产品还捆绑了可用的用户权限,使得买家能够更快地转向文件服务器、电子邮件和与OT相邻的跳板主机。 图8:一个恢复的暗网广告,声称提供对孟加拉国电力发展委员会的完全访问权限。 这些市场为勒索软件和数据窃取团伙提供资源。市场论坛显示,中介帖子年复一年保持着稳定的数量,许多产品还捆绑了可用的用户特权,使得买家能够更快地转向文件服务器、电子邮件和与OT相邻的跳板主机。
恶意软件攻击
今年我们观察到威胁行为者通过Google Ads上的恶意广告向能源公司分发特定恶意软件。 2025年6月,我们观察到威胁行为者通过恶意广告在能源行业分发名为RecipeLister的欺诈性应用程序中的恶意软件。该恶意软件通过恶意广告传递,伪装成一个食谱实用程序应用。该可执行文件使用NSIS(Nullsoft可脚本化安装系统)将Electron应用程序静默安装到用户的临时目录中,并在无需用户交互的情况下启动它。安装后,恶意软件会窃取敏感凭证,并使威胁行为者能够建立持久性并运行远程命令。 图9:恶意的RecipeLister实用程序应用程序。 在八月份,我们发现网络犯罪分子通过Google Ads上的恶意广告向能源公司分发AppSuite PDF后门程序。AppSuite PDF也被称为“PDFEditor”或“ManualFinder”,是一个被木马化的应用程序,通过看起来合法的网站分发,用于窃取凭据和创建代理。 根据观察,恶意的“AppSuite-PDF.msi”文件被多个系统的用户通过浏览器直接下载。该恶意软件伪装成一个合法的PDF查看器,可通过不同的网站下载。该应用程序使威胁行为者能够建立持久性并运行远程命令。 图10:恶意的AppSuite PDF Editor。
钓鱼攻击
钓鱼攻击是所有行业(包括能源行业)流行的攻击媒介。根据一份安全杂志的报告,2023年针对OT和ICS系统的攻击中,有34%是由钓鱼攻击导致的。 最近,一个名为“Power Parasites”的钓鱼骗局开始针对能源公司,通过模仿能源公司的网络和社交媒体品牌,欺骗潜在的求职者和投资者无意中提供其敏感的个人和银行信息。 除了创建看起来合法的登录页面外,Power Parasites的行为者还滥用Telegram等通信平台来欺骗受害者并实施攻击。大多数Power Parasites的受害者位于孟加拉国、尼泊尔和印度。 据报道,Power Parasites团队利用了知名能源公司的品牌,包括某中心能源、某中心、某机构能源、Repsol S.A.和Suncor Energy。
结论
虽然海上能源公司正全力专注于创造清洁能源以促进经济、创造就业机会并满足巨大的能源需求,但这不应是他们唯一关心的问题。随着以不断演变和激增的网络安全挑战形式出现的“浪潮”持续上涨,海上能源组织必须优先考虑安全,以保持其运营不受阻碍地进行。在《2023年能源网络安全优先事项报告》(一项涉及600名能源专业人士的DNV调查)中,64%的受访者认为他们的组织更容易受到网络攻击,59%的受访者表示他们的公司将在2023年至2024年期间投资于网络安全。 海上能源公司可以通过基于异常行为的入侵检测系统、人工智能驱动的预测性维护和智能自动化来保持安全和弹性,从而确保全球可再生能源事业的扩展。
