关键发现:
- 在2024年10月至2025年10月期间,Qilin 是攻击能源领域的最主要勒索软件组织。
- 能源领域56%的勒索软件受害机构位于美国和加拿大。
- 观察到威胁行为者今年通过谷歌广告的恶意广告,向能源公司分发伪装成 RecipeLister 和 AppSuite PDF Editor 等欺诈性应用程序的恶意软件。
海上能源运营商正处在一个网络风险升高且复杂的时期。 2023年,与其他任何工业领域相比,运营技术和工业控制系统安全事件遭受攻击的可能性高出三倍。英国的公用事业公司尤其受到重创,从2022年到2023年攻击量激增了586%。此外,去年某机构年度能源安全圆桌会议的重点是针对海上风电场和海底电缆的物理与网络攻击,突显了保护关键安全基础设施日益增长的需求。 数字系统位于发电、管道物流、钻井和起重作业以及海上风电资产控制的核心。这意味着网络攻击不再仅仅破坏后台系统,还可能波及海上和陆上的安全、环境影响、市场波动以及服务可用性。
图1. 威胁行为者在暗网论坛上寻找包括能源领域在内的关键基础设施实体的信息。
海上能源设施,如风力涡轮机、石油和天然气钻井平台,对网络犯罪分子尤其具有吸引力,因为它们的运行不仅依赖于远程连接,还需要好天气以便工作人员前往设施处理任何问题。当天气使得此类行程危险时,工作人员必须暂停关键工作,直到可以安全操作为止。
图2. 一名威胁行为者正在寻找能源领域网络接入以进行潜在攻击。
犯罪分子了解工作人员何时可以、何时无法操作,并利用这些知识在勒索过程中增加筹码。海事安全警报记录了动态定位系统故障或传感器问题如何迫使钻井或重型起重作业暂停,这使得任何由网络引起的停机代价都更为高昂。 本篇博客以清晰的商业术语阐述这些风险,并将其与可以在混合IT、OT和海事环境中实施的实际控制措施联系起来。
针对发电公司的勒索软件攻击
勒索软件组织会选择停机造成损失最大的地方下手。能源和海上作业对中断的容忍度极低,因为延误会连锁引发安全风险、环境暴露和市场影响。犯罪分子知道,一条停止的管道或一艘必须暂停钻井的船只每小时的成本都极高,因此受害者承受着快速恢复系统的巨大压力。某管道事件的公开证据显示,一次勒索软件事件如何导致燃料短缺并迫使做出快速恢复决策,包括支付已确认的赎金,其中部分由某机构追回。在海上,前沿钻井平台的日费率通常高达每天数十万美元,因此即使是短暂的停顿也会造成巨大损失,从而放大勒索的筹码。
图3. Inc 勒索软件针对汤加国有电力提供商 Tonga Power 的攻击声明。
尽管针对关键基础设施的勒索软件攻击一直是各国面临的持续威胁,但近年来,能源领域持续出现这些普遍且无情的攻击增加的情况。
我们自己的研究数据支持这一事实。在《2025年风险雷达报告:能源与公用事业领域》中,我们发现能源领域的勒索软件活动出现了惊人的80%的同比增长。 在查看了不同勒索软件组织的数据泄露网站后,我们的团队发现,在2024年10月至2025年10月期间,Qilin 是攻击能源领域的最主要勒索软件组织。 Qilin 是一个讲俄语的网络犯罪组织,与多起事件有关联。该组织以其激进的策略和高价值目标战略而闻名,使其成为针对能源领域最活跃的组织。
表1. 暴露在勒索软件行为者各自数据泄露门户上的能源领域勒索软件受害者数量。
根据数据,还出现了以下区域模式:
- 56%的能源领域勒索软件受害机构位于美国和加拿大。
- 亚太地区发生了大量勒索软件攻击,特别是针对澳大利亚、印度、印度尼西亚、新加坡和泰国的能源公司。
- 在欧洲,针对能源公司(尤其是位于德国、英国、法国和意大利的公司)的勒索软件攻击处于中等水平。
- 针对拉丁美洲(巴西、阿根廷、智利和哥伦比亚)能源公司的勒索软件攻击数量也有所增加。
- 勒索软件行为者还针对中东国家(如阿联酋、卡塔尔、阿曼和约旦)的一些能源公司。
- 非洲(肯尼亚、乌干达和博茨瓦纳)的勒索软件活动有限。
数据还指出勒索软件行为者瞄准了以下关键基础设施:
- SCADA 系统:工业控制系统
- 能源管理:电网控制和监控系统
- 远程设施:海上和远程能源设施
- 供应链:能源服务提供商
能源公司持有犯罪分子可以通过多种方式获利的数据。这包括运营计划、工程文件、交易和客户信息,以及可持续性或碳排放报告数据集。影响能源供应商的一些事件(例如某电气公司事件)说明了攻击者如何窃取敏感数据,然后通过双重和三重勒索向供应商和下游客户施压。 今年早些时候,总部位于加拿大的某电力公司遭遇勒索软件攻击,影响了其IT和网络运营。该公司被迫关闭受影响的服务器,导致运营中断和客户服务延迟。 在未经授权的入侵期间,勒索软件行为者窃取了一些客户信息,包括姓名、电话号码、电子邮件地址以及客户的付款、账单和信用记录。在5月23日发布的更新中,该能源公司确认勒索软件行为者公布了窃取的客户数据,并且他们没有支付赎金。受影响的客户已得到相应通知,并被提供了最初为期两年的免费信用监控服务,后来该服务延长至五年。
影响能源领域的数据泄露
从能源公司及其供应商处获取的材料包括工程和运营文件、身份数据、合同和内部通信,犯罪分子会利用这些信息进行定向网络钓鱼和后续访问。
图4. 威胁行为者分享对一些面板的访问权限,他们声称通过入侵一家能源公司获得了这些权限。
去年,某州某能源服务公司确认,一起安全事件导致公司信息被窃取,包括对其支持运营和公司职能的部分业务应用程序的有限访问权限。 供应链漏洞在某活动期间放大了这种暴露风险,攻击者通过单个文件传输漏洞在某机构、某机构的澳大利亚子公司以及某机构能源部的多个实体处窃取文件,最终有数百个组织被列为受害者。即使核心运营没有中断,泄露的数据集也会为员工、客户和合作伙伴带来长期风险。 一旦公布,能源领域的泄露信息很难控制。对手和第三方追踪者会记录受害者信息并重新发布档案,这持续给运营商及其客户带来压力,并使针对现场和办公室员工的社会工程攻击得以重复进行。
图5. 威胁行为者正在出售据称通过入侵一家总部位于阿根廷的能源公司获得的136GB数据。
即使核心运营没有中断,泄露的数据集也会为员工、客户和合作伙伴带来长期风险。
图6. 暗网论坛上关于一家跨国集团泄露数据的帖子,该集团业务遍及多个行业,包括能源领域。
一旦公布,能源领域的泄露信息很难控制。对手和第三方追踪者会记录受害者信息并重新发布档案,这持续给运营商及其客户带来压力,并使针对现场和办公室员工的社会工程攻击得以重复进行。
暗网上能源公司的访问权限出售
针对能源和海上运营商的初始访问权限出售是地下论坛的常态。经纪人通过窃取的凭据和受攻击的边缘设备获得立足点,然后将“网络访问”权限出售给出价最高者。列表通常宣传RDP或VPN入口,指明受害者的国家和收入,并使用拍卖行话,如起拍价、加价幅度和一口价来表示起始出价、增量和立即购买价。
图7. 威胁行为者出售某能源公司访问权限的暗网广告复原图。
定价旨在快速成交。最近的访问经纪人评论显示,大多数公司列表以几百美元的低价出售,典型价格区间在500美元到3,000美元之间,偶尔对高价值环境的要价达到五位数。访问类型已从主要是RDP转向更多VPN和其他远程服务,这反映了攻击者现在如何大规模窃取凭据并滥用外围设备。这些市场滋养了勒索软件和数据窃取团伙。市场和论坛显示,经纪人的发帖量逐年保持稳定,许多产品捆绑了可用的用户权限,使买家能更快地转向文件服务器、电子邮件和与OT相邻的跳板主机。
图8. 一份复原的暗网广告声称提供对某国电力发展委员会的完全访问权限。
这些市场滋养了勒索软件和数据窃取团伙。市场和论坛显示,经纪人的发帖量逐年保持稳定,许多产品捆绑了可用的用户权限,使买家能更快地转向文件服务器、电子邮件和与OT相邻的跳板主机。
恶意软件攻击
我们观察到威胁行为者今年通过谷歌广告的恶意广告向能源公司分发特定恶意软件。 2025年6月,我们观察到威胁行为者通过恶意广告在能源领域分发伪装成欺诈性 RecipeLister 应用程序的恶意软件。该恶意软件通过恶意广告传播,伪装成食谱实用程序应用程序。该可执行文件使用NSIS(Nullsoft Scriptable Install System)在临时用户目录中静默安装 Electron 应用程序并在无用户交互的情况下启动它。安装后,恶意软件会窃取敏感凭据,并使威胁行为者能够建立持久性并运行远程命令。
图9. 恶意的 RecipeLister 实用程序应用程序。
8月,我们发现网络犯罪分子通过谷歌广告的恶意广告向能源公司分发 AppSuite PDF 后门程序。也称为“PDFEditor”或“ManualFinder”,AppSuite PDF 是一个经过木马化的应用程序,通过看似合法的网站分发,用于凭据窃取和代理创建。 根据我们的观察,恶意的“AppSuite-PDF.msi”文件是由用户通过浏览器在多台系统上直接下载的。该恶意软件伪装成合法的PDF查看器,可通过不同网站下载。该应用程序使威胁行为者能够建立持久性并运行远程命令。
图10. 恶意的 AppSuite PDF Editor。
网络钓鱼攻击
网络钓鱼是所有领域(包括能源行业)流行的攻击媒介。根据某安全杂志报告,2023年针对OT和ICS系统的攻击中有34%是由网络钓鱼造成的。 最近,一种名为“Power Parasites”的网络钓鱼骗局开始针对能源公司,通过模仿能源公司的网站和社交媒体品牌来欺骗潜在的求职者和投资者,使其无意中提供敏感的个人和银行信息。 除了创建看似合法的登录页面外,Power Parasites 行为者还滥用 Telegram 等通信平台来欺骗受害者并实施攻击。Power Parasites 的大部分受害者位于某国、尼泊尔和印度。 据报道,Power Parasites 团队利用了知名能源公司的品牌,包括某机构能源、某电气公司、某国EDF能源、某公司 S.A. 和某能源公司。
结论
虽然海上能源公司高度专注于创造清洁能源以促进经济、创造就业机会并满足巨大的能源需求,但这不应是它们唯一关注的问题。随着网络安全挑战不断演变和激增,如潮水般持续上涨,海上能源组织必须优先考虑安全,以保持其运营不受阻碍地进行。在《2023年能源网络优先事项》报告中,一项涉及600名能源专业人员的调查显示,64%的受访者认为其组织更容易受到网络攻击,59%的受访者表示其公司将在2023年至2024年期间投资于网络安全。 海上能源公司可以通过基于异常的入侵检测系统、人工智能驱动的预测性维护和智能自动化,保持安全和韧性,确保全球可再生能源事业的扩展。
我们能如何提供帮助
我们平台中的某模块,其人工智能和机器学习驱动的电子邮件安全平台,有助于阻止可能导致勒索软件、凭据窃取和数据泄露的电子邮件攻击。该平台使用某模块,由某机器学习系统提供支持,该系统实时检查电子邮件中的链接以识别和阻止恶意站点。
