重磅！两大工控巨头施耐德、艾默生遭勒索攻击！

2025年10月，谷歌发布警示称，针对甲骨文商业产品套件的大规模黑客攻击可能已影响超过100家公司，大量客户数据被盗。这一事件迅速引发连锁反应。

不到两周后，监测发现俄罗斯勒索组织Cl0p在其暗网网站新增法国施耐德电气与美国艾默生两家工业巨头作为攻击目标，并附上其统一威胁声明：“公司无视客户安全！”

01 工业巨头成靶子，黑产组织锁定新战场

Cl0p勒索组织对施耐德电气和艾默生的“挂牌”并非孤立事件。施耐德电气堪称勒索攻击的“常客”，这已是该公司近年来的第四次公开勒索事件。

2024年11月，勒索软件组织HellCat就曾声称攻破施耐德电气，威胁泄露40GB内部数据，包括项目文件与超过40万行用户信息。而根据Cl0p发布的Magnet链接，艾默生泄露的数据量更是高达2.24T，目前已可供下载。这种规模的数据泄露不仅危及企业商业机密，更可能包含关键基础设施的设计图纸和运行参数。工业控制系统安全公司SynSaber的研究证实了这种威胁的广泛性。2023年上半年，关键制造和能源行业成为最易受攻击的领域，分别占报告漏洞的37.3%和24.3%。在关键制造业中，三菱电机、西门子和罗克韦尔自动化是受影响最大的供应商；能源行业则主要受日立能源、研华科技等厂商漏洞影响。

02 工控漏洞激增，安全防线脆弱不堪

工业控制系统的漏洞数量正呈上升趋势。2023年上半年，美国网络安全与基础设施安全局通报了670个工控产品缺陷，其中227个没有可用补丁，比2022年同期增长显著。

这些漏洞中，88个被评定为“严重”级别，349个为“高危”级别。西门子更是以41个工控漏洞咨询成为2023年上半年曝出漏洞最多的实体。工控系统的脆弱性在具体产品中表现得尤为明显。2021年，施耐德电气的PowerLogic ION/PM智能电表被发现存在两个严重安全漏洞。其中一个被标记为CVE-2021-22714的漏洞，CVSS评分高达9.8分（满分10分），是一个关键的整数溢出漏洞，攻击者可远程执行代码或强制设备重启。这些智能电表不仅被消费者家庭使用，更被公用事业公司、工业公司、数据中心和医疗保健机构用于监控服务，一旦被攻破，影响范围将极为广泛。

03 攻击手法升级，工控系统面临直接威胁

工控系统面临的安全威胁不仅限于传统的数据窃取，更已发展到可直接破坏物理设备。研究演示表明，攻击者能够通过一台PLC攻击其他不同厂家的PLC，实现跨平台传播。2016年，研究人员在Black Hat大会上介绍了?“PLC-Blaster”蠕虫病毒，这种病毒不依赖于计算机，只通过西门子PLC设备进行传播和感染。三年后，研究人员进一步演示了使用一台PLC攻击多家厂商PLC的方法。攻击者可以利用西门子PLC中的TCON功能块与其他基于TCP/IP协议的PLC建立连接，发送恶意指令。由于工控系统设计之初更多考虑实时性而非安全性，“重放攻击”成为最简单有效的攻击方式。攻击者获取操控工控设备的数据包，经修改后发送给设备，设备便会执行相应命令。西门子S7-300 PLC使用的S7Comm协议没有任何加密验证措施，甚至有一些开源工具可直接对使用该协议的设备进行远程操控，大大降低了攻击门槛。

04 无底线勒索，Cl0p组织商业模式成熟

Cl0p勒索组织已形成一套成熟的“点名—威胁—索赔”商业模式。他们不仅在暗网公布受害者信息，还列出企业的总部所在地、营收数据及业务领域，旨在制造复合压力。与以往不同的是，Cl0p正将攻击面从传统的金融、医疗等“数据浓度高”的行业，扩展至能源与工业自动化这些“连接物理世界”的领域，潜在外溢风险更大。这种转变在施耐德电气的案例中尤为明显。攻击者特别偏好“企业级横向系统”与“项目协作平台”，因为这类系统常承载跨部门、跨供应链的身份、文档与接口凭据。

一旦突破，攻击者既能快速横向移动，也能在不加密的情况下完成大体量数据外传，转而进行“二次敲诈”。Cl0p组织不断寻找“放大器”——那些暴露在互联网侧、修补周期长、连接大量敏感数据的企业应用。从MOVEit到Oracle E-Business Suite，他们的攻击目标始终是那些能最大化其勒索收益的系统。

05 防御策略革新，从被动防护到主动备战

面对日益复杂的工控安全威胁，传统防御策略已不足够。企业首先需要建立治理与资产的“可见性”，对外暴露的企业级应用建立动态台账。特别是ERP/EMR/PLM/MFT等高风险系统，必须明确哪些对公网开放、哪些通过零信任网关访问，避免“临时开口子、长期忘关门”。第二层防御是?“以出代守”的数据外泄阻断。在越来越多勒索事件中，真正让企业被动的不是加密，而是大规模数据外传。企业需要对异常压缩、批量打包等异常行为进行检测与人工复核，对高敏文档启用加密与使用追踪，做到“偷得走文件，偷不走可用性”。第三层是身份与供应链的“降爆破面”。将高权限账户做分层隔离与按需提权，关闭长期驻留的域管会大幅提高攻击者攻击成本。同时，对第三方供应商采用独立的身份域与跳板通道，禁止将供应商账户直接接入核心域。最后一层是应急准备的“无剧本演练”。企业是否有一键下线外部暴露面的能力、是否建立与供应链伙伴同步通报的机制，决定了“被点名”到“控损”之间的黄金48小时能否守住底线。

施耐德只是冰山一角。罗克韦尔已发布公告提醒断开部分互联网接口，江森自控在2023年披露过数据窃取与勒索事件，西门子能源在MOVEit事件中被点名受影响，ABB也曾因勒索攻击导致业务中断。

安全专家建议，关键基础设施企业必须立即评估自身风险暴露面，特别是那些直接面向互联网的Oracle E-Business Suite实例。同时，应密切关注CISA发布的工控安全指南，及时安装相关补丁。工业数字化不可能走回头路，唯一的出路是构建更具韧性的安全体系，确保下一次勒索攻击来袭时，关键业务能够保持稳定运行。