海上能源行业面临的网络威胁浪潮

主要发现：

• 在2024年10月至2025年10月期间，Qilin是攻击能源领域最活跃的勒索软件团伙。
• 能源领域56%的勒索软件受害者位于美国和加拿大。
• 今年观察到威胁行为者通过Google Ads上的恶意广告，向能源公司分发欺诈性应用程序（如RecipeLister和AppSuite PDF Editor）来传播恶意软件。

海上能源运营商正处在一个网络风险升高且复杂的时期。

2023年，运营技术和工业控制系统安全事件遭受攻击的可能性是任何其他工业部门的三倍。英国的公用事业公司尤其受到重创，从2022年到2023年攻击量激增了586%。此外，去年，北约能源安全年度圆桌会议的焦点是针对海上风电场和海底电缆的物理和网络攻击，突显了保护关键安全基础设施日益增长的需求。

数字系统是发电、管道物流、钻井和起重作业以及海上风能资产控制的核心。这意味着网络攻击不再仅仅扰乱后台系统，还可能波及安全、环境影响、市场波动以及海上和陆上的服务可用性。

图1. 暗网论坛上一名威胁行为者正在寻找包括能源领域在内的关键基础设施实体的信息。

海上能源设施，如风力涡轮机、石油和天然气钻井平台，对网络犯罪分子尤其有吸引力，因为其运营不仅依赖于远程连接，还需要好天气以便工作人员前往设施处理任何问题。当天气使得此类行程危险时，工作人员必须暂停关键工作，直到可以安全操作为止。

图2. 一名威胁行为者正在寻找能源领域的网络访问权限，以便进行潜在攻击。

犯罪分子了解工作人员何时可以操作、何时不能操作，并利用这些知识在敲诈勒索中增加筹码。海上安全警报记录了动态定位故障或传感器问题如何可能导致钻井或重型起重作业暂停，这使得任何由网络攻击导致的停机代价更加高昂。

本文以清晰的商业术语阐述这些风险，并将其与可以在混合IT、OT和海上环境中实施的实际控制措施联系起来。

针对发电公司的勒索软件攻击

勒索软件团伙会寻找停机造成损失最严重的地方。能源和海上作业对中断的容忍度非常低，因为延误会连锁引发安全风险、环境暴露和市场影响。犯罪分子知道，停运的管道或必须暂停钻井的船只每小时都在造成巨大损失，因此受害者面临着尽快恢复系统的巨大压力。Colonial Pipeline的公开证据表明，一次勒索软件事件如何导致燃料短缺并迫使快速做出恢复决策，包括支付一笔经FBI追回部分的已确认赎金。在海上，前沿钻井平台的日租金通常高达每天数十万美元，因此即使是短暂的暂停也会造成巨大的损失，从而放大勒索的筹码。

图3. Inc勒索软件声称攻击了汤加国有电力供应商Tonga Power。

尽管针对关键基础设施的勒索软件攻击一直是各国面临的持续威胁，但近年来，能源领域持续看到这些普遍且无情的攻击有所增加。

我们自己的研究数据支持这一事实。在《2025年风险雷达报告：能源与公用事业领域》中，我们发现能源领域的勒索软件活动出现了惊人的80%的同比增长。

在查看了不同勒索软件团伙的数据泄露网站后，团队发现Qilin是2024年10月至2025年10月期间攻击能源领域最主要的勒索软件团伙。

Qilin是一个俄语网络犯罪组织，与多起事件有关。该团伙以其激进的战术和高价值目标策略而闻名，使其成为攻击能源领域最活跃的团伙。

表1. 在勒索软件行为者各自的数据泄露门户网站上曝光的能源领域勒索软件受害者数量。

根据数据，还出现了以下区域模式：

• 能源领域56%的勒索软件受害者位于美国和加拿大。
• 亚太地区发生了大量的勒索软件攻击，特别是针对澳大利亚、印度、印尼、新加坡和泰国的能源公司。
• 在欧洲，针对能源公司（尤其是位于德国、英国、法国和意大利的公司）的勒索软件攻击处于中等水平。
• 针对拉丁美洲（巴西、阿根廷、智利和哥伦比亚）能源公司的勒索软件攻击数量也在增长。
• 勒索软件行为者也针对阿联酋、卡塔尔、阿曼和约旦等中东国家的一些能源公司。
• 非洲（肯尼亚、乌干达、博茨瓦纳）的勒索软件活动有限。

数据还指出勒索软件行为者瞄准了以下关键基础设施：

• SCADA系统：工业控制系统
• 能源管理：电网控制和监控系统
• 远程设施：海上和偏远地区的能源设施
• 供应链：能源服务提供商

能源公司持有犯罪分子可以通过多种方式变现的数据。这包括运营计划、工程文件、交易和客户信息，以及可持续性或碳排放报告数据集。一些影响能源供应商的事件，例如施耐德电气的事件，说明了攻击者如何窃取敏感数据，然后通过双重甚至三重勒索对供应商和下游客户施加压力。

今年早些时候，加拿大新斯科舍省电力公司遭遇勒索软件攻击，影响了其IT和网络运营。该公司被迫关闭受影响的服务器，导致运营中断和客户服务延误。

在未经授权的入侵期间，勒索软件行为者窃取了一些客户信息，包括姓名、电话号码、电子邮件地址以及客户的支付、账单和信用记录。在5月23日发布的更新中，该能源公司确认勒索软件行为者发布了被盗客户数据，并且他们没有支付赎金。受影响的客户已得到相应通知，并获得免费的最初两年信用监控服务，后来该服务延长至五年。

影响能源领域的数据泄露

从能源公司及其供应商处获取的材料涵盖工程和运营文件、身份数据、合同和内部通信，犯罪分子会利用这些材料进行有针对性的钓鱼攻击和后续访问。

图4. 一名威胁行为者分享了据称通过入侵一家能源公司获得的一些面板的访问权限。

去年，总部位于德克萨斯州的能源服务公司哈里伯顿证实，一起安全事件导致公司信息外泄，包括对公司支持其运营和企业职能的部分业务应用程序的有限访问。

供应链漏洞在MOVEit活动期间放大了这种风险，攻击者利用单个文件传输漏洞，在西门子能源、壳牌的澳大利亚子公司以及美国能源部的多个实体处窃取文件，最终数百个组织被列为受害者。即使核心运营未受干扰，泄露的数据集也会给员工、客户和合作伙伴带来长期的风险。一旦公布，能源领域的泄露数据很难控制。对手和第三方追踪者会列出受害者名单并重新发布存档数据，这给运营商及其客户带来持续压力，并使针对现场和办公室员工的反复社会工程攻击成为可能。

图5. 威胁行为者正在出售据称通过入侵一家总部位于阿根廷的能源公司获得的136GB数据。

即使核心运营未受干扰，泄露的数据集也会给员工、客户和合作伙伴带来长期的风险。

图6. 一则关于一家跨行业（包括能源领域）经营的跨国集团数据泄露的暗网论坛帖子。

一旦公布，能源领域的泄露数据很难控制。对手和第三方追踪者会列出受害者名单并重新发布存档数据，这给运营商及其客户带来持续压力，并使针对现场和办公室员工的反复社会工程攻击成为可能。

暗网上出售的对能源公司的访问权限

针对能源和海上运营商的初始访问权限销售是地下论坛的常态。中间人通过窃取的凭证和被利用的边缘设备获得立足点，然后将“网络访问”权限出售给出价最高者。这类信息通常广告售卖RDP或VPN入口点，指明受害者的国家和收入，并使用拍卖术语如“起始价”、“加价幅度”和“闪电价”来标示起拍价、加价幅度和一口价。

图7. 一则经过还原的暗网广告，威胁行为者正在出售对一家能源公司的访问权限。

定价旨在快速成交。最近的访问中间人评论显示，大多数企业访问权限以数百美元的低价出售，典型价格区间大约在500美元至3000美元之间，偶尔对高价值环境会要价数万美元。访问类型已从主要是RDP转向更多的VPN和其他远程服务，这反映了攻击者现在如何大规模窃取凭证并滥用外围设备。这些市场为勒索软件和数据窃取团伙提供了资源。这些市场和论坛显示中间人帖子年复一年保持着稳定的量，许多商品捆绑了可用的用户权限，使购买者能够更快地转移到文件服务器、电子邮件和OT相关的跳板主机。

图8. 一则经过还原的暗网广告声称提供对孟加拉国电力发展委员会的完全访问权限。

这些市场为勒索软件和数据窃取团伙提供了资源。这些市场和论坛显示中间人帖子年复一年保持着稳定的量，许多商品捆绑了可用的用户权限，使购买者能够更快地转移到文件服务器、电子邮件和OT相关的跳板主机。

恶意软件攻击

今年我们观察到威胁行为者通过Google Ads上的恶意广告向能源公司分发特定的恶意软件。

2025年6月，我们观察到威胁行为者通过恶意广告在能源领域分发欺诈性RecipeLister应用程序来传播恶意软件。通过恶意广告投递，该恶意软件伪装成食谱实用程序。该可执行文件使用NSIS（Nullsoft可编写脚本安装系统）在用户临时目录中静默安装Electron应用程序，并在无需用户交互的情况下启动它。安装后，恶意软件窃取敏感凭证，并使威胁行为者能够建立持久性并运行远程命令。

图9. 恶意的RecipeLister实用程序应用程序。

8月，我们发现网络犯罪分子通过Google Ads上的恶意广告向能源公司分发AppSuite PDF后门。也称为“PDFEditor”或“ManualFinder”，AppSuite PDF是一种木马化的应用程序，通过看似合法的网站分发，用于凭据窃取和代理创建。

根据我们的观察，恶意的“AppSuite-PDF.msi”文件是由用户通过浏览器在多台系统上直接下载的。该恶意软件伪装成合法的PDF查看器，可通过不同网站下载。该应用程序使威胁行为者能够建立持久性并运行远程命令。

图10. 恶意的AppSuite PDF Editor。

网络钓鱼攻击

网络钓鱼是包括能源行业在内的所有领域都流行的攻击媒介。根据《安全杂志》的报告，2023年针对OT和ICS系统的攻击中，有34%是由网络钓鱼造成的。

最近，一个被称为“电力寄生虫”的网络钓鱼骗局开始针对能源公司，模仿能源公司的网站和社交媒体品牌，欺骗潜在的求职者和投资者无意中提供其敏感的个人和银行信息。

除了创建看似合法的登录页面外，“电力寄生虫”的行为者还滥用Telegram等通信平台来欺骗受害者并实施攻击。“电力寄生虫”的大部分受害者位于孟加拉国、尼泊尔和印度。

据报道，“电力寄生虫”团队利用了西门子能源、施耐德电气、法国电力公司能源部、雷普索尔公司和森科能源公司等知名能源公司的品牌。

结论

尽管海上能源公司高度专注于创造清洁能源以促进经济、创造就业机会并满足巨大的能源需求，但这不应该是他们唯一的关注点。随着网络安全挑战的不断演变和激增，如潮水般持续上涨，海上能源组织必须优先考虑安全，以保持其运营不受阻碍地运行。在《2023年能源网络优先事项报告》（一项涉及600名能源专业人员的DNV调查）中，64%的受访者认为他们的组织更容易受到网络攻击，59%的人表示他们的公司将在2023年至2024年期间投资于网络安全。

海上能源公司可以通过基于异常行为的入侵检测系统、AI驱动的预测性维护和智能自动化来保持安全和韧性，确保全球可再生能源事业的扩张。