最近爆发的WannaCry勒索蠕虫再一次将勒索软件带入了我们的视野，短短几天已经波及百余个国家和地区，涉及能源、电力、交通、医疗、教育、制造等重点行业领域，并且仍在迅速蔓延。目前，我国石油、交通、教育、质检等涉及国计民生的关键领域也已受到影响，造成不同程度的损失，给人们的生产生活带来了很大的麻烦。

根据以往的认识，勒索软件主要攻击商业企业、学校或者个人用户，但是随着全球网络安全威胁的日益增多以及国与国之间的网络博弈，针对关键基础设施中的工业控制系统的勒索软件将是一大潜在威胁，如果一旦爆发，将比现有的勒索软件更加具有威胁。

在今年2月份的时候佐治亚理工学院的研究人员就在有限的范围内模拟了一个概念勒索软件LogicLocker，在模拟环境中，该软件能够控制水处理厂，并威胁关闭整个供水系统，或通过增加氯的浓度，污染城市用水。

LogicLocker利用施耐德Modicon M241设备的原始API接口，扫描工控系统内部网络的已知安全漏洞设备，如AB MicroLogix 1400 PLC、施耐德Modicon M221 PLC。通过感染和绕过方式突破安全机制，可以对PLC实现重编程、密码重设和合法用户锁定功能，并在程序中设置对物理和人身安全形成威胁的逻辑炸弹，最后可以向受害方PLC设备管理人员发送警告邮件进行勒索。

如果勒索赎金得到满足，攻击者就会向受害方提供一段设备重置程序以解除勒索；如果谈判失败或受害方拒绝支付赎金，攻击者将会向供水设施中添加过量的对人体有害的氯。另外，攻击者还可以通过PLC来篡改水量设备读数或关闭用水水阀，造成公众恐慌。

除了LogicLocker，已知还有两款针对工控系统的勒索软件原型。在今年4月初，CRITIFENCE发布一个名为能源清除（ClearEnergy）的基于清除PLC梯形逻辑图的勒索软件原型。ClearEnergy以强大的加密算法感染计算机并加密其内容，然后要求赎金来解密该数据。4月27日，Security Week发布了一篇文章，揭示了一个针对SCADA设备的勒索软件Scythe，可以利用固件验证绕过漏洞，并锁住升级更新固件的功能。

以上攻击只是在模拟环境下的概念验证，但是这些实验向人们揭示了对工控系统进行勒索攻击的可行性以及巨大的危害。

随着勒索软件的泛滥，在不久的将来，可能会有网络犯罪者直接攻击关键基础设施。除此之外，国家背景的攻击者也可能会利用勒索软件，隐藏其真实意图。所以，关键基础设施和工控系统的相关人员也应该开始采取有效的安全措施，比如建立完善的安全管理制度，采取网络隔离分区、进行主机安全防护、网络安全防护等措施来提升防御能力，抵御潜在的攻击。