為什么勒索軟件攻擊者熱衷周末和假期?

責任編輯:cres

作者:Brian Barrett

2021-09-10 10:13:48

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

勒索軟件攻擊者尤為喜歡周末和法定假期。雖說這種趨勢并不新鮮,但FBI和網(wǎng)絡安全與基礎設施安全局(CISA)發(fā)布的聯(lián)合警告強調(diào)了這種威脅已經(jīng)變得非常嚴峻和緊迫。

今年,美國陣亡將士紀念日長周末期間,全球最大的肉類供應商JBS的服務器遭遇黑客攻擊,導致部分工廠暫停作業(yè);美國獨立日(7月4日)之前的周五,IT管理軟件公司Kaseya以及超過一千家不同規(guī)模的企業(yè)同樣遭遇勒索軟件攻擊;此次勞動節(jié)(美國勞動節(jié)為9月第一個星期一)是否還會發(fā)生高調(diào)的勒索軟件攻擊事件還有待觀察,但有一點十分清楚:黑客也喜歡假期。
 
的確,勒索軟件攻擊者也尤為喜歡周末和法定假期。雖說這種趨勢并不新鮮,但FBI和網(wǎng)絡安全與基礎設施安全局(CISA)發(fā)布的聯(lián)合警告強調(diào)了這種威脅已經(jīng)變得非常嚴峻和緊迫。
 
假期對于攻擊者的吸引力非常簡單。勒索軟件可能需要時間才能在整個網(wǎng)絡中傳播,因為黑客需要努力提升權(quán)限以最大限度地控制大多數(shù)系統(tǒng)。不被發(fā)現(xiàn)的潛伏期越長,能夠造成的傷害也就越大。殺毒軟件公司Emsisoft 的威脅分析師Brett Callow表示,“一般來說,當工作人員遠離工作轉(zhuǎn)向狂歡時,威脅行為者便會著手部署他們的勒索軟件。因為此時攻擊被發(fā)現(xiàn)和中斷的可能性更小。”
 
即便很快發(fā)現(xiàn)了勒索軟件的蹤跡,此時的許多事件處理人員可能正在開派對、游泳……總之,肯定是不如平時工作日一般能夠快速掌握和處理事件。
 
安全公司Red Canary的情報總監(jiān)Katie Nickels表示,“平心而論,值守人員在假期可能沒那么專心也是有道理的,畢竟原本熱鬧忙碌的辦公室一下子空了,找不到工作狀態(tài)也是正常的。如果在假期發(fā)生重大安全事件,值守人員可能會比平時更難聯(lián)系到必要的人員進行快速響應。”
 
正是這些頻發(fā)的重大安全事件成功吸引了FBI和CISA的關(guān)注;除了上述的JBS和Kaseya事件之外,毀滅性的Colonial Pipeline攻擊事件同樣發(fā)生在母親節(jié)的周末(雖然不是為期3天的長周末,但仍然造成了災難性后果)。FBI和CISA聯(lián)合警告稱,雖然他們并未有任何“具體的威脅報告”表明類似的攻擊活動會發(fā)生在勞動節(jié)的周末,但如果發(fā)生了,也不足為奇。
 
同樣重要的是要記住,勒索軟件是一種持續(xù)性的威脅,每一次引人注目的燃氣短缺背后,可能都有數(shù)十家小企業(yè)在爭先恐后地向網(wǎng)絡犯罪分子支付比特幣。2020 年,受害者向FBI的互聯(lián)網(wǎng)犯罪投訴中心(IC3)報告了2474 起勒索軟件事件,比上一年增加了20%。根據(jù)IC3的數(shù)據(jù)顯示,黑客的攻擊在同一時間段內(nèi)增加了兩倍。這些攻擊并非都集中在為期3天的長周末和霍爾馬克假日(Hallmark holiday,即新總統(tǒng)上任100天的日期)。
 
事實上,正如CISA和FBI所承認的那樣,周末通常會受到騙子的歡迎。Callow指出,向ID Ransomware(由安全研究員Michael Gillespie創(chuàng)建的一項服務,可以讓您上傳贖金記錄或加密文件以找出究竟是什么攻擊了您)提交的文件往往會在周一激增,因為此時受害者已經(jīng)返回工作崗位并發(fā)現(xiàn)了數(shù)據(jù)加密行為。
 
不過,黑客的戰(zhàn)略時機還有其他表現(xiàn)形式。例如,針對學校的攻擊一般會在春末和夏季急劇下降,因為那時與恢復相關(guān)的緊迫性要小得多。當從孟加拉國銀行竊取8100萬美元時,朝鮮的Lazarus組織不僅利用了孟加拉國和美國周末之間的差異(前者是周五和周六),而且還利用了農(nóng)歷新年的契機,這是亞洲絕大多數(shù)地區(qū)都有的假期。
 
確實,一些大型勒索軟件團伙——其中包括DarkSide、Ragnarok和REvil——最近已經(jīng)宣布解散或下線。但副國家安全顧問Anne Neuberger近日在新聞發(fā)布會上表示,美國情報機構(gòu)最近確實發(fā)現(xiàn)勒索軟件數(shù)量“減少”,但絕不能就此放松警惕。像Pysa、Lockbit 2.0、Conti等勒索軟件組織會繼續(xù)對企業(yè)造成重大損害。即便一個或多個占主導地位的勒索軟件家族消失了,它背后通常還會有另一個新涌現(xiàn)的組織來填補空白。最后,Neuberger警告稱,企業(yè)必須在周末或假期之前“保持警惕”。
 
不幸的是,為潛在的黑客攻擊做準備并不是簡單地在周五下午關(guān)閉各種“艙門”的問題。到那時,已經(jīng)為時晚矣;攻擊者往往會潛伏在受損系統(tǒng)中,并在最合適的時機發(fā)動攻擊。進行嚴格防御的最佳時間通常是在勒索軟件真正攻擊之前的幾周。
 
也就是說,公司和個人可以采取一些措施來更好地保護自己免受黑客攻擊,無論是在長周末之前還是之后。FBI和CISA給出的建議與大多數(shù)網(wǎng)絡安全情況的最佳實踐相呼應:不要點擊可疑鏈接;對您的數(shù)據(jù)進行離線備份;使用強密碼;確保您的軟件處于最新狀態(tài);使用雙因素身份驗證;如果您使用遠程桌面協(xié)議(一種Microsoft產(chǎn)品,歷來被證明是攻擊者最慣用的切入點),請謹慎操作。還有,也許這個周末可以多留幾個人待命,以防萬一。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號