目前已有60家組織受惠於此計劃，得到CISA的預警通知，預警通知是作為提醒機構注意早期勒索軟體攻擊的新舉措

美國網路安全暨基礎設施安全局（CISA）和聯合網路防禦協作組織(Joint Cyber Defense Collaborative-JCDC)在3 月 23 日宣布了一項新舉措，名為勒索軟體預警通知(Pre-Ransomware Notification Initiative，旨在提醒組織注意早期勒索軟體攻擊，以幫助組織快速修補勒索軟體攻擊者針對的漏洞。據瞭解，自今年年初以來，該機構已預警通知了包含能源、教育、醫療保健、供水/廢水處理和其他領域的 60 多家組織，據稱其中有許多組織在數據被成功加密或外洩前得以緩解攻擊。 

勒索軟體預警通知是一種主動網路防禦功能，旨在警告組織它們遭到入侵，以便他們可以在被部署加密勒索軟體之前將攻擊者從其網路中驅逐出去。聯合網路防禦協作組織（JCDC）副主任Clayton Romans指出，勒索軟體參與者在獲得對目標的初始入侵權後通常需要一些時間才能加密或竊取資訊，從最初存取網路到系統加密之間的隔間時間，可以持續數小時到數天，這個空窗期可讓他們有時間通知受害組織勒索軟體參與者已經獲得了對其網路的初始入侵權，可幫助受害組織限制勒索軟體攻擊造成的損失。通過在收到預警時立即採取行動，組織可以減少潛在的數據外洩，避免對營運的影響，並減少財務影響和其他不利後果。

Romans進一步說，CISA 和JCDC從多個來源收集有關潛在早期勒索軟體活動的資訊，當中包括網路安全研究社群、基礎設施提供商和網路威脅情資公司等，然後由美國各地的到場職員通知受害者組織並提供具體的緩解指導。值得一提的是，如果受害人是美國境外的實體，CISA還將通過其國際CERT合作夥伴向美國以外的組織提供通知。

Romans補充說，在勒索軟體參與者已經加密網路並持有數據和系統以索取贖金的情況下，JCDC與受害組織將密切合作，提供攻擊者的策略、技術和程序 (TTP) 以及指南，以幫助減少再一次被攻擊的可能性。

資安全公司SafeBreach的首席安全官Avishai Avivi 在評論這項新舉措時表示，這是一個有意義的信號，表明拜登政府正在推動實施本月早些時候發布的國家網路安全戰略。

在此處閱讀有關美國戰略的更多資訊：白宮發布國家網路安全戰略

Avivi表示該預警通知計劃對應美國國家網路戰略列出的其中之一項目標，提高情資共用和受害者通知的速度、規模和打擊網路犯罪，以擊敗勒索軟體。Avivi補充說，認為這種類型的合作將使組織能夠驗證其安全控制，同時增強其安全計劃對這些類型攻擊的彈性。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

在個資外洩發生後，這家豪華跑車製造商還透露，駭客存取了其公司的 IT 系統。

法拉利執行長 Benedetto Vigna 致受影響客戶的一封信中表示：“我們很遺憾地通知您法拉利發生了一起網路事件，攻擊者能夠存取我們 IT 環境中的有限數量的系統。”

這家汽車製造商表示，駭客存取了客戶的姓名、地址、電子郵件地址和電話號碼。根據迄今為止的調查，法拉利表示，沒有任何付款資料或擁有或訂購的法拉利汽車的詳細資料被盜，但尚不清楚該汽車製造商是否具有檢測的技術能力（例如對日誌或數據洩露）。法拉利僅表示，我們可以確認，入侵行為對我們公司的運營功能沒有影響。

法拉利不願透露有多少客戶受到入侵的影響，也不願透露公司是如何或何時受到攻擊的，在 3 月 21 日的一份聲明中法拉利表示，其公司的政策是不會屈服於此類犯罪活動，因此不會支付贖金，並認為最好的方案是通知客戶，因此他們已將潛在的數據洩露和事件的性質通知客戶，提醒可能的風險。儘管法拉利聲稱他們現在正在與第三方專家合作“進一步加強”他們的系統並且“對他們的彈性充滿信心，這次的事件只是該公司的網路資安事件的其中一宗。

目前尚不清楚此次入侵是否與去年 10 月發生的一起事件有關，當時一個名為“RansomEXX”的勒索軟體組織聲稱入侵了這家汽車製造商，但法拉利當時否認了這一說法。根據資安外媒TechCrunch看到，RansomEXX 在其揭秘網站上列出了據稱從法拉利竊取的 7GB 數據，包括內部文件、數據表和維修手冊等。

路透社報導了 2021 年的另一起事件，其中 Everest 勒索軟體組織成功攻擊了法拉利、蘭博基尼和瑪莎拉蒂的零部件供應商 Speroni，就在兩個月前，一名研究人員發現了法拉利和其他公司的車輛存在網路安全漏洞，這些漏洞可能會導致車輛的全面接管。

由於法拉利擁有世界上最昂貴的汽車系列之一，因此高端客戶的清單對網路犯罪分子非常有吸引力，促使他們有機會定制惡意的、有針對性的電子郵件。

一個疑似的中國APT駭客通過利用 Fortinet FortiOS 中的安全漏洞以政府實體和大型組織為目標，正如 Fortinet在上週的披露，該安全漏洞允許攻擊者通過在未修補的 FortiGate 防火牆設備上執行未經授權的程式碼或命令來部署惡意軟體有效負載 。

其中一個事件是在客戶的 FortiGate 設備因FIPS韌體完整性相關錯誤而關閉時發現的，導致其無法運行，進一步的分析表明，攻擊者可以使用該惡意軟體進行間諜活動，包括數據洩露、在受感染設備上下載和寫入檔案，或者在收到惡意製作的 ICMP 數據包時打開遠端 shell，有問題的零時差漏洞是CVE-2022-41328（CVSS 分數：6.5），這是 FortiOS 中的一個中等目錄遍歷漏洞，可能導致任意程式碼執行。該漏洞影響 FortiOS 版本 6.0、6.2、6.4.0 至 6.4.11、7.0.0 至 7.0.9 以及 7.2.0 至 7.2.3。該公司分別發布了 6.4.12、7.0.10 和 7.2.4 版本來解決該漏洞。

在一位客戶的 FortiGate 設備突然停止且無法重新啟動後，Fortinet 對這些攻擊展開了調查，設備停止顯示以下錯誤消息：

“由於 FIPS 錯誤，系統進入錯誤模式：韌體完整性自檢失敗”(System enters error-mode due to FIPS error: Firmware Integrity self-test failed)完整性測試的失敗會阻止設備重新啟動，以保護網路的完整性。研究人員發現攻擊者修改了韌體映像中的/sbin/init 檔案夾，他們注意到存在一個新檔案 /bin/fgfm，修改旨在為攻擊者提供持久存取。

“對/sbin/init的修改 確保 /bin/fgfm在繼續執行常規啟動操作之前運行，這可能為攻擊者提供持久的存取和控制。” Fortinet發布的分析。

執行 fgfm 惡意軟體後，它會聯繫遠端伺服器 (C2) 並等待命令執行，惡意程式碼可以根據從 C&C 伺服器接收到的命令執行各種操作，包括退出程式、竊取數據、下載/寫入檔案、建立遠端 shell。

Fortinet 表示，這次攻擊具有很強的針對性，有證據指向政府或政府附屬組織，該漏洞為CVE-2022-41328可允許特權攻擊者通過精心設計的 CLI 命令讀取和寫入任意檔案。

鑑於漏洞利用的複雜性，懷疑攻擊者“對 FortiOS 和底層硬體有深入的了解”，並且擁有對 FortiOS 操作系統的不同方面進行逆向工程的高級功能。

目前尚不清楚攻擊者是否與今年 1 月初觀察到的另一組駭客有任何關聯，該組織利用 FortiOS SSL-VPN (CVE-2022-42475) 中的一個漏洞來部署 Linux 植入程式。