美國網路安全和基礎設施安全局 (CISA)和聯邦調查局(FBI)今天向美國政府和私營企業發布了一份聯合安全警告,敦促組織在假期和周末持續並積極地監控勒索軟體的威脅,並建議確認 IT人員在這些時間”隨叫隨到”,以應對勒索軟體攻擊。由於攻擊者意識到,如果他們在 IT或資安團隊下班或人數較少時進行破壞並在公司內部網路中移動,他們更有可能不被發現。即使他們的入侵被檢測到,但一些警報可能不會被及即時讀取或注意到,讓攻擊者在入侵時占得先機。
再加上大多數勒索軟體都更新了他們的程式碼以加快加密程式,大多數攻擊通常只需要幾個小時就能從最初的破壞到加密公司的伺服器,這讓 IT團隊幾乎沒有時間做出反應。
CISA和FBI表示,網路犯罪分子和APT駭客傾向在假期期間不休息而進行攻擊,勒索軟體在母親節、美國陣亡將士紀念日(Memorial Day)和美國獨立日假期等各大節慶的週末發動攻擊的趨勢在今年飆升,組織得思量相對應的營運模式以對抗及防禦勒索攻擊。他們敦促組織採取措施保護他們的系統,減少他們的暴露,並可能“在他們的網路上進行先發制人的威脅搜尋,以尋找威脅行為者的跡象”。
CISA和 FBI 點名3起在周末和假期發生的知名勒索軟體事件:
*操作Darkside 勒索軟體組織於 5 月 7 日(星期六)攻擊了美國最大燃油管道公司Colonial Pipeline。Colonial Pipeline 還向 DarkSide支付了 440 萬美元的贖金,(美國司法部後來沒收了一個 DarkSide 加密貨幣錢包,收回了大部分已支付的贖金)。
*REvil 勒索軟體對JBS Foods的攻擊發生在美國陣亡將士紀念週末假期,JBS向 REvil付了 1100 萬美元的贖金。
*REvil 勒索軟體對IT軟體製造商Kaseya的攻擊發生在 7 月 4 日美國假期期間,攻擊了數十名 Kaseya 客戶和多達 1,500 家其他下游企業。
另外,CISA和FBI建議組織可採取多種措施來保護他們的系統,包括:
*對數據進行離線備份
*避免點擊可疑的連結
*保護和監控遠端桌面協議的端點
*更新操作系統和軟體
*使用高強度密碼
*使用多因素身份驗證
CISA和FBI還建議在週末讓IT人員輪班並敦促組織適應這種新的營運模式並相應地改變他們的防禦措施, 根據 FBI 網路犯罪投訴中心 (IC3) 的數據,在過去一個月裡,發現以下勒索軟體的攻擊最活躍:
*Conti
*PYSA
*LockBit
*RansomEXX/Defray777
*Zeppelin
*Crysis/Dharma/Phobos
CISA 和 FBI補充說,即使他們今天發布了這份聯合公告,但沒跡象表明即將到來的美國勞動節(Labor Day)周末會發生重大勒索軟體攻擊。