俄烏沖突中再現(xiàn)類似NotPetya的數(shù)據(jù)擦除攻擊手法,令許多企業(yè)開始緊急加強安全措施,甚至一些不太可能受到影響的美國企業(yè)也陷入恐懼、不確定與懷疑情緒;
為避免烏克蘭網(wǎng)空風(fēng)險外溢,美國政府發(fā)布了相關(guān)惡意軟件的IOC指標(biāo),并要求企業(yè)加強安全防御。
在俄羅斯對烏克蘭展開軍事行動之前,有攻擊者針對多個烏克蘭組織部署破壞性惡意軟件,意在令對方計算機系統(tǒng)無法正常運行。
針對烏克蘭組織的進一步破壞性網(wǎng)絡(luò)攻擊可能會發(fā)生,并在無意中將影響蔓延至其他國家。
這不禁令人想起2017年NotPetya數(shù)據(jù)擦除軟件相似的攻擊手法,并促使部分企業(yè)開始加強網(wǎng)絡(luò)監(jiān)控,甚至著手將客戶數(shù)據(jù)轉(zhuǎn)移出危險地帶。
不要重蹈NotPetya恐怖故事
美國制造技術(shù)企業(yè)羅克韋爾自動化公司前首席信息安全官Dawn Cappelli表示,“等待最是令人惴惴不安?!眲倓偼诵莸乃罱恢迸c信息安全團隊保持聯(lián)系,積極評估企業(yè)系統(tǒng)中是否存在可疑活動。
她說,“大家正密切關(guān)注首個威脅指標(biāo)的出現(xiàn),打算盡快分享處置這些信息?!?/p>
美國參議院情報委員會主席、參議員Mark Warner在上周五表示,俄羅斯目前網(wǎng)絡(luò)攻勢相對有限可能是在刻意克制,而非無力進攻。他警告稱,克里姆林宮方面可能隨時會改變路線。
這場迅速爆發(fā)的沖突正傳遞出壓力,迫使身處數(shù)千英里之外企業(yè)的安全團隊研究自己的網(wǎng)絡(luò)日志,并篩選由烏克蘭當(dāng)局、美國官員以及網(wǎng)絡(luò)安全研究人員發(fā)布的各類威脅情報。
一部分公司的反應(yīng)則更加積極,開始監(jiān)控自己在沖突地區(qū)的計算機系統(tǒng)。出于預(yù)防目的,包括云基礎(chǔ)設(shè)施與安全公司CloudFlare在內(nèi)的多家企業(yè)已經(jīng)開始將客戶信息從烏克蘭服務(wù)器中遷出。
網(wǎng)絡(luò)咨詢公司IANS Research的教員Jake Williams認(rèn)為,目前的緊張局勢已經(jīng)令很多不太可能受到影響的美國企業(yè)陷入恐懼、不確定與懷疑情緒。
美國政府警告企業(yè)加強安全防御
美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)及FBI聯(lián)合發(fā)布咨詢文件,提供了WHisperGate、HermeticWiper惡意軟件的相關(guān)信息與開源威脅指標(biāo)(IOC),希望幫助各組織機構(gòu)檢測并預(yù)防惡意軟件。
1月15日,微軟宣布發(fā)現(xiàn)針對多個烏克蘭組織的復(fù)雜惡意軟件攻擊。這種名為WhisperGate的惡意軟件分兩個行動階段,能夠破壞系統(tǒng)中的主引導(dǎo)記錄、顯示虛假的勒索軟件提示,并根據(jù)特定文件擴展名進行數(shù)據(jù)加密。值得注意的是,雖然在攻擊過程中會顯示勒索軟件提示,但微軟強調(diào)這時候目標(biāo)數(shù)據(jù)已經(jīng)遭到破壞、即使支付贖金也無法恢復(fù)。
2月23日,安全研究人員又發(fā)現(xiàn),另一種名為HermeticWiper的惡意軟件開始對烏克蘭組織發(fā)動攻勢。根據(jù)SentinelLabs的調(diào)查,該惡意軟件專以Windows設(shè)備為目標(biāo),能夠操縱主引導(dǎo)記錄并致使后續(xù)引導(dǎo)失敗。博通公司還提到, HermeticWiper與前期針對烏克蘭的WhisperGate擦除器攻擊間具有一些相似之處,同樣會把擦除器偽裝成勒索軟件。
破壞性惡意軟件對組織的日常運營構(gòu)成直接威脅,并影響到關(guān)鍵資產(chǎn)與數(shù)據(jù)的可用性。組織應(yīng)提高警惕并評估自身能力,包括針對此類事件的規(guī)劃、準(zhǔn)備、檢測與響應(yīng)能力。
這份聯(lián)合咨詢提供了指導(dǎo)建議與注意事項,可以作為網(wǎng)絡(luò)架構(gòu)、安全基線、持續(xù)監(jiān)控與事件響應(yīng)實踐當(dāng)中的組成部分。
CISA與FBI敦促所有組織實施聯(lián)合咨詢的相關(guān)建議,提高抵御這類網(wǎng)絡(luò)威脅的能力。安全內(nèi)參讀者如有興趣可以閱讀報告的全文了解。