[[423043]]

今年，美國陣亡將士紀(jì)念日長(zhǎng)周末期間，全球最大的肉類供應(yīng)商JBS的服務(wù)器遭遇黑客攻擊，導(dǎo)致部分工廠暫停作業(yè);美國獨(dú)立日(7月4日)之前的周五，IT管理軟件公司Kaseya以及超過一千家不同規(guī)模的企業(yè)同樣遭遇勒索軟件攻擊;此次勞動(dòng)節(jié)(美國勞動(dòng)節(jié)為9月第一個(gè)星期一)是否還會(huì)發(fā)生高調(diào)的勒索軟件攻擊事件還有待觀察，但有一點(diǎn)十分清楚：黑客也喜歡假期。

的確，勒索軟件攻擊者也尤為喜歡周末和法定假期。雖說這種趨勢(shì)并不新鮮，但FBI和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)發(fā)布的聯(lián)合警告強(qiáng)調(diào)了這種威脅已經(jīng)變得非常嚴(yán)峻和緊迫。

假期對(duì)于攻擊者的吸引力非常簡(jiǎn)單。勒索軟件可能需要時(shí)間才能在整個(gè)網(wǎng)絡(luò)中傳播，因?yàn)楹诳托枰μ嵘龣?quán)限以最大限度地控制大多數(shù)系統(tǒng)。不被發(fā)現(xiàn)的潛伏期越長(zhǎng)，能夠造成的傷害也就越大。殺毒軟件公司Emsisoft 的威脅分析師Brett Callow表示，“一般來說，當(dāng)工作人員遠(yuǎn)離工作轉(zhuǎn)向狂歡時(shí)，威脅行為者便會(huì)著手部署他們的勒索軟件。因?yàn)榇藭r(shí)攻擊被發(fā)現(xiàn)和中斷的可能性更小。”

即便很快發(fā)現(xiàn)了勒索軟件的蹤跡，此時(shí)的許多事件處理人員可能正在開派對(duì)、游泳……總之，肯定是不如平時(shí)工作日一般能夠快速掌握和處理事件。

安全公司Red Canary的情報(bào)總監(jiān)Katie Nickels表示，“平心而論，值守人員在假期可能沒那么專心也是有道理的，畢竟原本熱鬧忙碌的辦公室一下子空了，找不到工作狀態(tài)也是正常的。如果在假期發(fā)生重大安全事件，值守人員可能會(huì)比平時(shí)更難聯(lián)系到必要的人員進(jìn)行快速響應(yīng)。”

正是這些頻發(fā)的重大安全事件成功吸引了FBI和CISA的關(guān)注;除了上述的JBS和Kaseya事件之外，毀滅性的Colonial Pipeline攻擊事件同樣發(fā)生在母親節(jié)的周末(雖然不是為期3天的長(zhǎng)周末，但仍然造成了災(zāi)難性后果)。FBI和CISA聯(lián)合警告稱，雖然他們并未有任何“具體的威脅報(bào)告”表明類似的攻擊活動(dòng)會(huì)發(fā)生在勞動(dòng)節(jié)的周末，但如果發(fā)生了，也不足為奇。

同樣重要的是要記住，勒索軟件是一種持續(xù)性的威脅，每一次引人注目的燃?xì)舛倘北澈螅赡芏加袛?shù)十家小企業(yè)在爭(zhēng)先恐后地向網(wǎng)絡(luò)犯罪分子支付比特幣。2020 年，受害者向FBI的互聯(lián)網(wǎng)犯罪投訴中心(IC3)報(bào)告了2474 起勒索軟件事件，比上一年增加了20%。根據(jù)IC3的數(shù)據(jù)顯示，黑客的攻擊在同一時(shí)間段內(nèi)增加了兩倍。這些攻擊并非都集中在為期3天的長(zhǎng)周末和霍爾馬克假日(Hallmark holiday，即新總統(tǒng)上任100天的日期)。

事實(shí)上，正如CISA和FBI所承認(rèn)的那樣，周末通常會(huì)受到騙子的歡迎。Callow指出，向ID Ransomware(由安全研究員Michael Gillespie創(chuàng)建的一項(xiàng)服務(wù)，可以讓您上傳贖金記錄或加密文件以找出究竟是什么攻擊了您)提交的文件往往會(huì)在周一激增，因?yàn)榇藭r(shí)受害者已經(jīng)返回工作崗位并發(fā)現(xiàn)了數(shù)據(jù)加密行為。

不過，黑客的戰(zhàn)略時(shí)機(jī)還有其他表現(xiàn)形式。例如，針對(duì)學(xué)校的攻擊一般會(huì)在春末和夏季急劇下降，因?yàn)槟菚r(shí)與恢復(fù)相關(guān)的緊迫性要小得多。當(dāng)從孟加拉國銀行竊取8100萬美元時(shí)，朝鮮的Lazarus組織不僅利用了孟加拉國和美國周末之間的差異(前者是周五和周六)，而且還利用了農(nóng)歷新年的契機(jī)，這是亞洲絕大多數(shù)地區(qū)都有的假期。

確實(shí)，一些大型勒索軟件團(tuán)伙——其中包括DarkSide、Ragnarok和REvil——最近已經(jīng)宣布解散或下線。但副國家安全顧問Anne Neuberger近日在新聞發(fā)布會(huì)上表示，美國情報(bào)機(jī)構(gòu)最近確實(shí)發(fā)現(xiàn)勒索軟件數(shù)量“減少”，但絕不能就此放松警惕。像Pysa、Lockbit 2.0、Conti等勒索軟件組織會(huì)繼續(xù)對(duì)企業(yè)造成重大損害。即便一個(gè)或多個(gè)占主導(dǎo)地位的勒索軟件家族消失了，它背后通常還會(huì)有另一個(gè)新涌現(xiàn)的組織來填補(bǔ)空白。最后，Neuberger警告稱，企業(yè)必須在周末或假期之前“保持警惕”。

不幸的是，為潛在的黑客攻擊做準(zhǔn)備并不是簡(jiǎn)單地在周五下午關(guān)閉各種“艙門”的問題。到那時(shí)，已經(jīng)為時(shí)晚矣;攻擊者往往會(huì)潛伏在受損系統(tǒng)中，并在最合適的時(shí)機(jī)發(fā)動(dòng)攻擊。進(jìn)行嚴(yán)格防御的最佳時(shí)間通常是在勒索軟件真正攻擊之前的幾周。

也就是說，公司和個(gè)人可以采取一些措施來更好地保護(hù)自己免受黑客攻擊，無論是在長(zhǎng)周末之前還是之后。FBI和CISA給出的建議與大多數(shù)網(wǎng)絡(luò)安全情況的最佳實(shí)踐相呼應(yīng)：不要點(diǎn)擊可疑鏈接;對(duì)您的數(shù)據(jù)進(jìn)行離線備份;使用強(qiáng)密碼;確保您的軟件處于最新狀態(tài);使用雙因素身份驗(yàn)證;如果您使用遠(yuǎn)程桌面協(xié)議(一種Microsoft產(chǎn)品，歷來被證明是攻擊者最慣用的切入點(diǎn))，請(qǐng)謹(jǐn)慎操作。還有，也許這個(gè)周末可以多留幾個(gè)人待命，以防萬一。