为什么勒索软件入侵者热衷周末和假期?

今年，美国阵亡将士纪念日长周末期间，全球最大的肉类供应商JBS的服务器遭遇黑客攻击，导致部分工厂暂停作业;美国独立日(7月4日)之前的周五，IT管理软件公司Kaseya以及超过一千家不同规模的企业同样遭遇勒索软件攻击;此次劳动节(美国劳动节为9月第一个星期一)是否还会发生高调的勒索软件攻击事件还有待观察，但有一点十分清楚：黑客也喜欢假期。

 

的确，勒索软件攻击者也尤为喜欢周末和法定假期。虽说这种趋势并不新鲜，但FBI和网络安全与基础设施安全局(CISA)发布的联合警告强调了这种威胁已经变得非常严峻和紧迫。

 

假期对于攻击者的吸引力非常简单。勒索软件可能需要时间才能在整个网络中传播，因为黑客需要努力提升权限以最大限度地控制大多数系统。不被发现的潜伏期越长，能够造成的伤害也就越大。杀毒软件公司Emsisoft 的威胁分析师Brett Callow表示，“一般来说，当工作人员远离工作转向狂欢时，威胁行为者便会着手部署他们的勒索软件。因为此时攻击被发现和中断的可能性更小。”

 

即便很快发现了勒索软件的踪迹，此时的许多事件处理人员可能正在开派对、游泳……总之，肯定是不如平时工作日一般能够快速掌握和处理事件。

 

安全公司Red Canary的情报总监Katie Nickels表示，“平心而论，值守人员在假期可能没那么专心也是有道理的，毕竟原本热闹忙碌的办公室一下子空了，找不到工作状态也是正常的。如果在假期发生重大安全事件，值守人员可能会比平时更难联系到必要的人员进行快速响应。”

 

正是这些频发的重大安全事件成功吸引了FBI和CISA的关注;除了上述的JBS和Kaseya事件之外，毁灭性的Colonial Pipeline攻击事件同样发生在母亲节的周末(虽然不是为期3天的长周末，但仍然造成了灾难性后果)。FBI和CISA联合警告称，虽然他们并未有任何“具体的威胁报告”表明类似的攻击活动会发生在劳动节的周末，但如果发生了，也不足为奇。

 

同样重要的是要记住，勒索软件是一种持续性的威胁，每一次引人注目的燃气短缺背后，可能都有数十家小企业在争先恐后地向网络犯罪分子支付比特币。2020 年，受害者向FBI的互联网犯罪投诉中心(IC3)报告了2474 起勒索软件事件，比上一年增加了20%。根据IC3的数据显示，黑客的攻击在同一时间段内增加了两倍。这些攻击并非都集中在为期3天的长周末和霍尔马克假日(Hallmark holiday，即新总统上任100天的日期)。

 

事实上，正如CISA和FBI所承认的那样，周末通常会受到骗子的欢迎。Callow指出，向ID Ransomware(由安全研究员Michael Gillespie创建的一项服务，可以让您上传赎金记录或加密文件以找出究竟是什么攻击了您)提交的文件往往会在周一激增，因为此时受害者已经返回工作岗位并发现了数据加密行为。

 

不过，黑客的战略时机还有其他表现形式。例如，针对学校的攻击一般会在春末和夏季急剧下降，因为那时与恢复相关的紧迫性要小得多。当从孟加拉国银行窃取8100万美元时，朝鲜的Lazarus组织不仅利用了孟加拉国和美国周末之间的差异(前者是周五和周六)，而且还利用了农历新年的契机，这是亚洲绝大多数地区都有的假期。

 

确实，一些大型勒索软件团伙——其中包括DarkSide、Ragnarok和REvil——最近已经宣布解散或下线。但副国家安全顾问Anne Neuberger近日在新闻发布会上表示，美国情报机构最近确实发现勒索软件数量“减少”，但绝不能就此放松警惕。像Pysa、Lockbit 2.0、Conti等勒索软件组织会继续对企业造成重大损害。即便一个或多个占主导地位的勒索软件家族消失了，它背后通常还会有另一个新涌现的组织来填补空白。最后，Neuberger警告称，企业必须在周末或假期之前“保持警惕”。

 

不幸的是，为潜在的黑客攻击做准备并不是简单地在周五下午关闭各种“舱门”的问题。到那时，已经为时晚矣;攻击者往往会潜伏在受损系统中，并在最合适的时机发动攻击。进行严格防御的最佳时间通常是在勒索软件真正攻击之前的几周。

 

也就是说，公司和个人可以采取一些措施来更好地保护自己免受黑客攻击，无论是在长周末之前还是之后。FBI和CISA给出的建议与大多数网络安全情况的最佳实践相呼应：不要点击可疑链接;对您的数据进行离线备份;使用强密码;确保您的软件处于最新状态;使用双因素身份验证;如果您使用远程桌面协议(一种Microsoft产品，历来被证明是攻击者最惯用的切入点)，请谨慎操作。还有，也许这个周末可以多留几个人待命，以防万一。