俄烏沖突中再現(xiàn)類(lèi)似NotPetya的數(shù)據(jù)擦除攻擊手法，令許多企業(yè)開(kāi)始緊急加強(qiáng)安全措施，甚至一些不太可能受到影響的美國(guó)企業(yè)也陷入恐懼、不確定與懷疑情緒；

　　為避免烏克蘭網(wǎng)空風(fēng)險(xiǎn)外溢，美國(guó)政府發(fā)布了相關(guān)惡意軟件的IOC指標(biāo)，并要求企業(yè)加強(qiáng)安全防御。

　　在俄羅斯對(duì)烏克蘭展開(kāi)軍事行動(dòng)之前，有攻擊者針對(duì)多個(gè)烏克蘭組織部署破壞性惡意軟件，意在令對(duì)方計(jì)算機(jī)系統(tǒng)無(wú)法正常運(yùn)行。

　　針對(duì)烏克蘭組織的進(jìn)一步破壞性網(wǎng)絡(luò)攻擊可能會(huì)發(fā)生，并在無(wú)意中將影響蔓延至其他國(guó)家。

　　這不禁令人想起2017年NotPetya數(shù)據(jù)擦除軟件相似的攻擊手法，并促使部分企業(yè)開(kāi)始加強(qiáng)網(wǎng)絡(luò)監(jiān)控，甚至著手將客戶(hù)數(shù)據(jù)轉(zhuǎn)移出危險(xiǎn)地帶。

　　不要重蹈NotPetya恐怖故事

　　美國(guó)制造技術(shù)企業(yè)羅克韋爾自動(dòng)化公司前首席信息安全官Dawn Cappelli表示，“等待最是令人惴惴不安?！眲倓偼诵莸乃罱恢迸c信息安全團(tuán)隊(duì)保持聯(lián)系，積極評(píng)估企業(yè)系統(tǒng)中是否存在可疑活動(dòng)。

　　她說(shuō)，“大家正密切關(guān)注首個(gè)威脅指標(biāo)的出現(xiàn)，打算盡快分享處置這些信息。”

　　美國(guó)參議院情報(bào)委員會(huì)主席、參議員Mark Warner在上周五表示，俄羅斯目前網(wǎng)絡(luò)攻勢(shì)相對(duì)有限可能是在刻意克制，而非無(wú)力進(jìn)攻。他警告稱(chēng)，克里姆林宮方面可能隨時(shí)會(huì)改變路線(xiàn)。

　　這場(chǎng)迅速爆發(fā)的沖突正傳遞出壓力，迫使身處數(shù)千英里之外企業(yè)的安全團(tuán)隊(duì)研究自己的網(wǎng)絡(luò)日志，并篩選由烏克蘭當(dāng)局、美國(guó)官員以及網(wǎng)絡(luò)安全研究人員發(fā)布的各類(lèi)威脅情報(bào)。

　　一部分公司的反應(yīng)則更加積極，開(kāi)始監(jiān)控自己在沖突地區(qū)的計(jì)算機(jī)系統(tǒng)。出于預(yù)防目的，包括云基礎(chǔ)設(shè)施與安全公司CloudFlare在內(nèi)的多家企業(yè)已經(jīng)開(kāi)始將客戶(hù)信息從烏克蘭服務(wù)器中遷出。

　　網(wǎng)絡(luò)咨詢(xún)公司IANS Research的教員Jake Williams認(rèn)為，目前的緊張局勢(shì)已經(jīng)令很多不太可能受到影響的美國(guó)企業(yè)陷入恐懼、不確定與懷疑情緒。

　　美國(guó)政府警告企業(yè)加強(qiáng)安全防御

　　美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）及FBI聯(lián)合發(fā)布咨詢(xún)文件，提供了WHisperGate、HermeticWiper惡意軟件的相關(guān)信息與開(kāi)源威脅指標(biāo)（IOC），希望幫助各組織機(jī)構(gòu)檢測(cè)并預(yù)防惡意軟件。

　　1月15日，微軟宣布發(fā)現(xiàn)針對(duì)多個(gè)烏克蘭組織的復(fù)雜惡意軟件攻擊。這種名為WhisperGate的惡意軟件分兩個(gè)行動(dòng)階段，能夠破壞系統(tǒng)中的主引導(dǎo)記錄、顯示虛假的勒索軟件提示，并根據(jù)特定文件擴(kuò)展名進(jìn)行數(shù)據(jù)加密。值得注意的是，雖然在攻擊過(guò)程中會(huì)顯示勒索軟件提示，但微軟強(qiáng)調(diào)這時(shí)候目標(biāo)數(shù)據(jù)已經(jīng)遭到破壞、即使支付贖金也無(wú)法恢復(fù)。

　　2月23日，安全研究人員又發(fā)現(xiàn)，另一種名為HermeticWiper的惡意軟件開(kāi)始對(duì)烏克蘭組織發(fā)動(dòng)攻勢(shì)。根據(jù)SentinelLabs的調(diào)查，該惡意軟件專(zhuān)以Windows設(shè)備為目標(biāo)，能夠操縱主引導(dǎo)記錄并致使后續(xù)引導(dǎo)失敗。博通公司還提到， HermeticWiper與前期針對(duì)烏克蘭的WhisperGate擦除器攻擊間具有一些相似之處，同樣會(huì)把擦除器偽裝成勒索軟件。

　　破壞性惡意軟件對(duì)組織的日常運(yùn)營(yíng)構(gòu)成直接威脅，并影響到關(guān)鍵資產(chǎn)與數(shù)據(jù)的可用性。組織應(yīng)提高警惕并評(píng)估自身能力，包括針對(duì)此類(lèi)事件的規(guī)劃、準(zhǔn)備、檢測(cè)與響應(yīng)能力。

　　這份聯(lián)合咨詢(xún)提供了指導(dǎo)建議與注意事項(xiàng)，可以作為網(wǎng)絡(luò)架構(gòu)、安全基線(xiàn)、持續(xù)監(jiān)控與事件響應(yīng)實(shí)踐當(dāng)中的組成部分。

　　CISA與FBI敦促所有組織實(shí)施聯(lián)合咨詢(xún)的相關(guān)建議，提高抵御這類(lèi)網(wǎng)絡(luò)威脅的能力。安全內(nèi)參讀者如有興趣可以閱讀報(bào)告的全文了解。