美國CISA警報幫助Equifax阻止勒索軟件攻擊 - 彭博社

插圖：Nadia Hafid for Bloomberg Businessweek

Jamil Farshchi在三月下旬的一個下午在曼哈頓中城等待Uber時收到了一連串的短信。其中一條來自FBI，要求他致電美國政府的網絡安全和基礎設施安全局。另一條來自一位名叫Klint Walker的CISA工作人員，説他需要與Farshchi交談。

Farshchi明顯意識到有緊急情況。這位亞特蘭大Equifax Inc.的首席信息安全官立即給Walker打了電話。

Farshchi説他從覆蓋佐治亞州的CISA地區顧問Walker那裏得知，一家著名的勒索軟件組織正計劃對Equifax發動即將發生的攻擊，可能會危及公司的運營和客户的財務狀況。攻擊者可能已經採取行動，Walker説。“顯然是全員出動，一切都被激活了，”Farshchi描述了公司的應對措施。“勒索軟件攻擊會徹底癱瘓組織。”

這對Equifax來説可能是一場噩夢，該公司在2017年已經遭受了美國歷史上最嚴重的黑客攻擊之一，當時有1.43億人的數據泄露，包括數十萬信用卡號。將近三年後，美國指控了中國四名軍方成員參與了這次黑客攻擊。

Farshchi對於CISA這次能夠提前通知公司感到感激。在談話進行的10分鐘內，Walker給Farshchi發送了詳細信息，包括攻擊者計劃向組織中的關鍵人員發送多封釣魚郵件。“這是一種獨特的釣魚形式，非常狡猾，因為它可以繞過組織為阻止這類行為而設立的初始控制措施，”Farshchi説。

大約五天後，Equifax收到了惡意郵件。“我們之前收到警告的完全相同的事情被送到了，”Farshchi説。“顯然，我們已經有了巨大的先機，所以它實際上沒有任何影響。惡意軟件甚至從未被傳送過。”

這一通知使公司能夠仔細審視其控制措施，並確保盡一切可能防禦攻擊，Farshchi説。“我們能夠加強自身防護，採取一切可能的措施來保護自己，”他説。

Equifax的警告是CISA自今年年初以來發布的大約225個有關計劃中勒索軟件攻擊的通知之一，通過其預勒索軟件通知倡議。通過這一新舉措，它警告組織即將發生的可行阻擋系統並扣留客户數據的陰謀。到目前為止，受到警告的許多人是學校和醫院。通過自1月30日開始的相關CISA計劃，勒索軟件漏洞警告試點，該機構還確定組織系統中的風險並通知他們有關這些漏洞。

為了挫敗一場計劃中的攻擊，被瞄準的組織可以清除或斷開被感染的計算機，阻止與勒索軟件組織的通信，重置受損的憑據或採取其他行動。

“整個計劃的前提是一個關鍵事實，即在入侵發生時——壞演員闖入網絡時——和他們實際造成傷害之間存在一個機會窗口，” 美國國土安全部網絡安全局執行助理局長 埃裏克·戈德斯坦説。這個窗口可能持續幾天或幾小時，因此美國國土安全部使用多種方法通知潛在受害者，包括電子郵件、Slack消息和短信。

戈德斯坦表示，許多信息是由網絡安全研究人員和跟蹤勒索軟件組織的公司自願提供的，證明了美國國土安全部與這些組織之間更緊密關係的好處，這些組織在某些情況下曾對政府的外聯努力持懷疑態度。當外部專家注意到勒索軟件組織基礎設施突然試圖連接到美國IP地址時，他們會向美國國土安全部提供技術信息，被瞄準組織的名稱以及網絡的具體哪個方面已經受到損害，戈德斯坦説。

美國國土安全部的警告不僅限於美國。自該計劃啓動以來，該機構已向18個國家的組織發出了有關52起計劃中的勒索軟件攻擊的警報。它還收到了來自10個合作伙伴國家的33份通知，稱即將對美國組織發動攻擊。今年5月，加拿大網絡安全中心發現並向美國國土安全部轉達了229個美國IP地址正處於攻擊的早期階段，同時還有55個加拿大IP地址，根據拉吉夫·古普塔，加拿大網絡安全中心副主任。

英國自2021年5月起開展了自己的勒索軟件預警服務，多虧了CISA提供的信息，英國已經成功阻止了國內的攻擊，這是英國國家網絡安全中心的事件管理副主任Eleanor Fairford説的。國家網絡安全中心。

CISA現在希望擴大規模。“我們知道，從受影響的組織的角度來看，這是一個改變遊戲規則的舉措，”Goldstein説。