美国海岸警卫队称海运实体因遭 Ryuk 勒索攻击而瘫痪

美国海岸警卫队 (USCG) 发布海上安全警报称，一家受《海上运输安全法》 (MTSA)监管的实体的整个公司网络因遭 Ryuk 勒索软件攻击而瘫痪。

虽然该安全事件仍然还在调查阶段，但USCG 表示，钓鱼邮件很可能是MTSA实体网络的入口点。

USCG表示，“员工点击邮件中的嵌入式恶意链接后，该勒索软件就可导致威胁行动者访问重要的企业信息技术网络文件，对文件进行加密，从而阻止实体访问关键文件。”

2月份，一艘深吃水船舶遭攻击，整艘船的网络受影响。USCG因而在今年7月份发布另外一份安全警告信息。和7月份发生的这起安全事件一样，UCSC 再次提醒海运利益相关者在回复或打开不受信任的邮件前检查发件人的有效性。

尽管海运安全信息公告 (MSIB) 并未提到该实体或其名称，但可以这样说，一个端口发现Ryuk 勒索软件设法渗透到货物传输工业控制系统中。

USCG表示，“该病毒进一步渗透到监视和控制对进程操作至关重要的货物传输和加密文件中。”

被Ryuk 勒索软件加密的系统直接影响该实体的“整个企业IT 网络（超出该实体的覆盖范围）”、物理访问权限和摄像头控制系统，它还可导致“关键进程控制监控系统丢失”。

总体而言，这次攻击导致该公司在网络事件响应期间完全关闭运营，时长超过30个小时。USCG 表示，“海岸警卫队建议在实现网络风险管理计划时，使用国家标准和技术局(NIST) 网络安全框架(CSF) 和NIST 特殊发布800-82。”

USCG提出通过如下措施，减少未来MTSA 实体数据泄露以及恢复次数：

• 使用入侵检测和入侵防御系统来监控实时网络流量

• 使用行业标准和及时的病毒检测软件

• 中心化和受监控的主机和服务器记录

• 通过网络分段阻止IT系统访问OT缓解

• 更新IT/OT网络图

• 持续备份关键文件和软件

英国国家网络安全中心在今年6月份也发布安全公告，详细说明全球遭Ryuk 勒索软件攻击活动针对的组织机构，包括如何保护勒索软件攻击的指南。

美国网络安全和基础设施安全机构(CISA) 发布了关于如何阻止和响应勒索软件感染的安全公告以及如何应对勒索软件感染。

对遭Ryuk 勒索软件影响的个人和组织机构而言，更糟糕的情况是，最近研究人员发现Ryuk 的解密器中存在一个bug，可导致大量文件的数据丢失。因此，Ryuk受害者在解密之前一定要备份所有的加密数据，以免遭解密器损坏。

 点个“在看”，bounty 多多~