近日,一个学生使用盗版的数据可视化软件导致了欧洲生物分子研究所遭遇Ryuk勒索软件攻击,据悉,该学生从warez网站下载了破解版的软件,该软件包含窃取信息的木马,该木马记录了击键,窃取了Windows剪贴板的历史记录并窃取了密码,包括Ryuk攻击者登录该研究所所使用的凭据,导致研究所损失了一周的研究数据和为期一周的网络中断。
Sophos的安全研究人员在周四发布的一份报告中描述了这次攻击,此前该安全公司的快速响应小组被召集来回应并消除此次网络攻击。
研究人员说,每个人都会犯错,只是那个节俭的学生的一些小小的错误恰好被别人利用了。然而,由于没有采取适当的安全措施来阻止这些失误的发生,该学生一时的大意最终升级为了全面的勒索软件攻击。
必要的身份验证缺失
与许多组织一样,该机构允许外部人员通过其个人计算机访问其网络。他们可以通过使用不需要两因素身份验证(2FA)的远程Citrix会话来实现这一点。
值得注意的是,缺少必需的2FA是相当危险的,更不用说Citrix是当下威胁参与者积极利用以窃取凭据的最广泛使用的平台之一。4月,美国国家安全局(NSA)发出警告称,威胁参与者正在积极利用影响VPN、协作套件软件和虚拟化技术的漏洞。
其中包括Citrix、Fortinet、Pulse Secure、Synacor和VMware,它们全都属于高级可持续威胁(APT)团伙,被称为APT29,又名Cozy Bear或The Dukes。国家安全局当时表示,APT29正在“对易受攻击的系统进行广泛的扫描和利用,以获取身份验证凭据从而进行进一步访问。”
贫穷的学生渴望“交易”
在本次攻击中,该名学生正在寻找一种昂贵的数据可视化软件工具,该工具在工作中曾使用过,他想要将其安装在家用计算机上。然而,该许可证每年将花费数百美元,于是他向研究论坛求助,想请人介绍免费的类似工具,却一无所获。在寻求类似合法软件无果后,这名学生最后找到了该视觉化软件的破解版。
不幸的是,这名学生找到了,更不幸的是,他(或她)显然没有意识到破解软件的危险性。破解软件导致了诸如远程访问木马(RAT)和加密货币窃取器之类的恶意软件的入侵,并且网络犯罪分子正在努力使他们的攻击工具更容易通过防御。本身存在漏洞的应用程序也可能成为充满恶意软件的容器。
“这个文件实际上完全就是个恶意软件。”Sophos研究人员说。该学生决定禁用微软的Windows Defender防病毒软件,因为该软件在学生尝试安装此免费的软件时阻止。
根据安全研究人员可以从此笔记本电脑上得知的情况(勒索软件攻击发生后,笔记本电脑已被取证)来看,学生还必须禁用防火墙,才能将这颗定时炸弹安装到计算机上。
从破解软件到恶意软件安装
安装后,可视化工具的破解副本安装了一个信息窃取程序,用于记录击键、窃取浏览器记录、cookie和剪贴板历史数据等等,在这个学生的电脑中,该程序就碰巧中了头奖,获取了学生对研究所网络的访问凭据。
15天后,这些被盗的凭据被使用从而在研究所的网络上注册了远程桌面协议(RDP)连接。研究人员指出,这种连接是通过一台以“龙猫(Totoro)”命名的计算机进行的,众所周知龙猫是一种可爱且广受欢迎的动漫形象。
RDPs已经在大量的攻击被使用,其中包括被用于对BlueKeep的漏洞利用。研究人员解释说,RDP的功能之一是通过连接触发打印机驱动程序的自动安装,从而使用户可以远程打印文档。他们说,在这种情况下,RDP连接使用了俄语打印机驱动程序,“很可能是恶意连接”。建立RDP连接十天后,Ryuk被触发。
Sophos快速响应部经理Peter Mackenzie说,不管破解软件背后的幕后黑手是谁,都不太可能与Ryuk攻击背后的威胁者是同一个团伙。
他在报告中写道:“以前受到攻击的网络地下市场为攻击者提供了便捷的初始访问权,并且这种情况正在蓬勃发展,因此我们认为恶意软件运营商将其访问权出售给了另一位攻击者。”“RDP连接可能是测试其访问权限的访问代理。”
勒索软件来势汹汹
Dragos的主要工业互联网安全事件响应者莱斯利·卡哈特(Lesley Carhart)最近指出,类似的勒索软件攻击确实少有报道。她在星期二的推文中说:“这不会只会发生在其他人身上的事情,”“我敢说这件事情很糟糕,我们现在就要做好准备,并积极采取缓解措施。”
- 最近,我与其他应急事件响应者关于准备和制止勒索软件攻击的推文联系不断,我们不是在开玩笑,因为事情正在迅速升级-包括勒索软件影响的严重性和它们庞大的数量。请记住,保险公司只会在必须时才付款。
- -Lesley Carhart(@ hacks4pancakes)2021年5月5日
Mackenzie认为她讲的一点不错。他在周四的一封电子邮件中告诉Threatpost,勒索软件正在经历一场“淘金热”,“在过去五年中,勒索软件一直呈指数级增长”。
安全专家们唱的都是同一个调子,即,攻击变得越来越糟糕和更具破坏性,在勒索软件部署之前需要花费更多的时间和精力来删除备份。攻击者也在不断升级他们的攻击技巧:“他们通过一些避免检测的新技术来使攻击变得越来越复杂,例如在虚拟机、Windows安全模式或完全无文件模式下运行,”Mackenzie告诉Threatpost。“像Cobalt Strike这样的高级工具的便捷访问甚至使业余攻击也具有毁灭性。
他接着说道:“最重要的是,受害者还被施加了较大的压力,比如数据、电子邮件、电话等的过滤和泄漏,以及这些内容被公开在他们的客户、新闻记者甚至是股票市场的环境之下。”“在每一次攻击中,管理员和高管都承受着极大的压力,更不用说赎金的需求也在直线上升,从过去每台机器300美元的赎金涨到整个产业的数千万美元。”
在这些勒索软件犯罪团伙在疫情大流行期间针对医疗保健组织发起了毫无保留的攻击时,我们只能用“恶毒”这个词来形容他们。Ryuk背后的犯罪团伙就是如此,Mackenzie说,Ryuk通常被认为是近年来最危险的群体之一。他告诉Threatpost:“他们非常专业,可以使用各种资源。”“几年来,他们一直在定期发动袭击,而且没有停止的迹象。他们收到的赎金量的估算值从数亿到数十亿美元不等,即使在全球疫情大流行期间,他们是为数不多的仍在积极瞄准医疗保健组织的团体之一。”
什么能让Ryuk不再行得通:基础操作
“没有什么灵丹妙药。”Carhart表示。为防止勒索软件攻击,组织需要“基本的安全措施和投资,以实现避免勒索软件的攻击”,并提到在这种情况下可能起到帮助作用的防御机制,“诸如VPN和云服务上的MFA、离线保存的常规备份、限制帐户[权限]、事件应急响应和重建。”
Sophos的Mackenzie回应了Carhart的说法:强大的网络身份验证和访问控制,再加上终端用户培训,可以很大程度上阻止这种攻击的发生。他说:“它有力地提醒人们正确设置安全基础的重要性。” Sophos有一个,名为《2021年勒索软件状况》的指南,其中形象地提出了有关如何拉起吊桥并防御勒索软件的建议。
这里有一个TL; DR速查表,其中包含基本的关键保护措施:
在可能的情况下,为需要访问内部网络的任何人(包括外部协作者和合作伙伴)启用多因素身份验证(MFA)
为需要访问内部网络的每个人制定强有力的密码策略
停用和/或升级任何不受支持的操作系统和应用程序
在所有计算机上查看并安装安全软件
定期检查并在所有计算机上安装最新的软件补丁,并检查它们是否已正确安装
审查代理服务器的使用,并定期检查安全策略,以防止网络上的任何人访问恶意网站和/或下载恶意文件
通过组策略或使用访问控制列表,使用静态局域网(LAN)规则锁定远程桌面RDP访问
对包括局域网在内的任何网络访问实施隔离(或考虑使用虚拟局域网),并在必要时使用硬件/软件/访问控制列表
不断检查域帐户和计算机,删除所有未使用或不需要的帐户和计算机
检查防火墙配置,并且仅将用于已知目标的流量列入白名单
限制不同用户对管理员帐户的使用,因为这会鼓励凭据共享,从而可能引入许多其他安全漏洞
什么能让Ryuk不再行得通
Mackenzie通过了以下步骤来创建了一个更全面的保护计划:
牢记无论规模大小或行业如何,您都有可能成为目标,然后开始问自己是否必须从今天开始重新构建50%,90%,100%的网络活动——包括新的Active Directory,Email,记帐等,这会需要多长时间?重建后,如果发现所有备份也都消失了怎么办?您的团体能存活下来吗?并非所有人都可以。
然后问自己:“是否有人检查过您的安全解决方案报告的检测?”仅仅因为已检测到某些威胁并对其进行清理并不意味着全部的威胁已被消除。这里有一个更好的建议:勒索软件:你将被攻击的五个迹象(https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked/)。
一旦发现有人或是专门的安全运营中心(SOC)在调查网络检测结果,请立即着手查看未被检测到的内容。许多威胁参与者会使用您自己的帐户和工具来对付您。当有人使用合法的工具和命令进行恶意操作时,你有没有工具来识别?Mackenzie说,这就是端点检测和响应(EDR)产品以及扩展的检测和响应(XDR)产品出现的地方。
最后,在需要时请接受帮助。并非每个人都有足够的资源来运营一支配备齐全且经验丰富的安全运营中心(SOC)团队。Mackenzie说,托管服务可以帮助减轻一些压力。不过,请切记,托管服务提供商并不能保证完全免受攻击,CyrusOne也曾被勒索软件攻击,该攻击还拖累了其六个托管服务客户。
本文翻译自:https://threatpost.com/ryuk-ransomware-attack-student/165918/如若转载,请注明原文地址。