近日,一个学生应用盗用的数据信息可视化软件造成了欧洲地区生物分子研究所遭受Ryuk勒索软件进攻,据了解,该学生从warez网站了破解版下载的手机软件,此软件包括窃取信息内容的木马病毒,该木马纪录了击键,窃取了Windows剪切板的历史数据并窃取了登陆密码,包含Ryuk网络攻击登陆该研究所所采用的凭证,造成研究所损害了一周的科研信息和为期一周的互联网终断。
Sophos的安全性科研员工在周四公布的一份报告书中叙述了此次进攻,先前该安全性企业的快速响应工作组被集结来回复并清除本次黑客攻击。
科学研究工作人员说,每个人都犯错误,仅仅那一个勤俭节约的学生的一些微小的不正确正好被他人利用了。殊不知,因为没采用恰当的防范措施来阻拦这种过失的产生,该学生一时的大意最后更新为了更好地全方位的勒索软件进攻。
必需的身份认证缺少
与很多机构一样,该组织容许外界工作人员根据其pc机浏览其互联网。她们可以根据应用不用两要素身份认证(2FA)的远程控制Citrix对话来完成这一点。
特别注意的是,缺乏必不可少的2FA是非常凶险的,更别说Citrix是时下威胁参加者积极主动利用以窃取凭证的最普遍采用的网站之一。4月,美国国家安全局(NSA)传出警示称,威胁参加者已经积极主动利用危害VPN、合作模块手机软件和虚拟技术的系统漏洞。
主要包括Citrix、Fortinet、Pulse Secure、Synacor和VMware,他们统统归属于高級可持续性威胁(APT)犯罪团伙,被称作APT29,别名Cozy Bear或The Dukes。国家安全局那时候表明,APT29已经“对易受攻击的操作系统开展普遍的扫描仪和利用,以获得身份认证凭证进而开展进一步浏览。”
贫困的学生期盼“买卖”
在此次进攻中,该名学生已经找寻一种贵重的大数据可视化工具软件,该专用工具在工作中一书中应用过,他要想将其组装在家庭用电子计算机上。殊不知,该许可证书每一年将耗费数百美元,因此他向科学研究社区论坛寻求帮助,想请人详细介绍完全免费的相近专用工具,却一无所获。在寻找相近合理合法手机软件未果后,这名学生最终找到该视觉效果化手机软件的破解版下载。
遗憾的是,这名学生找到,更遗憾的是,他(或她)显而易见没意识到破解软件的危险因素。破解软件造成了例如远程连接木马病毒(RAT)和数字货币窃取器之类的恶意程序的侵入,而且互联网犯罪嫌疑人已经尽力使它们的进攻专用工具更易于根据防御力。自身存有系统漏洞的程序也有可能变为充斥着恶意程序的器皿。
“这一文档事实上彻底便是个恶意程序。”Sophos科学研究工作人员说。该学生决策禁止使用微软公司的Windows Defender杀毒软件,由于此软件在学生试着安裝此免费的软件时阻拦。
依据安全性科研工作人员可以此后笔记本上获知的状况(勒索软件进攻产生后,笔记本已被调查取证)看来,学生还务必禁止使用服务器防火墙,才可以将这颗炸弹安裝到电子计算机上。
从破解软件到恶意程序安裝
安装后,数据分析工具的破译团本安裝了一个信息内容窃取程序流程,用以纪录击键、窃取电脑浏览器纪录、cookie和剪切板历史记录这些,在这个学生的计算机中,该程序流程就恰巧中了一等奖,获得了学生对研究所互联网的浏览凭证。
15天之后,这种失窃的凭证被应用进而在研究所的互联网上申请注册了远程桌面连接协议书(RDP)联接。科学研究工作人员强调,这类联接是根据一台以“龙猫(Totoro)”取名的电子计算机开展的,大家都知道龙猫是一种讨人喜欢且广受大家喜爱的动漫形象。
RDPs早已在很多的进攻被应用,主要包括被用来对BlueKeep的系统漏洞利用。科学研究工作人员表述说,RDP的功用之一是利用联接开启打印驱动程序流程的自动安装,进而使客户可以远程打印文本文档。她们说,在这样的情况下,RDP联接应用了德语打印驱动程序流程,“很可能是故意联接”。创建RDP联接十天后,Ryuk被开启。
Sophos快速响应部主管Peter Mackenzie说,无论破解软件身后的幕后人到底是谁,都不可能与Ryuk进攻后面的威胁者是同一个犯罪团伙。
他在汇报中写到:“之前遭受伤害的互联网地底销售市场为网络攻击给予了方便快捷的原始浏览权,而且这样的事情已经迅猛发展,因而人们觉得恶意程序营运商将其浏览权售卖给了另一位网络攻击。”“RDP联接可能是检测其访问限制的浏览代理商。”
勒索软件汹汹
Dragos的关键工业物联网安全事故响应者莱斯利·卡哈特(Lesley Carhart)近期强调,相近的勒索软件进攻的确难得少有报导。她在星期二的推写道:“这不容易只能出现在别人的身上的事儿,”“我也说这件事很槽糕,大家如今就需要做好充分的准备,并主动采用减轻对策。”
- 近期,我和别的紧急事情响应者有关提前准备和劝阻勒索软件进攻的文章联络持续,大家并不是在开玩笑的,由于事儿已经快速更新-包含勒索软件危害的严重后果和他们巨大的总数。请记牢,车险公司只能在需要时才支付。
- -Lesley Carhart(@ hacks4pancakes)2021年5月5日
Mackenzie觉得她讲的一点非常好。他在周四的一封电子邮件中告知Threatpost,勒索软件已经历经一场“淘金热”,“在过去的五年中,勒索软件一直呈指数级增长”。
安全性权威专家们唱的全是同一个曲调,即,进攻显得更加槽糕和更具有毁灭性,在勒索软件布署以前必须耗费大量的时长和时间来删掉备份数据。网络攻击也在持续更新它们的进攻方法:“她们根据一些防止检查的新技术应用来使进攻显得越发繁杂,例如在vm虚拟机、Windows安全模式或彻底无文档方式下运作,”Mackenzie告知Threatpost。“像Cobalt Strike那样的高級专用工具的便捷访问乃至使业余组进攻也具备破坏性。
他继续讲到:“最重要的是,受害人还被增加了很大的工作压力,例如数据信息、电子邮箱、电話等的过滤系统和泄露,及其这种內容被公布在许多人的顾客、电视记者乃至是股市的条件下。”“在每一次进攻中,管理人员和管理层都承载着很大的工作压力,更别说保释金的要求也在垂直升高,从以往每台设备300美金的保释金涨到全部产业链的数千万美元。”
在这种勒索软件团伙犯罪在新冠疫情大流行期内对于保健医疗机构进行了不遗余力的进攻时,大家也只能用“狠毒”这个词来描述她们。Ryuk身后的团伙犯罪便是如此,Mackenzie说,Ryuk通常被觉得是近些年最风险的人群之一。他告知Threatpost:“她们十分技术专业,可以采用多种資源。”“两年来,她们一直在按时启动围攻,并且沒有终止的征兆。她们接到的保释金量的估计值从数千万到数十亿美元不一,即使在全球疫情大流行期内,她们是少有的仍在积极主动看准保健医疗机构的团队之一。”
哪些能让Ryuk不会再可行:基本实际操作
“没什么神丹妙药。”Carhart表明。为避免勒索软件进攻,机构必须“基本上的安全防范措施和项目投资,以完成防止勒索软件的进攻”,并提及在这样的情况下很有可能具有协助功效的自我防御机制,“例如VPN和云服务器上的MFA、无网储存的基本备份数据、限定账号[管理权限]、事情应急处置和复建。”
Sophos的Mackenzie回复了Carhart的观点:强劲的互联网身份认证和密钥管理,再再加上终端产品用户学习培训,可以较大水平上阻拦这类伤害的产生。他说道:“它强有力地提示大家恰当设定安全性基本的必要性。” Sophos有一个,名叫《2021年勒索软件情况》的手册,在其中品牌形象地指出了相关怎样拉起悬空栈道并防御力勒索软件的提议。
这儿有一个TL; DR速查表,在其中包括基本上的重要保障措施:
1. 在有可能的情形下,为必须浏览内部结构互联网的所有人(包含外界协作者和合作方)开启多要素身份认证(MFA)
2. 为必须浏览内部结构互联网的每一个人制订强大的登陆密码对策
3. 停止使用和/或更新一切不会受到适用的系统软件和应用软件
4. 在任何电子计算机上检查并安裝电脑安全软件
5. 定期维护并在全部计算机上安装全新的手机软件补丁包,并检验他们是不是已恰当安裝
6. 核查服务器代理的应用,并定期维护安全设置,以防范上的所有人浏览恶意网站和/或免费下载故意文档
7. 根据组策略或应用访问控制列表,使用静态数据局域网络(LAN)标准锁住远程桌面连接RDP浏览
8. 对包含局域网络以内的一切网站访问执行防护(或考虑到应用对等网),并在有必要时应用硬件配置/手机软件/访问控制列表
9. 持续查验域账号和电子计算机,删掉全部未运用或不用的账号和电子计算机
10. 查验防火墙配置,而且仅将用以已经知道总体目标的总流量纳入授权管理
11. 限定不一样客户对管理人员账户的应用,由于这会激励凭证共享资源,进而很有可能引进很多别的网络安全问题
哪些能让Ryuk不会再可行
Mackenzie通过去了下列流程来建立了一个更全方位的维护方案:
1. 铭记无论经营规模尺寸或领域怎样,您都是有也许变成总体目标,随后逐渐问一下自己是不是务必从今天起再次搭建50%,90%,100%的互联网主题活动——包含新的Active Directory,Email,入帐等,这会必须多久?复建后,假如发觉全部备份数据也都消失了该怎么办?您的团队能生存出来吗?并不是任何人可以。
2. 随后问一下自己:“是不是有些人查验过您的可靠解决方法汇报的检验?”只是由于已检验到一些威胁并进行清除并不代表所有的威胁已被清除。这儿有一个更强的提议:勒索软件:你将黑客攻击的五个征兆(https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked/)。
3. 一旦看到有些人或者专业的安全运营核心(SOC)在调研网络检测結果,请马上下手查询未被检验到的內容。很多威胁参加者会应用您自身的账号和设备来应对您。当有些人应用正规的专用工具和指令开展虚假实际操作时,你有没有专用工具来鉴别?Mackenzie说,这就是节点检验和回应(EDR)商品及其拓展的监测和回应(XDR)商品发生的地区。
4. 最终,在须要时请接纳协助。并不是每个人有充足的网络资源来经营一支配置齐备且阅历丰富的安全运营核心(SOC)精英团队。Mackenzie说,托管服务可以协助缓解一些工作压力。但是,请谨记,代管服务提供商并无法确保彻底免遭进攻,CyrusOne也曾被勒索软件攻击,该进攻还连累了其六个托管服务顾客。
文中翻譯自:https://threatpost.com/ryuk-ransomware-attack-student/165918/倘若转截,请标明全文详细地址。