近日�,一個(gè)學(xué)生使用盜版的數(shù)據(jù)可視化軟件導(dǎo)致了歐洲生物分子研究所遭遇Ryuk勒索軟件攻擊,據(jù)悉�����,該學(xué)生從warez網(wǎng)站下載了破解版的軟件,該軟件包含竊取信息的木馬��,該木馬記錄了擊鍵�����,竊取了Windows剪貼板的歷史記錄并竊取了密碼,包括Ryuk攻擊者登錄該研究所所使用的憑據(jù)�����,導(dǎo)致研究所損失了一周的研究數(shù)據(jù)和為期一周的網(wǎng)絡(luò)中斷�����。
Sophos的安全研究人員在周四發(fā)布的一份報(bào)告中描述了這次攻擊�����,此前該安全公司的快速響應(yīng)小組被召集來(lái)回應(yīng)并消除此次網(wǎng)絡(luò)攻擊����。
研究人員說(shuō),每個(gè)人都會(huì)犯錯(cuò)�����,只是那個(gè)節(jié)儉的學(xué)生的一些小小的錯(cuò)誤恰好被別人利用了�。然而���,由于沒(méi)有采取適當(dāng)?shù)陌踩胧﹣?lái)阻止這些失誤的發(fā)生�����,該學(xué)生一時(shí)的大意最終升級(jí)為了全面的勒索軟件攻擊�。
必要的身份驗(yàn)證缺失
與許多組織一樣,該機(jī)構(gòu)允許外部人員通過(guò)其個(gè)人計(jì)算機(jī)訪問(wèn)其網(wǎng)絡(luò)����。他們可以通過(guò)使用不需要兩因素身份驗(yàn)證(2FA)的遠(yuǎn)程Citrix會(huì)話(huà)來(lái)實(shí)現(xiàn)這一點(diǎn)。
值得注意的是��,缺少必需的2FA是相當(dāng)危險(xiǎn)的�,更不用說(shuō)Citrix是當(dāng)下威脅參與者積極利用以竊取憑據(jù)的最廣泛使用的平臺(tái)之一。4月�,美國(guó)國(guó)家安全局(NSA)發(fā)出警告稱(chēng),威脅參與者正在積極利用影響VPN�����、協(xié)作套件軟件和虛擬化技術(shù)的漏洞��。
其中包括Citrix����、Fortinet����、Pulse Secure�、Synacor和VMware,它們?nèi)紝儆诟呒?jí)可持續(xù)威脅(APT)團(tuán)伙�����,被稱(chēng)為APT29��,又名Cozy Bear或The Dukes���。國(guó)家安全局當(dāng)時(shí)表示����,APT29正在“對(duì)易受攻擊的系統(tǒng)進(jìn)行廣泛的掃描和利用�,以獲取身份驗(yàn)證憑據(jù)從而進(jìn)行進(jìn)一步訪問(wèn)。”
貧窮的學(xué)生渴望“交易”
在本次攻擊中���,該名學(xué)生正在尋找一種昂貴的數(shù)據(jù)可視化軟件工具�,該工具在工作中曾使用過(guò)��,他想要將其安裝在家用計(jì)算機(jī)上���。然而���,該許可證每年將花費(fèi)數(shù)百美元,于是他向研究論壇求助���,想請(qǐng)人介紹免費(fèi)的類(lèi)似工具����,卻一無(wú)所獲�。在尋求類(lèi)似合法軟件無(wú)果后,這名學(xué)生最后找到了該視覺(jué)化軟件的破解版��。
不幸的是���,這名學(xué)生找到了���,更不幸的是,他(或她)顯然沒(méi)有意識(shí)到破解軟件的危險(xiǎn)性�。破解軟件導(dǎo)致了諸如遠(yuǎn)程訪問(wèn)木馬(RAT)和加密貨幣竊取器之類(lèi)的惡意軟件的入侵,并且網(wǎng)絡(luò)犯罪分子正在努力使他們的攻擊工具更容易通過(guò)防御����。本身存在漏洞的應(yīng)用程序也可能成為充滿(mǎn)惡意軟件的容器�。
“這個(gè)文件實(shí)際上完全就是個(gè)惡意軟件��。”Sophos研究人員說(shuō)����。該學(xué)生決定禁用微軟的Windows Defender防病毒軟件,因?yàn)樵撥浖趯W(xué)生嘗試安裝此免費(fèi)的軟件時(shí)阻止����。
根據(jù)安全研究人員可以從此筆記本電腦上得知的情況(勒索軟件攻擊發(fā)生后,筆記本電腦已被取證)來(lái)看��,學(xué)生還必須禁用防火墻���,才能將這顆定時(shí)炸彈安裝到計(jì)算機(jī)上���。
從破解軟件到惡意軟件安裝
安裝后,可視化工具的破解副本安裝了一個(gè)信息竊取程序��,用于記錄擊鍵����、竊取瀏覽器記錄��、cookie和剪貼板歷史數(shù)據(jù)等等�,在這個(gè)學(xué)生的電腦中����,該程序就碰巧中了頭獎(jiǎng)�����,獲取了學(xué)生對(duì)研究所網(wǎng)絡(luò)的訪問(wèn)憑據(jù)�。
15天后,這些被盜的憑據(jù)被使用從而在研究所的網(wǎng)絡(luò)上注冊(cè)了遠(yuǎn)程桌面協(xié)議(RDP)連接���。研究人員指出���,這種連接是通過(guò)一臺(tái)以“龍貓(Totoro)”命名的計(jì)算機(jī)進(jìn)行的,眾所周知龍貓是一種可愛(ài)且廣受歡迎的動(dòng)漫形象�。
RDPs已經(jīng)在大量的攻擊被使用,其中包括被用于對(duì)BlueKeep的漏洞利用���。研究人員解釋說(shuō)�����,RDP的功能之一是通過(guò)連接觸發(fā)打印機(jī)驅(qū)動(dòng)程序的自動(dòng)安裝��,從而使用戶(hù)可以遠(yuǎn)程打印文檔�����。他們說(shuō)���,在這種情況下����,RDP連接使用了俄語(yǔ)打印機(jī)驅(qū)動(dòng)程序�,“很可能是惡意連接”。建立RDP連接十天后�����,Ryuk被觸發(fā)����。
Sophos快速響應(yīng)部經(jīng)理Peter Mackenzie說(shuō),不管破解軟件背后的幕后黑手是誰(shuí)�����,都不太可能與Ryuk攻擊背后的威脅者是同一個(gè)團(tuán)伙。
他在報(bào)告中寫(xiě)道:“以前受到攻擊的網(wǎng)絡(luò)地下市場(chǎng)為攻擊者提供了便捷的初始訪問(wèn)權(quán)����,并且這種情況正在蓬勃發(fā)展,因此我們認(rèn)為惡意軟件運(yùn)營(yíng)商將其訪問(wèn)權(quán)出售給了另一位攻擊者����。”“RDP連接可能是測(cè)試其訪問(wèn)權(quán)限的訪問(wèn)代理�。”
勒索軟件來(lái)勢(shì)洶洶
Dragos的主要工業(yè)互聯(lián)網(wǎng)安全事件響應(yīng)者萊斯利·卡哈特(Lesley Carhart)最近指出,類(lèi)似的勒索軟件攻擊確實(shí)少有報(bào)道���。她在星期二的推文中說(shuō):“這不會(huì)只會(huì)發(fā)生在其他人身上的事情����,”“我敢說(shuō)這件事情很糟糕��,我們現(xiàn)在就要做好準(zhǔn)備�,并積極采取緩解措施。”
最近���,我與其他應(yīng)急事件響應(yīng)者關(guān)于準(zhǔn)備和制止勒索軟件攻擊的推文聯(lián)系不斷���,我們不是在開(kāi)玩笑�����,因?yàn)槭虑檎谘杆偕?jí)-包括勒索軟件影響的嚴(yán)重性和它們龐大的數(shù)量��。請(qǐng)記住��,保險(xiǎn)公司只會(huì)在必須時(shí)才付款����。
-Lesley Carhart(@ hacks4pancakes)2021年5月5日
Mackenzie認(rèn)為她講的一點(diǎn)不錯(cuò)���。他在周四的一封電子郵件中告訴Threatpost�����,勒索軟件正在經(jīng)歷一場(chǎng)“淘金熱”�����,“在過(guò)去五年中�,勒索軟件一直呈指數(shù)級(jí)增長(zhǎng)”��。
安全專(zhuān)家們唱的都是同一個(gè)調(diào)子���,即�����,攻擊變得越來(lái)越糟糕和更具破壞性���,在勒索軟件部署之前需要花費(fèi)更多的時(shí)間和精力來(lái)刪除備份����。攻擊者也在不斷升級(jí)他們的攻擊技巧:“他們通過(guò)一些避免檢測(cè)的新技術(shù)來(lái)使攻擊變得越來(lái)越復(fù)雜�,例如在虛擬機(jī)�、Windows安全模式或完全無(wú)文件模式下運(yùn)行,”Mackenzie告訴Threatpost�。“像Cobalt Strike這樣的高級(jí)工具的便捷訪問(wèn)甚至使業(yè)余攻擊也具有毀滅性。
他接著說(shuō)道:“最重要的是��,受害者還被施加了較大的壓力�����,比如數(shù)據(jù)����、電子郵件��、電話(huà)等的過(guò)濾和泄漏���,以及這些內(nèi)容被公開(kāi)在他們的客戶(hù)、新聞?dòng)浾呱踔潦枪善笔袌?chǎng)的環(huán)境之下���。”“在每一次攻擊中��,管理員和高管都承受著極大的壓力�,更不用說(shuō)贖金的需求也在直線上升���,從過(guò)去每臺(tái)機(jī)器300美元的贖金漲到整個(gè)產(chǎn)業(yè)的數(shù)千萬(wàn)美元�����。”
在這些勒索軟件犯罪團(tuán)伙在疫情大流行期間針對(duì)醫(yī)療保健組織發(fā)起了毫無(wú)保留的攻擊時(shí)�����,我們只能用“惡毒”這個(gè)詞來(lái)形容他們���。Ryuk背后的犯罪團(tuán)伙就是如此,Mackenzie說(shuō)���,Ryuk通常被認(rèn)為是近年來(lái)最危險(xiǎn)的群體之一�����。他告訴Threatpost:“他們非常專(zhuān)業(yè)����,可以使用各種資源。”“幾年來(lái)�,他們一直在定期發(fā)動(dòng)襲擊,而且沒(méi)有停止的跡象�。他們收到的贖金量的估算值從數(shù)億到數(shù)十億美元不等,即使在全球疫情大流行期間�����,他們是為數(shù)不多的仍在積極瞄準(zhǔn)醫(yī)療保健組織的團(tuán)體之一�����。”
什么能讓Ryuk不再行得通:基礎(chǔ)操作
“沒(méi)有什么靈丹妙藥��。”Carhart表示�。為防止勒索軟件攻擊�����,組織需要“基本的安全措施和投資,以實(shí)現(xiàn)避免勒索軟件的攻擊”��,并提到在這種情況下可能起到幫助作用的防御機(jī)制����,“諸如VPN和云服務(wù)上的MFA、離線保存的常規(guī)備份����、限制帳戶(hù)[權(quán)限]、事件應(yīng)急響應(yīng)和重建���。”
Sophos的Mackenzie回應(yīng)了Carhart的說(shuō)法:強(qiáng)大的網(wǎng)絡(luò)身份驗(yàn)證和訪問(wèn)控制�����,再加上終端用戶(hù)培訓(xùn)���,可以很大程度上阻止這種攻擊的發(fā)生。他說(shuō):“它有力地提醒人們正確設(shè)置安全基礎(chǔ)的重要性���。” Sophos有一個(gè)����,名為《2021年勒索軟件狀況》的指南,其中形象地提出了有關(guān)如何拉起吊橋并防御勒索軟件的建議���。
這里有一個(gè)TL; DR速查表��,其中包含基本的關(guān)鍵保護(hù)措施:
1. 在可能的情況下��,為需要訪問(wèn)內(nèi)部網(wǎng)絡(luò)的任何人(包括外部協(xié)作者和合作伙伴)啟用多因素身份驗(yàn)證(MFA)
2. 為需要訪問(wèn)內(nèi)部網(wǎng)絡(luò)的每個(gè)人制定強(qiáng)有力的密碼策略
3. 停用和/或升級(jí)任何不受支持的操作系統(tǒng)和應(yīng)用程序
4. 在所有計(jì)算機(jī)上查看并安裝安全軟件
5. 定期檢查并在所有計(jì)算機(jī)上安裝最新的軟件補(bǔ)丁����,并檢查它們是否已正確安裝
6. 審查代理服務(wù)器的使用���,并定期檢查安全策略����,以防止網(wǎng)絡(luò)上的任何人訪問(wèn)惡意網(wǎng)站和/或下載惡意文件
7. 通過(guò)組策略或使用訪問(wèn)控制列表���,使用靜態(tài)局域網(wǎng)(LAN)規(guī)則鎖定遠(yuǎn)程桌面RDP訪問(wèn)
8. 對(duì)包括局域網(wǎng)在內(nèi)的任何網(wǎng)絡(luò)訪問(wèn)實(shí)施隔離(或考慮使用虛擬局域網(wǎng)),并在必要時(shí)使用硬件/軟件/訪問(wèn)控制列表
9. 不斷檢查域帳戶(hù)和計(jì)算機(jī)���,刪除所有未使用或不需要的帳戶(hù)和計(jì)算機(jī)
10. 檢查防火墻配置�,并且僅將用于已知目標(biāo)的流量列入白名單
11. 限制不同用戶(hù)對(duì)管理員帳戶(hù)的使用,因?yàn)檫@會(huì)鼓勵(lì)憑據(jù)共享����,從而可能引入許多其他安全漏洞
什么能讓Ryuk不再行得通
Mackenzie通過(guò)了以下步驟來(lái)創(chuàng)建了一個(gè)更全面的保護(hù)計(jì)劃:
1. 牢記無(wú)論規(guī)模大小或行業(yè)如何,您都有可能成為目標(biāo)����,然后開(kāi)始問(wèn)自己是否必須從今天開(kāi)始重新構(gòu)建50%,90%����,100%的網(wǎng)絡(luò)活動(dòng)——包括新的Active Directory,Email����,記帳等,這會(huì)需要多長(zhǎng)時(shí)間?重建后����,如果發(fā)現(xiàn)所有備份也都消失了怎么辦?您的團(tuán)體能存活下來(lái)嗎?并非所有人都可以。
2. 然后問(wèn)自己:“是否有人檢查過(guò)您的安全解決方案報(bào)告的檢測(cè)?”僅僅因?yàn)橐褭z測(cè)到某些威脅并對(duì)其進(jìn)行清理并不意味著全部的威脅已被消除�����。這里有一個(gè)更好的建議:勒索軟件:你將被攻擊的五個(gè)跡象(https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked/)。
3. 一旦發(fā)現(xiàn)有人或是專(zhuān)門(mén)的安全運(yùn)營(yíng)中心(SOC)在調(diào)查網(wǎng)絡(luò)檢測(cè)結(jié)果�,請(qǐng)立即著手查看未被檢測(cè)到的內(nèi)容。許多威脅參與者會(huì)使用您自己的帳戶(hù)和工具來(lái)對(duì)付您����。當(dāng)有人使用合法的工具和命令進(jìn)行惡意操作時(shí),你有沒(méi)有工具來(lái)識(shí)別?Mackenzie說(shuō)�,這就是端點(diǎn)檢測(cè)和響應(yīng)(EDR)產(chǎn)品以及擴(kuò)展的檢測(cè)和響應(yīng)(XDR)產(chǎn)品出現(xiàn)的地方。
4. 最后�,在需要時(shí)請(qǐng)接受幫助。并非每個(gè)人都有足夠的資源來(lái)運(yùn)營(yíng)一支配備齊全且經(jīng)驗(yàn)豐富的安全運(yùn)營(yíng)中心(SOC)團(tuán)隊(duì)����。Mackenzie說(shuō),托管服務(wù)可以幫助減輕一些壓力�����。不過(guò)����,請(qǐng)切記,托管服務(wù)提供商并不能保證完全免受攻擊�,CyrusOne也曾被勒索軟件攻擊,該攻擊還拖累了其六個(gè)托管服務(wù)客戶(hù)���。
參考及來(lái)源:https://threatpost.com/ryuk-ransomware-attack-student/165918/ 嘶吼專(zhuān)業(yè)版
在線咨詢(xún)
在線咨詢(xún)
0371-63319761
