受影响平台:所有OS平台受影响方:教育行业影响:潜在的勒索软件感染、数据泄露、教育行业系统受损严重性:高2021年发生了几次影响我们日常生活中的一次重大勒索软件事件。5月初,美国最大的成品油管道公司ColonialPipeline感染了DarkSide勒索软件。感染迫使该公司在进行评估时作为预防措施关闭了管道,导致东海岸的加油站排起了长队。同月晚些时候,REvil勒索软件攻击了全球最大的肉类加工商JBS,并中断了该公司的肉类生产。7月,REvil再次来袭,影响了托管服务提供商Kaseya的客户。攻击者利用KaseyaVSA(虚拟系统管理员)软件中的身份验证绕过漏洞,通过软件管理的主机向下游客户传播恶意负载。由于勒索软件团伙的主要目标是经济利益,因此人们普遍认为教育行业不在坏人的雷达范围内。然而,联邦调查局的一份报告表明情况恰恰相反。FBI于3月16日发布了紧急警报,警告公众PYSA勒索软件越来越多地针对美国和英国的教育机构。PYSA,也称为Mespinoza,是“ProtectYourSystemAmigo”的缩写,被认为与Vurten勒索软件密切相关。PYSA于2019年12月首次被发现。当时,它在其加密的文件中添加了“.locked”文件扩展名,但后来切换到更熟悉的“.pysa”文件扩展名。PYSA的入口点通常归因于三种方法:垃圾邮件、暴露在Internet上的Windows主机的RDP妥协,以及对中央管理控制台和某些ActiveDirectory(AD)帐户的暴力攻击。一旦被感染,PYSA会使用各种工具(例如ProcDump、Mimikatz和AdvancedIPScanner)来实现横向移动和信息侦察。PYSA是双重勒索软件,因为它从受感染的机器上窃取信息并对文件进行加密,要求受害者付费解密他们的文件,而不是将窃取的信息公开给公众。Grief勒索软件于2021年5月袭击了密西西比州的一个学区。根据一份公开报告,Grief'sLeaks网站称该勒索软件窃取了10GB的数据,包括内部文件和个人信息。据报道,华盛顿州的另一个学区和弗吉尼亚州的一所学校也遭到了Grief的袭击。Grief勒索软件,也称为GriefOrPay,被认为是DoppelPaymer勒索软件的修改版本。DoppelPaymer至少从2019年7月开始就存在,并且是BitPaymer勒索软件家族的一员。虽然名称从DoppelPaymer更改为Grief的原因尚不清楚,但它发生在ColonialPipeline事件之后。一种理论认为,进行品牌重塑是为了将执法部门的注意力从该组织转移开。勒索软件团伙的工作方式与诈骗公司类似,在从受害者那里骗取足够多的钱以转移执法部门不必要的注意力后,他们会更改名称、徽标和注册。虽然其入侵策略尚未确定,但Grief攻击可能间接依赖于垃圾邮件,因为据信DoppelyPaymer有效负载是通过Dridex僵尸网络分发的。另一份报告指出,在一些感染Grief的机器中存在CobaltStrike。Grief也是一种双重勒索软件,要求支付赎金以使用Monero加密货币解密文件。Grief团伙最近将他们的策略提升了一个档次。如果受害者联系执法部门或专业的赎金谈判代表,他们的新赎金信息可能会删除恢复加密文件所需的解密密钥。除了是勒索软件之外,这实质上使Grief成为一种擦除器恶意软件。据一份报告称,2020年勒索软件攻击影响了美国近1800所学校,学生人数超过130万。在此期间,每次事件的赎金从10,000美元到超过100万美元不等,加上教育机构因关闭而额外损失66.2亿美元.虽然对大学的攻击可能不会像对大公司的攻击那样获得大笔赎金,但被盗信息可用于经济利益,因为许多大学系统包含有价值的研究数据以及政府机构的联系信息和电子邮件,国防工业、制药实验室和其他利用大学研究人员的私营公司。我们知道,一些勒索软件即服务提供商有一条规则,将他们的活动排除在被认为必不可少的部门(天然气、石油、医院、核电站等)之外。大多数教育部门都属于这些范围。不过他们并没有什么崇高的目的,只是想躲避执法人员的打击,执法人员对这些单位的攻击几乎没有容忍度。但他们不能保证其关联公司将始终遵守这些规则。考虑到教育部门最近多次成为攻击目标,他们显然无法幸免于勒索软件攻击。FortiGuardLabs已经确定了至少20种针对教育部门的不同勒索软件感染。这些感染大多发生在美国,其数量远远超过其他国家。Pysa和Ryuk勒索软件系列是最常见的,其次是Grief和Babuk勒索软件。有趣的是,许多著名的勒索软件变体,如REvil、Blackmatter、Lockbit、DarkSide和RagnarLocker,并未被发现针对学校。这可能部分是由上述政策解释的,即一些勒索软件组织对附属机构施加限制,禁止他们攻击特定部门,如健康和教育。收集到的与教育部门相关的电子邮件地址FortiGuardLabs还分析了从OSINT源中提取的域名中包含“.edu”的电子邮件地址列表。2021年5月至2021年8月期间,在美国所有50个州和地区共收集了属于美国教育机构的138,088个电子邮件地址。收集的电子邮件通常在暗网上出售,可用于未来的攻击。教育中的IPS检测IPS检测提供了一些关于恶意软件流行的有趣见解。虽然它无法识别出所有的勒索软件,但它会捕获触发IPS系统的勒索软件。下表显示了2021年8月11日至9月10日期间在美国和全球教育部门触发的前五项IPS检测。数据比较了美国与世界其他地区的IPS检测趋势。未经过滤的数据揭示了哪些网络攻击针对的是教育部门。下表显示了2021年8月11日至9月10日期间教育行业组织触发的前五个IPS签名。请注意,这些数字并未针对唯一机器进行过滤,这意味着实际影响可能较低。但这些数据仍然提供了过去30天内针对教育部门进行了多少次扫描和利用尝试的情报。此外,这些攻击并不一定意味着攻击者以教育机构内运行的技术为目标。它只是部署在教育部门网络中的IPS系统识别和阻止的攻击记录。NTP.Monlist.Command.DoS表示试图针对NTP服务中的拒绝服务漏洞。此签名与CVE-2013-5211相关。Nmap.Script.Scanner表示来自Nmap脚本引擎扫描器的尝试扫描,它识别目标系统上正在运行的服务并根据其发现执行进一步的攻击。SolarWinds.SUNBURST.Backdoor表示在网络中检测到SUNBURST后门C2通信。SunBurst是一个后门,在2020年底通过受感染的SolarWind的OrionIT监控和管理软件更新系统传播。Port.Scanning通过端口扫描器检测尝试扫描,识别目标系统上可用的端口或服务。Backdoor.DoublePulsar表示存在DoublePulsar恶意软件或尝试通过RDP协议进行扫描。DoublePulsar是一种后门木马,是2017年3月ShadowBrokers组织泄露的NSA漏洞利用程序的一部分,并在2017年5月用于WannaCry勒索软件攻击。Qualys.Vulnerability.Scanner检测到QualysVulnerabilityScanner尝试扫描。攻击者可能会使用扫描器来识别目标系统的服务,并将其发现作为进一步攻击的基础。Nmap.Scirpt.Scanner和Port.ScanningQualys.Vulnerability.Scanner似乎是教育领域的常客。我们惊讶地发现,Sunburst后门IPS签名也占美国总体活动的很大一部分,但进一步调查显示,大多数IPS检测属于美国的一家教育机构。然而,当我们调查2021年8月11日至9月10日期间教育部门访问量最大的一些URL时,Backdoor.DouplePulsar更有意义,因为在我们分析时,它的URL导致Glupteba恶意软件的变体。Glupteba是一种用Golang编写的跨平台木马,主要通过注入合法网站或广告网络的恶意广告传播。我们的分析证实,从URL下载的Glupteba变体包含一个模块,用于启动臭名昭著的EternalBlue漏洞,该漏洞由美国国家安全局(NSA)开发,并于2017年由ShadowBrokers黑客组织泄露。该漏洞随后被用于臭名昭著的Wannacry和Petya的攻击。暴露于恶意URL的计算机可能已经下载并安装了Glupteba恶意软件。Glupteba随后使用EternalBlue传播DoublePulsar,这是ShadowBrokers披露的一种后门植入程序,可以执行其他恶意代码。这种情况很好地解释了为什么会触发Backdoor.DouplePulsar签名。在巴西、南非和印度观察到的检测最多,占Backdoor.DouplePulsar总检测触发器的70%。教育中的僵尸网络和AV检测接下来,我们比较了在美国和全球观察到的僵尸网络活动以确定趋势。结果他们几乎同步了。与记录被阻止攻击的IPS触发器不同,僵尸网络检测指示网络上活跃的僵尸网络恶意软件。MiraiIoT僵尸网络在这两个地区均处于领先地位,紧随其后的是Gh0stRat和Zeroaccess。它们共同占美国和全球教育部门僵尸网络活动的50%以上。由于所有三个僵尸网络的恶意软件源代码都很容易获得,教育部门是僵尸网络攻击者的潜在目标。下图显示了2021年8月11日至9月10日在美国和全球教育部门观察到的前五名AV检测结果。该数据表明在此期间阻止了哪些恶意软件。Cryxos是美国和全球最常见的恶意软件。这种恶意JavaScript变体通常与虚假呼叫支持诈骗有关。它显示一个虚假的弹出警告,表明受害者的机器存在严重问题。进一步指示受害者致电支持以进行虚假修复,否则他们将面临丢失敏感数据的风险。诈骗者然后要求通过信用卡或礼品卡付款。其他常见攻击包括:W32/Swizzor!B.tr是一种已存在多年的旧Windows恶意软件。该恶意软件旨在显示不需要的广告或在目标计算机上下载和执行远程文件。因此,感染了Swizzor的设备可能会表现出其他已知与恶意软件相关的行为(即数据泄露)。JS/Miner.BP!tr是一种恶意javascript,可在用户不知情的情况下挖掘加密货币。受害者的机器可能会遇到性能下降和功耗增加的情况。W32/Agent.DRI!tr.dldr是一种特洛伊木马恶意软件,旨在下载和执行远程文件。就像Switzor一样,感染此恶意软件的机器可能会表现出恶意行为。W32/RanumBot.X!tr是一种特洛伊木马程序,它会打开后门并等待来自其命令和控制服务器的命令。它的行为取决于它接收到的远程命令。结论与任何其他行业一样,教育机构也不能免受网络攻击。后门感染可能导致信息泄露,或窃取对机构研究工作至关重要的学生、家长和教职员工PII。公开攻击可能会导致其关联公司和合作伙伴遭受经济损失、品牌受损以及信心和声誉受损。更糟糕的是,勒索软件不仅可以针对易受攻击的网络进行部署,还可以将受感染网络的访问权限出售给黑市上的其他勒索软件团伙。从几乎所有此类研究中得出的最重要结论之一是,犯罪分子绝大多数都利用可用补丁来瞄准已知漏洞。这使得网络安全卫生成为重中之重。同样,它再次强调了备份关键数据的必要性。如果定期备份没有实施或管理不当,组织可能会花费数十万美元来更换受影响的设备。然而,即使受害者有备份和良好的恢复计划,攻击者仍然威胁要泄露被盗数据。如果不支付赎金,他们会将所有内容发布在暗网上。因此,必须制定可靠的勒索软件预防和恢复计划,包括对所有静态数据进行加密。同样,僵尸网络是对成为攻击者基础设施一部分的组织的间接威胁。攻击者可以利用他们的带宽对其他方发起DDoS攻击,横向移动到其他机构,或利用计算能力进行加密挖掘或其他非法目的。这最终将导致这些受害者的生产力和收入损失。今年早些时候Fortinet博客中题为“影响教育网络安全的威胁”的以下声明值得多次强调:“众所周知,与攻击预防相关的成本和工作量通常远低于成功的攻击投资全面的网络安全战略,在教育网络安全及其他领域,不仅可以保护敏感数据和基础设施,还有助于降低成本。”本文翻译自:https://www.fortinet.com/blog/threat-research/ransomware-impact-on-the-education-sector如有转载请注明原文地址。
