近日,一名使用盗版数据可视化软件的学生在欧洲生物分子研究所引发了Ryuk勒索软件攻击事件。据报道,该学生从warez网站下载了破解版软件,该软件包含一个信息窃取木马,可以记录击键、窃取Windows剪贴板历史记录并窃取密码,包括Ryuk攻击者用于登录学院的凭据,使学院损失惨重一周的研究数据和一周的网络中断。Sophos的安全研究人员在周四发布的一份报告中描述了这次攻击,此前该安全公司的快速反应团队被召集起来应对并消除网络攻击。研究人员说,每个人都会犯错误,但节俭学生的小错误恰好被其他人利用了。然而,由于没有适当的安全措施来防止这些失误,这名学生的轻率行为升级为全面的勒索软件攻击。缺少必要的身份验证与许多组织一样,该机构允许外部人员通过他们的个人计算机访问其网络。他们可以使用不需要双因素身份验证(2FA)的远程Citrix会话来执行此操作。值得注意的是,缺少必需的2FA是相当危险的,更不用说Citrix是被威胁行为者积极利用以窃取凭据的最广泛使用的平台之一。4月,美国国家安全局(NSA)发出警告称,威胁行为者正在积极利用影响VPN、协作套件软件和虚拟化技术的漏洞。其中包括Citrix、Fortinet、PulseSecure、Synacor和VMware,它们都属于称为APT29(又名CozyBear或TheDukes)的高级持续威胁(APT)组织。美国国家安全局当时表示,APT29正在“对易受攻击的系统进行广泛扫描和利用,以获得进一步访问的身份验证凭据”。正在寻找一个他在工作中使用过的昂贵的数据可视化软件工具,他想将其安装在家里的电脑上。然而,许可证每年要花费数百美元,因此他转向研究论坛寻找类似免费工具的推荐,但一无所获。在查找类似正版软件无果后,该同学终于找到了破解版的可视化软件。不幸的是,学生发现了它,更不幸的是,他(或她)显然没有意识到破解软件的危险。破解软件导致了远程访问木马(RAT)和加密货币窃取程序等恶意软件的入侵,网络犯罪分子正在努力让他们的攻击工具更容易绕过防御。本身易受攻击的应用程序也可能成为充满恶意软件的容器。“这个文件实际上是一个完整的恶意软件,”Sophos研究人员说。该学生决定禁用Microsoft的WindowsDefender防病毒软件,因为它在学生尝试安装此免费软件时阻止了该学生。根据安全研究人员从勒索软件攻击后通过法医恢复的笔记本电脑可以看出的情况,学生们还必须禁用防火墙才能在他们的计算机上安装定时炸弹。从破解软件到恶意软件安装一旦安装,Visualizer的破解副本就会安装一个信息窃取程序,记录击键、窃取浏览器历史记录、cookie和剪贴板历史数据等。在该学生的计算机中,该程序恰好中奖,获得了该学生对学院网络的访问凭证。十五天后,这些被盗的凭据被用于在研究所网络上注册远程桌面协议(RDP)连接。研究人员指出,连接是通过一台以著名的可爱流行动漫人物龙猫命名的计算机建立的。RDP已被用于多种攻击,包括BlueKeep漏洞利用。研究人员解释说,RDP的功能之一是通过连接触发打印机驱动程序的自动安装,允许用户远程打印文档。他们说,在这种情况下,RDP连接使用了俄语打印机驱动程序,“很可能是恶意连接”。RDP连接建立十天后触发Ryuk。Sophos快速响应经理PeterMackenzie表示,破解软件的幕后黑手不太可能是Ryuk攻击幕后的同一威胁组织。他在报告中写道:“此前遭到攻击的在线地下市场为攻击者提供了轻松的初始访问权限并且正在蓬勃发展,因此我们认为恶意软件运营商正在将他们的访问权限出售给另一个网络攻击者。”“RDP连接可能是测试其访问的访问代理。”勒索软件呈上升趋势Dragos的首席工业互联网安全事件响应者LesleyCarhart最近指出,类似的勒索软件攻击确实很少被报道。“这不仅仅是发生在其他人身上的事情,”她周二发推文说。“我敢说这很糟糕,我们需要现在就做好准备,积极主动地进行缓解。”最近,我一直在不断地与其他事件响应者发布有关准备和阻止勒索软件攻击的推文,我们并不是在开玩笑,因为事情正在迅速升级——包括勒索软件影响的严重性和它们的庞大数量。请记住,保险公司只会在必要时支付。—LesleyCarhart(@hacks4pancakes)2021年5月5日Mackenzie认为她说对了。他周四在一封电子邮件中告诉Threatpost,勒索软件正在经历“淘金热”,并且“勒索软件在过去五年中呈指数增长。”安全专家一致认为,攻击越来越严重,破坏性越来越大,需要更多的时间和精力在勒索软件部署之前删除备份。攻击者也在不断升级他们的技术:“他们正在使用新技术使他们的攻击更加复杂以避免检测,例如在虚拟机中运行,在Windows安全模式下,或者完全在无文件模式下,”Mackenzie告诉Threatpost。“轻松使用像CobaltStrike这样的高级工具,即使是业余攻击也具有毁灭性。最重要的是,受害者承受着沉重的压力,例如数据、电子邮件、电话等,”他继续说道。过滤和泄露,暴露给他们的客户、记者,甚至股票市场。“每一次攻击,管理员和高管都承受着极大的压力,更不用说对赎金的需求猛增,从过去每台机器300美元到整个行业的数千万美元。”.“恶毒”是我们唯一可以用来形容这些勒索软件团伙的词,他们在大流行期间对医疗机构发动了无情的攻击。麦肯齐说,Ryuk背后的团伙就是这种情况。近年来经常被认为是最危险的群体之一。他告诉Threatpost:“他们非常专业,可以访问各种资源。”几年来,他们一直在定期进行攻击,而且没有停止的迹象。据估计,他们收到的赎金数额从数亿到数十亿美元不等,即使在全球大流行期间,他们也是为数不多的积极针对医疗保健组织的组织之一。“是什么让Ryuk停止工作:基本操作”并不是灵丹妙药。为了防止勒索软件攻击,组织需要“基本的安全措施和投资来避免勒索软件,”Carhart说,并引用了可能在这种情况下有所帮助的防御机制,“例如云服务上的VPN和MFA、定期离线备份、受限帐户[权限]、事件响应和重建。Sophos的Mackenzie赞同Carhart的说法,即强大的网络身份验证和访问控制,结合最终用户培训,可以大大防止这种攻击的发生。他说:“基础的重要性。”这是一个具有基本密钥保护的TL;DR备忘单:1.在可能的情况下,为需要访问内部网络的任何人(包括外部协作者和合作伙伴)启用多因素身份验证(MFA)2。为需要访问内部网络的每个人制定强密码策略3。禁用和/或升级任何不受支持的操作系统和应用程序4。检查并在所有计算机上安装安全软件5。定期检查并在所有计算机上安装最新的软件补丁,并检查它们是否安装正确6。检查代理服务器的使用情况并定期检查安全策略,以防止网络上的任何人访问恶意网站和/或下载恶意文件7。通过组策略或使用访问控制列表/访问控制列表,使用静态局域网(LAN)规则锁定远程桌面RDP访问9.不断检查域帐户和计算机,删除所有未使用或不需要的帐户10.检查防火墙配置和仅用于已知目的地的白名单流量11.使用管理员帐户,因为这会鼓励凭证共享,这会引入许多其他安全漏洞是什么让Ryuk不再有效?Mackenzie通过以下步骤制定了更全面的保护计划:1.请记住,无论规模或行业如何,您都可能成为目标并开始问自己是否必须重新设计50%、90%、100%从今天开始您的网络活动——包括新的ActiveDirectory、电子邮件、会计等,这需要多长时间?重建后,如果您发现所有备份也不见了怎么办?你的团队能活下来吗?并非所有人都会。2.然后问问自己:“是否有人检查过您的安全解决方案报告的检测结果?”仅仅因为检测到并清除了一些威胁并不意味着所有威胁都已消除。这里有一个更好的建议:勒索软件:您即将受到攻击的五个迹象(https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-即将被攻击/)。3.一旦发现某人或专门的安全运营中心(SOC)正在调查网络检测,请立即开始查看未检测到的内容。许多威胁行为者会使用您自己的帐户和工具来对付您。您是否有工具来识别某人何时使用合法工具和命令进行恶意操作?Mackenzie说,这就是端点检测和响应(EDR)产品以及扩展检测和响应(XDR)产品的用武之地。4.最后,在需要时接受帮助。并非每个人都有资源来运行一个人员配备齐全且经验丰富的安全运营中心(SOC)团队。Mackenzie说,托管服务可以帮助减轻一些压力。不过请记住,托管服务提供商并不能保证完全免受攻击,因为CyrusOne也遭到了勒索软件攻击,这也拖累了其六家托管客户。本文翻译自:https://threatpost.com/ryuk-ransomware-attack-student/165918/如有转载请注明出处。
