[[400124]]

近日，一個學(xué)生使用盜版的數(shù)據(jù)可視化軟件導(dǎo)致了歐洲生物分子研究所遭遇Ryuk勒索軟件攻擊，據(jù)悉，該學(xué)生從warez網(wǎng)站下載了破解版的軟件，該軟件包含竊取信息的木馬，該木馬記錄了擊鍵，竊取了Windows剪貼板的歷史記錄并竊取了密碼，包括Ryuk攻擊者登錄該研究所所使用的憑據(jù)，導(dǎo)致研究所損失了一周的研究數(shù)據(jù)和為期一周的網(wǎng)絡(luò)中斷。

Sophos的安全研究人員在周四發(fā)布的一份報告中描述了這次攻擊，此前該安全公司的快速響應(yīng)小組被召集來回應(yīng)并消除此次網(wǎng)絡(luò)攻擊。

研究人員說，每個人都會犯錯，只是那個節(jié)儉的學(xué)生的一些小小的錯誤恰好被別人利用了。然而，由于沒有采取適當(dāng)?shù)陌踩胧﹣碜柚惯@些失誤的發(fā)生，該學(xué)生一時的大意最終升級為了全面的勒索軟件攻擊。

必要的身份驗證缺失

與許多組織一樣，該機構(gòu)允許外部人員通過其個人計算機訪問其網(wǎng)絡(luò)。他們可以通過使用不需要兩因素身份驗證(2FA)的遠(yuǎn)程Citrix會話來實現(xiàn)這一點。

值得注意的是，缺少必需的2FA是相當(dāng)危險的，更不用說Citrix是當(dāng)下威脅參與者積極利用以竊取憑據(jù)的最廣泛使用的平臺之一。4月，美國國家安全局(NSA)發(fā)出警告稱，威脅參與者正在積極利用影響VPN、協(xié)作套件軟件和虛擬化技術(shù)的漏洞。

其中包括Citrix、Fortinet、Pulse Secure、Synacor和VMware，它們?nèi)紝儆诟呒壙沙掷m(xù)威脅(APT)團伙，被稱為APT29，又名Cozy Bear或The Dukes。國家安全局當(dāng)時表示，APT29正在“對易受攻擊的系統(tǒng)進行廣泛的掃描和利用，以獲取身份驗證憑據(jù)從而進行進一步訪問。”

貧窮的學(xué)生渴望“交易”

在本次攻擊中，該名學(xué)生正在尋找一種昂貴的數(shù)據(jù)可視化軟件工具，該工具在工作中曾使用過，他想要將其安裝在家用計算機上。然而，該許可證每年將花費數(shù)百美元，于是他向研究論壇求助，想請人介紹免費的類似工具，卻一無所獲。在尋求類似合法軟件無果后，這名學(xué)生最后找到了該視覺化軟件的破解版。

不幸的是，這名學(xué)生找到了，更不幸的是，他(或她)顯然沒有意識到破解軟件的危險性。破解軟件導(dǎo)致了諸如遠(yuǎn)程訪問木馬(RAT)和加密貨幣竊取器之類的惡意軟件的入侵，并且網(wǎng)絡(luò)犯罪分子正在努力使他們的攻擊工具更容易通過防御。本身存在漏洞的應(yīng)用程序也可能成為充滿惡意軟件的容器。

“這個文件實際上完全就是個惡意軟件。”Sophos研究人員說。該學(xué)生決定禁用微軟的Windows Defender防病毒軟件，因為該軟件在學(xué)生嘗試安裝此免費的軟件時阻止。

根據(jù)安全研究人員可以從此筆記本電腦上得知的情況(勒索軟件攻擊發(fā)生后，筆記本電腦已被取證)來看，學(xué)生還必須禁用防火墻，才能將這顆定時炸彈安裝到計算機上。

從破解軟件到惡意軟件安裝

安裝后，可視化工具的破解副本安裝了一個信息竊取程序，用于記錄擊鍵、竊取瀏覽器記錄、cookie和剪貼板歷史數(shù)據(jù)等等，在這個學(xué)生的電腦中，該程序就碰巧中了頭獎，獲取了學(xué)生對研究所網(wǎng)絡(luò)的訪問憑據(jù)。

15天后，這些被盜的憑據(jù)被使用從而在研究所的網(wǎng)絡(luò)上注冊了遠(yuǎn)程桌面協(xié)議(RDP)連接。研究人員指出，這種連接是通過一臺以“龍貓(Totoro)”命名的計算機進行的，眾所周知龍貓是一種可愛且廣受歡迎的動漫形象。

RDPs已經(jīng)在大量的攻擊被使用，其中包括被用于對BlueKeep的漏洞利用。研究人員解釋說，RDP的功能之一是通過連接觸發(fā)打印機驅(qū)動程序的自動安裝，從而使用戶可以遠(yuǎn)程打印文檔。他們說，在這種情況下，RDP連接使用了俄語打印機驅(qū)動程序，“很可能是惡意連接”。建立RDP連接十天后，Ryuk被觸發(fā)。

Sophos快速響應(yīng)部經(jīng)理Peter Mackenzie說，不管破解軟件背后的幕后黑手是誰，都不太可能與Ryuk攻擊背后的威脅者是同一個團伙。

他在報告中寫道：“以前受到攻擊的網(wǎng)絡(luò)地下市場為攻擊者提供了便捷的初始訪問權(quán)，并且這種情況正在蓬勃發(fā)展，因此我們認(rèn)為惡意軟件運營商將其訪問權(quán)出售給了另一位攻擊者。”“RDP連接可能是測試其訪問權(quán)限的訪問代理。”

勒索軟件來勢洶洶

Dragos的主要工業(yè)互聯(lián)網(wǎng)安全事件響應(yīng)者萊斯利·卡哈特(Lesley Carhart)最近指出，類似的勒索軟件攻擊確實少有報道。她在星期二的推文中說：“這不會只會發(fā)生在其他人身上的事情，”“我敢說這件事情很糟糕，我們現(xiàn)在就要做好準(zhǔn)備，并積極采取緩解措施。”

• 最近，我與其他應(yīng)急事件響應(yīng)者關(guān)于準(zhǔn)備和制止勒索軟件攻擊的推文聯(lián)系不斷，我們不是在開玩笑，因為事情正在迅速升級-包括勒索軟件影響的嚴(yán)重性和它們龐大的數(shù)量。請記住，保險公司只會在必須時才付款。
• -Lesley Carhart(@ hacks4pancakes)2021年5月5日

Mackenzie認(rèn)為她講的一點不錯。他在周四的一封電子郵件中告訴Threatpost，勒索軟件正在經(jīng)歷一場“淘金熱”，“在過去五年中，勒索軟件一直呈指數(shù)級增長”。

安全專家們唱的都是同一個調(diào)子，即，攻擊變得越來越糟糕和更具破壞性，在勒索軟件部署之前需要花費更多的時間和精力來刪除備份。攻擊者也在不斷升級他們的攻擊技巧：“他們通過一些避免檢測的新技術(shù)來使攻擊變得越來越復(fù)雜，例如在虛擬機、Windows安全模式或完全無文件模式下運行，”Mackenzie告訴Threatpost。“像Cobalt Strike這樣的高級工具的便捷訪問甚至使業(yè)余攻擊也具有毀滅性。

他接著說道：“最重要的是，受害者還被施加了較大的壓力，比如數(shù)據(jù)、電子郵件、電話等的過濾和泄漏，以及這些內(nèi)容被公開在他們的客戶、新聞記者甚至是股票市場的環(huán)境之下。”“在每一次攻擊中，管理員和高管都承受著極大的壓力，更不用說贖金的需求也在直線上升，從過去每臺機器300美元的贖金漲到整個產(chǎn)業(yè)的數(shù)千萬美元。”

在這些勒索軟件犯罪團伙在疫情大流行期間針對醫(yī)療保健組織發(fā)起了毫無保留的攻擊時，我們只能用“惡毒”這個詞來形容他們。Ryuk背后的犯罪團伙就是如此，Mackenzie說，Ryuk通常被認(rèn)為是近年來最危險的群體之一。他告訴Threatpost：“他們非常專業(yè)，可以使用各種資源。”“幾年來，他們一直在定期發(fā)動襲擊，而且沒有停止的跡象。他們收到的贖金量的估算值從數(shù)億到數(shù)十億美元不等，即使在全球疫情大流行期間，他們是為數(shù)不多的仍在積極瞄準(zhǔn)醫(yī)療保健組織的團體之一。”

什么能讓Ryuk不再行得通：基礎(chǔ)操作

“沒有什么靈丹妙藥。”Carhart表示。為防止勒索軟件攻擊，組織需要“基本的安全措施和投資，以實現(xiàn)避免勒索軟件的攻擊”，并提到在這種情況下可能起到幫助作用的防御機制，“諸如VPN和云服務(wù)上的MFA、離線保存的常規(guī)備份、限制帳戶[權(quán)限]、事件應(yīng)急響應(yīng)和重建。”

Sophos的Mackenzie回應(yīng)了Carhart的說法：強大的網(wǎng)絡(luò)身份驗證和訪問控制，再加上終端用戶培訓(xùn)，可以很大程度上阻止這種攻擊的發(fā)生。他說：“它有力地提醒人們正確設(shè)置安全基礎(chǔ)的重要性。” Sophos有一個，名為《2021年勒索軟件狀況》的指南，其中形象地提出了有關(guān)如何拉起吊橋并防御勒索軟件的建議。

這里有一個TL; DR速查表，其中包含基本的關(guān)鍵保護措施：

1. 在可能的情況下，為需要訪問內(nèi)部網(wǎng)絡(luò)的任何人(包括外部協(xié)作者和合作伙伴)啟用多因素身份驗證(MFA)

2. 為需要訪問內(nèi)部網(wǎng)絡(luò)的每個人制定強有力的密碼策略

3. 停用和/或升級任何不受支持的操作系統(tǒng)和應(yīng)用程序

4. 在所有計算機上查看并安裝安全軟件

5. 定期檢查并在所有計算機上安裝最新的軟件補丁，并檢查它們是否已正確安裝

6. 審查代理服務(wù)器的使用，并定期檢查安全策略，以防止網(wǎng)絡(luò)上的任何人訪問惡意網(wǎng)站和/或下載惡意文件

7. 通過組策略或使用訪問控制列表，使用靜態(tài)局域網(wǎng)(LAN)規(guī)則鎖定遠(yuǎn)程桌面RDP訪問

8. 對包括局域網(wǎng)在內(nèi)的任何網(wǎng)絡(luò)訪問實施隔離(或考慮使用虛擬局域網(wǎng))，并在必要時使用硬件/軟件/訪問控制列表

9. 不斷檢查域帳戶和計算機，刪除所有未使用或不需要的帳戶和計算機

10. 檢查防火墻配置，并且僅將用于已知目標(biāo)的流量列入白名單

11. 限制不同用戶對管理員帳戶的使用，因為這會鼓勵憑據(jù)共享，從而可能引入許多其他安全漏洞

什么能讓Ryuk不再行得通

Mackenzie通過了以下步驟來創(chuàng)建了一個更全面的保護計劃：

1. 牢記無論規(guī)模大小或行業(yè)如何，您都有可能成為目標(biāo)，然后開始問自己是否必須從今天開始重新構(gòu)建50%，90%，100%的網(wǎng)絡(luò)活動——包括新的Active Directory，Email，記帳等，這會需要多長時間?重建后，如果發(fā)現(xiàn)所有備份也都消失了怎么辦?您的團體能存活下來嗎?并非所有人都可以。

2. 然后問自己：“是否有人檢查過您的安全解決方案報告的檢測?”僅僅因為已檢測到某些威脅并對其進行清理并不意味著全部的威脅已被消除。這里有一個更好的建議：勒索軟件：你將被攻擊的五個跡象(https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked/)。

3. 一旦發(fā)現(xiàn)有人或是專門的安全運營中心(SOC)在調(diào)查網(wǎng)絡(luò)檢測結(jié)果，請立即著手查看未被檢測到的內(nèi)容。許多威脅參與者會使用您自己的帳戶和工具來對付您。當(dāng)有人使用合法的工具和命令進行惡意操作時，你有沒有工具來識別?Mackenzie說，這就是端點檢測和響應(yīng)(EDR)產(chǎn)品以及擴展的檢測和響應(yīng)(XDR)產(chǎn)品出現(xiàn)的地方。

4. 最后，在需要時請接受幫助。并非每個人都有足夠的資源來運營一支配備齊全且經(jīng)驗豐富的安全運營中心(SOC)團隊。Mackenzie說，托管服務(wù)可以幫助減輕一些壓力。不過，請切記，托管服務(wù)提供商并不能保證完全免受攻擊，CyrusOne也曾被勒索軟件攻擊，該攻擊還拖累了其六個托管服務(wù)客戶。

本文翻譯自：https://threatpost.com/ryuk-ransomware-attack-student/165918/如若轉(zhuǎn)載，請注明原文地址。