[[400124]]

近日，一個(gè)學(xué)生使用盜版的數(shù)據(jù)可視化軟件導(dǎo)致了歐洲生物分子研究所遭遇Ryuk勒索軟件攻擊，據(jù)悉，該學(xué)生從warez網(wǎng)站下載了破解版的軟件，該軟件包含竊取信息的木馬，該木馬記錄了擊鍵，竊取了Windows剪貼板的歷史記錄并竊取了密碼，包括Ryuk攻擊者登錄該研究所所使用的憑據(jù)，導(dǎo)致研究所損失了一周的研究數(shù)據(jù)和為期一周的網(wǎng)絡(luò)中斷。

Sophos的安全研究人員在周四發(fā)布的一份報(bào)告中描述了這次攻擊，此前該安全公司的快速響應(yīng)小組被召集來回應(yīng)并消除此次網(wǎng)絡(luò)攻擊。

研究人員說，每個(gè)人都會(huì)犯錯(cuò)，只是那個(gè)節(jié)儉的學(xué)生的一些小小的錯(cuò)誤恰好被別人利用了。然而，由于沒有采取適當(dāng)?shù)陌踩胧﹣碜柚惯@些失誤的發(fā)生，該學(xué)生一時(shí)的大意最終升級(jí)為了全面的勒索軟件攻擊。

必要的身份驗(yàn)證缺失

與許多組織一樣，該機(jī)構(gòu)允許外部人員通過其個(gè)人計(jì)算機(jī)訪問其網(wǎng)絡(luò)。他們可以通過使用不需要兩因素身份驗(yàn)證(2FA)的遠(yuǎn)程Citrix會(huì)話來實(shí)現(xiàn)這一點(diǎn)。

值得注意的是，缺少必需的2FA是相當(dāng)危險(xiǎn)的，更不用說Citrix是當(dāng)下威脅參與者積極利用以竊取憑據(jù)的最廣泛使用的平臺(tái)之一。4月，美國國家安全局(NSA)發(fā)出警告稱，威脅參與者正在積極利用影響VPN、協(xié)作套件軟件和虛擬化技術(shù)的漏洞。

其中包括Citrix、Fortinet、Pulse Secure、Synacor和VMware，它們?nèi)紝儆诟呒?jí)可持續(xù)威脅(APT)團(tuán)伙，被稱為APT29，又名Cozy Bear或The Dukes。國家安全局當(dāng)時(shí)表示，APT29正在“對易受攻擊的系統(tǒng)進(jìn)行廣泛的掃描和利用，以獲取身份驗(yàn)證憑據(jù)從而進(jìn)行進(jìn)一步訪問。”

貧窮的學(xué)生渴望“交易”

在本次攻擊中，該名學(xué)生正在尋找一種昂貴的數(shù)據(jù)可視化軟件工具，該工具在工作中曾使用過，他想要將其安裝在家用計(jì)算機(jī)上。然而，該許可證每年將花費(fèi)數(shù)百美元，于是他向研究論壇求助，想請人介紹免費(fèi)的類似工具，卻一無所獲。在尋求類似合法軟件無果后，這名學(xué)生最后找到了該視覺化軟件的破解版。

不幸的是，這名學(xué)生找到了，更不幸的是，他(或她)顯然沒有意識(shí)到破解軟件的危險(xiǎn)性。破解軟件導(dǎo)致了諸如遠(yuǎn)程訪問木馬(RAT)和加密貨幣竊取器之類的惡意軟件的入侵，并且網(wǎng)絡(luò)犯罪分子正在努力使他們的攻擊工具更容易通過防御。本身存在漏洞的應(yīng)用程序也可能成為充滿惡意軟件的容器。

“這個(gè)文件實(shí)際上完全就是個(gè)惡意軟件。”Sophos研究人員說。該學(xué)生決定禁用微軟的Windows Defender防病毒軟件，因?yàn)樵撥浖趯W(xué)生嘗試安裝此免費(fèi)的軟件時(shí)阻止。

根據(jù)安全研究人員可以從此筆記本電腦上得知的情況(勒索軟件攻擊發(fā)生后，筆記本電腦已被取證)來看，學(xué)生還必須禁用防火墻，才能將這顆定時(shí)炸彈安裝到計(jì)算機(jī)上。

從破解軟件到惡意軟件安裝

安裝后，可視化工具的破解副本安裝了一個(gè)信息竊取程序，用于記錄擊鍵、竊取瀏覽器記錄、cookie和剪貼板歷史數(shù)據(jù)等等，在這個(gè)學(xué)生的電腦中，該程序就碰巧中了頭獎(jiǎng)，獲取了學(xué)生對研究所網(wǎng)絡(luò)的訪問憑據(jù)。

15天后，這些被盜的憑據(jù)被使用從而在研究所的網(wǎng)絡(luò)上注冊了遠(yuǎn)程桌面協(xié)議(RDP)連接。研究人員指出，這種連接是通過一臺(tái)以“龍貓(Totoro)”命名的計(jì)算機(jī)進(jìn)行的，眾所周知龍貓是一種可愛且廣受歡迎的動(dòng)漫形象。

RDPs已經(jīng)在大量的攻擊被使用，其中包括被用于對BlueKeep的漏洞利用。研究人員解釋說，RDP的功能之一是通過連接觸發(fā)打印機(jī)驅(qū)動(dòng)程序的自動(dòng)安裝，從而使用戶可以遠(yuǎn)程打印文檔。他們說，在這種情況下，RDP連接使用了俄語打印機(jī)驅(qū)動(dòng)程序，“很可能是惡意連接”。建立RDP連接十天后，Ryuk被觸發(fā)。

Sophos快速響應(yīng)部經(jīng)理Peter Mackenzie說，不管破解軟件背后的幕后黑手是誰，都不太可能與Ryuk攻擊背后的威脅者是同一個(gè)團(tuán)伙。

他在報(bào)告中寫道：“以前受到攻擊的網(wǎng)絡(luò)地下市場為攻擊者提供了便捷的初始訪問權(quán)，并且這種情況正在蓬勃發(fā)展，因此我們認(rèn)為惡意軟件運(yùn)營商將其訪問權(quán)出售給了另一位攻擊者。”“RDP連接可能是測試其訪問權(quán)限的訪問代理。”

勒索軟件來勢洶洶

Dragos的主要工業(yè)互聯(lián)網(wǎng)安全事件響應(yīng)者萊斯利·卡哈特(Lesley Carhart)最近指出，類似的勒索軟件攻擊確實(shí)少有報(bào)道。她在星期二的推文中說：“這不會(huì)只會(huì)發(fā)生在其他人身上的事情，”“我敢說這件事情很糟糕，我們現(xiàn)在就要做好準(zhǔn)備，并積極采取緩解措施。”

• 最近，我與其他應(yīng)急事件響應(yīng)者關(guān)于準(zhǔn)備和制止勒索軟件攻擊的推文聯(lián)系不斷，我們不是在開玩笑，因?yàn)槭虑檎谘杆偕?jí)-包括勒索軟件影響的嚴(yán)重性和它們龐大的數(shù)量。請記住，保險(xiǎn)公司只會(huì)在必須時(shí)才付款。
• -Lesley Carhart(@ hacks4pancakes)2021年5月5日

Mackenzie認(rèn)為她講的一點(diǎn)不錯(cuò)。他在周四的一封電子郵件中告訴Threatpost，勒索軟件正在經(jīng)歷一場“淘金熱”，“在過去五年中，勒索軟件一直呈指數(shù)級(jí)增長”。

安全專家們唱的都是同一個(gè)調(diào)子，即，攻擊變得越來越糟糕和更具破壞性，在勒索軟件部署之前需要花費(fèi)更多的時(shí)間和精力來刪除備份。攻擊者也在不斷升級(jí)他們的攻擊技巧：“他們通過一些避免檢測的新技術(shù)來使攻擊變得越來越復(fù)雜，例如在虛擬機(jī)、Windows安全模式或完全無文件模式下運(yùn)行，”Mackenzie告訴Threatpost。“像Cobalt Strike這樣的高級(jí)工具的便捷訪問甚至使業(yè)余攻擊也具有毀滅性。

他接著說道：“最重要的是，受害者還被施加了較大的壓力，比如數(shù)據(jù)、電子郵件、電話等的過濾和泄漏，以及這些內(nèi)容被公開在他們的客戶、新聞?dòng)浾呱踔潦枪善笔袌龅沫h(huán)境之下。”“在每一次攻擊中，管理員和高管都承受著極大的壓力，更不用說贖金的需求也在直線上升，從過去每臺(tái)機(jī)器300美元的贖金漲到整個(gè)產(chǎn)業(yè)的數(shù)千萬美元。”

在這些勒索軟件犯罪團(tuán)伙在疫情大流行期間針對醫(yī)療保健組織發(fā)起了毫無保留的攻擊時(shí)，我們只能用“惡毒”這個(gè)詞來形容他們。Ryuk背后的犯罪團(tuán)伙就是如此，Mackenzie說，Ryuk通常被認(rèn)為是近年來最危險(xiǎn)的群體之一。他告訴Threatpost：“他們非常專業(yè)，可以使用各種資源。”“幾年來，他們一直在定期發(fā)動(dòng)襲擊，而且沒有停止的跡象。他們收到的贖金量的估算值從數(shù)億到數(shù)十億美元不等，即使在全球疫情大流行期間，他們是為數(shù)不多的仍在積極瞄準(zhǔn)醫(yī)療保健組織的團(tuán)體之一。”

什么能讓Ryuk不再行得通：基礎(chǔ)操作

“沒有什么靈丹妙藥。”Carhart表示。為防止勒索軟件攻擊，組織需要“基本的安全措施和投資，以實(shí)現(xiàn)避免勒索軟件的攻擊”，并提到在這種情況下可能起到幫助作用的防御機(jī)制，“諸如VPN和云服務(wù)上的MFA、離線保存的常規(guī)備份、限制帳戶[權(quán)限]、事件應(yīng)急響應(yīng)和重建。”

Sophos的Mackenzie回應(yīng)了Carhart的說法：強(qiáng)大的網(wǎng)絡(luò)身份驗(yàn)證和訪問控制，再加上終端用戶培訓(xùn)，可以很大程度上阻止這種攻擊的發(fā)生。他說：“它有力地提醒人們正確設(shè)置安全基礎(chǔ)的重要性。” Sophos有一個(gè)，名為《2021年勒索軟件狀況》的指南，其中形象地提出了有關(guān)如何拉起吊橋并防御勒索軟件的建議。

這里有一個(gè)TL; DR速查表，其中包含基本的關(guān)鍵保護(hù)措施：

1. 在可能的情況下，為需要訪問內(nèi)部網(wǎng)絡(luò)的任何人(包括外部協(xié)作者和合作伙伴)啟用多因素身份驗(yàn)證(MFA)

2. 為需要訪問內(nèi)部網(wǎng)絡(luò)的每個(gè)人制定強(qiáng)有力的密碼策略

3. 停用和/或升級(jí)任何不受支持的操作系統(tǒng)和應(yīng)用程序

4. 在所有計(jì)算機(jī)上查看并安裝安全軟件

5. 定期檢查并在所有計(jì)算機(jī)上安裝最新的軟件補(bǔ)丁，并檢查它們是否已正確安裝

6. 審查代理服務(wù)器的使用，并定期檢查安全策略，以防止網(wǎng)絡(luò)上的任何人訪問惡意網(wǎng)站和/或下載惡意文件

7. 通過組策略或使用訪問控制列表，使用靜態(tài)局域網(wǎng)(LAN)規(guī)則鎖定遠(yuǎn)程桌面RDP訪問

8. 對包括局域網(wǎng)在內(nèi)的任何網(wǎng)絡(luò)訪問實(shí)施隔離(或考慮使用虛擬局域網(wǎng))，并在必要時(shí)使用硬件/軟件/訪問控制列表

9. 不斷檢查域帳戶和計(jì)算機(jī)，刪除所有未使用或不需要的帳戶和計(jì)算機(jī)

10. 檢查防火墻配置，并且僅將用于已知目標(biāo)的流量列入白名單

11. 限制不同用戶對管理員帳戶的使用，因?yàn)檫@會(huì)鼓勵(lì)憑據(jù)共享，從而可能引入許多其他安全漏洞

什么能讓Ryuk不再行得通

Mackenzie通過了以下步驟來創(chuàng)建了一個(gè)更全面的保護(hù)計(jì)劃：

1. 牢記無論規(guī)模大小或行業(yè)如何，您都有可能成為目標(biāo)，然后開始問自己是否必須從今天開始重新構(gòu)建50%，90%，100%的網(wǎng)絡(luò)活動(dòng)——包括新的Active Directory，Email，記帳等，這會(huì)需要多長時(shí)間?重建后，如果發(fā)現(xiàn)所有備份也都消失了怎么辦?您的團(tuán)體能存活下來嗎?并非所有人都可以。

2. 然后問自己：“是否有人檢查過您的安全解決方案報(bào)告的檢測?”僅僅因?yàn)橐褭z測到某些威脅并對其進(jìn)行清理并不意味著全部的威脅已被消除。這里有一個(gè)更好的建議：勒索軟件：你將被攻擊的五個(gè)跡象(https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked/)。

3. 一旦發(fā)現(xiàn)有人或是專門的安全運(yùn)營中心(SOC)在調(diào)查網(wǎng)絡(luò)檢測結(jié)果，請立即著手查看未被檢測到的內(nèi)容。許多威脅參與者會(huì)使用您自己的帳戶和工具來對付您。當(dāng)有人使用合法的工具和命令進(jìn)行惡意操作時(shí)，你有沒有工具來識(shí)別?Mackenzie說，這就是端點(diǎn)檢測和響應(yīng)(EDR)產(chǎn)品以及擴(kuò)展的檢測和響應(yīng)(XDR)產(chǎn)品出現(xiàn)的地方。

4. 最后，在需要時(shí)請接受幫助。并非每個(gè)人都有足夠的資源來運(yùn)營一支配備齊全且經(jīng)驗(yàn)豐富的安全運(yùn)營中心(SOC)團(tuán)隊(duì)。Mackenzie說，托管服務(wù)可以幫助減輕一些壓力。不過，請切記，托管服務(wù)提供商并不能保證完全免受攻擊，CyrusOne也曾被勒索軟件攻擊，該攻擊還拖累了其六個(gè)托管服務(wù)客戶。

本文翻譯自：https://threatpost.com/ryuk-ransomware-attack-student/165918/如若轉(zhuǎn)載，請注明原文地址。