致使Ryuk勒索软件攻击如星罗棋布般涌现

近日，一个学生使用盗版的数据可视化软件导致了欧洲生物分子研究所遭遇Ryuk勒索软件攻击，据悉，该学生从warez网站下载了破解版的软件，该软件包含窃取信息的木马，该木马记录了击键，窃取了Windows剪贴板的历史记录并窃取了密码，包括Ryuk攻击者登录该研究所所使用的凭据，导致研究所损失了一周的研究数据和为期一周的网络中断。

Sophos的安全研究人员在周四发布的一份报告中描述了这次攻击，此前该安全公司的快速响应小组被召集来回应并消除此次网络攻击。

研究人员说，每个人都会犯错，只是那个节俭的学生的一些小小的错误恰好被别人利用了。然而，由于没有采取适当的安全措施来阻止这些失误的发生，该学生一时的大意最终升级为了全面的勒索软件攻击。

必要的身份验证缺失

与许多组织一样，该机构允许外部人员通过其个人计算机访问其网络。他们可以通过使用不需要两因素身份验证(2FA)的远程Citrix会话来实现这一点。

值得注意的是，缺少必需的2FA是相当危险的，更不用说Citrix是当下威胁参与者积极利用以窃取凭据的最广泛使用的平台之一。4月，美国国家安全局(NSA)发出警告称，威胁参与者正在积极利用影响VPN、协作套件软件和虚拟化技术的漏洞。

其中包括Citrix、Fortinet、Pulse Secure、Synacor和VMware，它们全都属于高级可持续威胁(APT)团伙，被称为APT29，又名Cozy Bear或The Dukes。国家安全局当时表示，APT29正在“对易受攻击的系统进行广泛的扫描和利用，以获取身份验证凭据从而进行进一步访问。”

贫穷的学生渴望“交易”

在本次攻击中，该名学生正在寻找一种昂贵的数据可视化软件工具，该工具在工作中曾使用过，他想要将其安装在家用计算机上。然而，该许可证每年将花费数百美元，于是他向研究论坛求助，想请人介绍免费的类似工具，却一无所获。在寻求类似合法软件无果后，这名学生最后找到了该视觉化软件的破解版。

不幸的是，这名学生找到了，更不幸的是，他(或她)显然没有意识到破解软件的危险性。破解软件导致了诸如远程访问木马(RAT)和加密货币窃取器之类的恶意软件的入侵，并且网络犯罪分子正在努力使他们的攻击工具更容易通过防御。本身存在漏洞的应用程序也可能成为充满恶意软件的容器。

“这个文件实际上完全就是个恶意软件。”Sophos研究人员说。该学生决定禁用微软的Windows Defender防病毒软件，因为该软件在学生尝试安装此免费的软件时阻止。

根据安全研究人员可以从此笔记本电脑上得知的情况(勒索软件攻击发生后，笔记本电脑已被取证)来看，学生还必须禁用防火墙，才能将这颗定时炸弹安装到计算机上。

从破解软件到恶意软件安装

安装后，可视化工具的破解副本安装了一个信息窃取程序，用于记录击键、窃取浏览器记录、cookie和剪贴板历史数据等等，在这个学生的电脑中，该程序就碰巧中了头奖，获取了学生对研究所网络的访问凭据。

15天后，这些被盗的凭据被使用从而在研究所的网络上注册了远程桌面协议(RDP)连接。研究人员指出，这种连接是通过一台以“龙猫(Totoro)”命名的计算机进行的，众所周知龙猫是一种可爱且广受欢迎的动漫形象。

RDPs已经在大量的攻击被使用，其中包括被用于对BlueKeep的漏洞利用。研究人员解释说，RDP的功能之一是通过连接触发打印机驱动程序的自动安装，从而使用户可以远程打印文档。他们说，在这种情况下，RDP连接使用了俄语打印机驱动程序，“很可能是恶意连接”。建立RDP连接十天后，Ryuk被触发。

Sophos快速响应部经理Peter Mackenzie说，不管破解软件背后的幕后黑手是谁，都不太可能与Ryuk攻击背后的威胁者是同一个团伙。

他在报告中写道：“以前受到攻击的网络地下市场为攻击者提供了便捷的初始访问权，并且这种情况正在蓬勃发展，因此我们认为恶意软件运营商将其访问权出售给了另一位攻击者。”“RDP连接可能是测试其访问权限的访问代理。”

勒索软件来势汹汹

Dragos的主要工业互联网安全事件响应者莱斯利·卡哈特(Lesley Carhart)最近指出，类似的勒索软件攻击确实少有报道。她在星期二的推文中说：“这不会只会发生在其他人身上的事情，”“我敢说这件事情很糟糕，我们现在就要做好准备，并积极采取缓解措施。”

• 最近，我与其他应急事件响应者关于准备和制止勒索软件攻击的推文联系不断，我们不是在开玩笑，因为事情正在迅速升级-包括勒索软件影响的严重性和它们庞大的数量。请记住，保险公司只会在必须时才付款。
• -Lesley Carhart(@ hacks4pancakes)2021年5月5日

Mackenzie认为她讲的一点不错。他在周四的一封电子邮件中告诉Threatpost，勒索软件正在经历一场“淘金热”，“在过去五年中，勒索软件一直呈指数级增长”。

安全专家们唱的都是同一个调子，即，攻击变得越来越糟糕和更具破坏性，在勒索软件部署之前需要花费更多的时间和精力来删除备份。攻击者也在不断升级他们的攻击技巧：“他们通过一些避免检测的新技术来使攻击变得越来越复杂，例如在虚拟机、Windows安全模式或完全无文件模式下运行，”Mackenzie告诉Threatpost。“像Cobalt Strike这样的高级工具的便捷访问甚至使业余攻击也具有毁灭性。

他接着说道：“最重要的是，受害者还被施加了较大的压力，比如数据、电子邮件、电话等的过滤和泄漏，以及这些内容被公开在他们的客户、新闻记者甚至是股票市场的环境之下。”“在每一次攻击中，管理员和高管都承受着极大的压力，更不用说赎金的需求也在直线上升，从过去每台机器300美元的赎金涨到整个产业的数千万美元。”

在这些勒索软件犯罪团伙在疫情大流行期间针对医疗保健组织发起了毫无保留的攻击时，我们只能用“恶毒”这个词来形容他们。Ryuk背后的犯罪团伙就是如此，Mackenzie说，Ryuk通常被认为是近年来最危险的群体之一。他告诉Threatpost：“他们非常专业，可以使用各种资源。”“几年来，他们一直在定期发动袭击，而且没有停止的迹象。他们收到的赎金量的估算值从数亿到数十亿美元不等，即使在全球疫情大流行期间，他们是为数不多的仍在积极瞄准医疗保健组织的团体之一。”

（编辑：开发网_开封站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!