贫穷的学生群体致使Ryuk勒索软件攻击如雨后春笋般涌现-低调大师

贫穷的学生群体致使Ryuk勒索软件攻击如雨后春笋般涌现

2021-05-18 624

近日，一个学生使用盗版的数据可视化软件导致了欧洲生物分子研究所遭遇Ryuk勒索软件攻击，据悉，该学生从warez网站下载了破解版的软件，该软件包含窃取信息的木马，该木马记录了击键，窃取了Windows剪贴板的历史记录并窃取了密码，包括Ryuk攻击者登录该研究所所使用的凭据，导致研究所损失了一周的研究数据和为期一周的网络中断。

Sophos的安全研究人员在周四发布的一份报告中描述了这次攻击，此前该安全公司的快速响应小组被召集来回应并消除此次网络攻击。

研究人员说，每个人都会犯错，只是那个节俭的学生的一些小小的错误恰好被别人利用了。然而，由于没有采取适当的安全措施来阻止这些失误的发生，该学生一时的大意最终升级为了全面的勒索软件攻击。

必要的身份验证缺失

与许多组织一样，该机构允许外部人员通过其个人计算机访问其网络。他们可以通过使用不需要两因素身份验证(2FA)的远程Citrix会话来实现这一点。

值得注意的是，缺少必需的2FA是相当危险的，更不用说Citrix是当下威胁参与者积极利用以窃取凭据的最广泛使用的平台之一。4月，美国国家安全局(NSA)发出警告称，威胁参与者正在积极利用影响VPN、协作套件软件和虚拟化技术的漏洞。

其中包括Citrix、Fortinet、Pulse Secure、Synacor和VMware，它们全都属于高级可持续威胁(APT)团伙，被称为APT29，又名Cozy Bear或The Dukes。国家安全局当时表示，APT29正在“对易受攻击的系统进行广泛的扫描和利用，以获取身份验证凭据从而进行进一步访问。”

贫穷的学生渴望“交易”

在本次攻击中，该名学生正在寻找一种昂贵的数据可视化软件工具，该工具在工作中曾使用过，他想要将其安装在家用计算机上。然而，该许可证每年将花费数百美元，于是他向研究论坛求助，想请人介绍免费的类似工具，却一无所获。在寻求类似合法软件无果后，这名学生最后找到了该视觉化软件的破解版。

不幸的是，这名学生找到了，更不幸的是，他(或她)显然没有意识到破解软件的危险性。破解软件导致了诸如远程访问木马(RAT)和加密货币窃取器之类的恶意软件的入侵，并且网络犯罪分子正在努力使他们的攻击工具更容易通过防御。本身存在漏洞的应用程序也可能成为充满恶意软件的容器。

“这个文件实际上完全就是个恶意软件。”Sophos研究人员说。该学生决定禁用微软的Windows Defender防病毒软件，因为该软件在学生尝试安装此免费的软件时阻止。

根据安全研究人员可以从此笔记本电脑上得知的情况(勒索软件攻击发生后，笔记本电脑已被取证)来看，学生还必须禁用防火墙，才能将这颗定时炸弹安装到计算机上。

从破解软件到恶意软件安装

安装后，可视化工具的破解副本安装了一个信息窃取程序，用于记录击键、窃取浏览器记录、cookie和剪贴板历史数据等等，在这个学生的电脑中，该程序就碰巧中了头奖，获取了学生对研究所网络的访问凭据。

15天后，这些被盗的凭据被使用从而在研究所的网络上注册了远程桌面协议(RDP)连接。研究人员指出，这种连接是通过一台以“龙猫(Totoro)”命名的计算机进行的，众所周知龙猫是一种可爱且广受欢迎的动漫形象。

RDPs已经在大量的攻击被使用，其中包括被用于对BlueKeep的漏洞利用。研究人员解释说，RDP的功能之一是通过连接触发打印机驱动程序的自动安装，从而使用户可以远程打印文档。他们说，在这种情况下，RDP连接使用了俄语打印机驱动程序，“很可能是恶意连接”。建立RDP连接十天后，Ryuk被触发。

Sophos快速响应部经理Peter Mackenzie说，不管破解软件背后的幕后黑手是谁，都不太可能与Ryuk攻击背后的威胁者是同一个团伙。

他在报告中写道：“以前受到攻击的网络地下市场为攻击者提供了便捷的初始访问权，并且这种情况正在蓬勃发展，因此我们认为恶意软件运营商将其访问权出售给了另一位攻击者。”“RDP连接可能是测试其访问权限的访问代理。”

勒索软件来势汹汹

Dragos的主要工业互联网安全事件响应者莱斯利·卡哈特(Lesley Carhart)最近指出，类似的勒索软件攻击确实少有报道。她在星期二的推文中说：“这不会只会发生在其他人身上的事情，”“我敢说这件事情很糟糕，我们现在就要做好准备，并积极采取缓解措施。”

最近，我与其他应急事件响应者关于准备和制止勒索软件攻击的推文联系不断，我们不是在开玩笑，因为事情正在迅速升级-包括勒索软件影响的严重性和它们庞大的数量。请记住，保险公司只会在必须时才付款。
-Lesley Carhart(@ hacks4pancakes)2021年5月5日

Mackenzie认为她讲的一点不错。他在周四的一封电子邮件中告诉Threatpost，勒索软件正在经历一场“淘金热”，“在过去五年中，勒索软件一直呈指数级增长”。

安全专家们唱的都是同一个调子，即，攻击变得越来越糟糕和更具破坏性，在勒索软件部署之前需要花费更多的时间和精力来删除备份。攻击者也在不断升级他们的攻击技巧：“他们通过一些避免检测的新技术来使攻击变得越来越复杂，例如在虚拟机、Windows安全模式或完全无文件模式下运行，”Mackenzie告诉Threatpost。“像Cobalt Strike这样的高级工具的便捷访问甚至使业余攻击也具有毁灭性。

他接着说道：“最重要的是，受害者还被施加了较大的压力，比如数据、电子邮件、电话等的过滤和泄漏，以及这些内容被公开在他们的客户、新闻记者甚至是股票市场的环境之下。”“在每一次攻击中，管理员和高管都承受着极大的压力，更不用说赎金的需求也在直线上升，从过去每台机器300美元的赎金涨到整个产业的数千万美元。”

在这些勒索软件犯罪团伙在疫情大流行期间针对医疗保健组织发起了毫无保留的攻击时，我们只能用“恶毒”这个词来形容他们。Ryuk背后的犯罪团伙就是如此，Mackenzie说，Ryuk通常被认为是近年来最危险的群体之一。他告诉Threatpost：“他们非常专业，可以使用各种资源。”“几年来，他们一直在定期发动袭击，而且没有停止的迹象。他们收到的赎金量的估算值从数亿到数十亿美元不等，即使在全球疫情大流行期间，他们是为数不多的仍在积极瞄准医疗保健组织的团体之一。”

什么能让Ryuk不再行得通：基础操作

“没有什么灵丹妙药。”Carhart表示。为防止勒索软件攻击，组织需要“基本的安全措施和投资，以实现避免勒索软件的攻击”，并提到在这种情况下可能起到帮助作用的防御机制，“诸如VPN和云服务上的MFA、离线保存的常规备份、限制帐户[权限]、事件应急响应和重建。”

Sophos的Mackenzie回应了Carhart的说法：强大的网络身份验证和访问控制，再加上终端用户培训，可以很大程度上阻止这种攻击的发生。他说：“它有力地提醒人们正确设置安全基础的重要性。” Sophos有一个，名为《2021年勒索软件状况》的指南，其中形象地提出了有关如何拉起吊桥并防御勒索软件的建议。

这里有一个TL; DR速查表，其中包含基本的关键保护措施：

1. 在可能的情况下，为需要访问内部网络的任何人(包括外部协作者和合作伙伴)启用多因素身份验证(MFA)

2. 为需要访问内部网络的每个人制定强有力的密码策略

3. 停用和/或升级任何不受支持的操作系统和应用程序

4. 在所有计算机上查看并安装安全软件

5. 定期检查并在所有计算机上安装最新的软件补丁，并检查它们是否已正确安装

6. 审查代理服务器的使用，并定期检查安全策略，以防止网络上的任何人访问恶意网站和/或下载恶意文件

7. 通过组策略或使用访问控制列表，使用静态局域网(LAN)规则锁定远程桌面RDP访问

8. 对包括局域网在内的任何网络访问实施隔离(或考虑使用虚拟局域网)，并在必要时使用硬件/软件/访问控制列表

9. 不断检查域帐户和计算机，删除所有未使用或不需要的帐户和计算机

10. 检查防火墙配置，并且仅将用于已知目标的流量列入白名单

11. 限制不同用户对管理员帐户的使用，因为这会鼓励凭据共享，从而可能引入许多其他安全漏洞

什么能让Ryuk不再行得通

Mackenzie通过了以下步骤来创建了一个更全面的保护计划：

1. 牢记无论规模大小或行业如何，您都有可能成为目标，然后开始问自己是否必须从今天开始重新构建50%，90%，100%的网络活动——包括新的Active Directory，Email，记帐等，这会需要多长时间?重建后，如果发现所有备份也都消失了怎么办?您的团体能存活下来吗?并非所有人都可以。

2. 然后问自己：“是否有人检查过您的安全解决方案报告的检测?”仅仅因为已检测到某些威胁并对其进行清理并不意味着全部的威胁已被消除。这里有一个更好的建议：勒索软件：你将被攻击的五个迹象(https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked/)。

3. 一旦发现有人或是专门的安全运营中心(SOC)在调查网络检测结果，请立即着手查看未被检测到的内容。许多威胁参与者会使用您自己的帐户和工具来对付您。当有人使用合法的工具和命令进行恶意操作时，你有没有工具来识别?Mackenzie说，这就是端点检测和响应(EDR)产品以及扩展的检测和响应(XDR)产品出现的地方。

4. 最后，在需要时请接受帮助。并非每个人都有足够的资源来运营一支配备齐全且经验丰富的安全运营中心(SOC)团队。Mackenzie说，托管服务可以帮助减轻一些压力。不过，请切记，托管服务提供商并不能保证完全免受攻击，CyrusOne也曾被勒索软件攻击，该攻击还拖累了其六个托管服务客户。

本文翻译自：https://threatpost.com/ryuk-ransomware-attack-student/165918/如若转载，请注明原文地址。

微信关注我们

原文链接：http://netsecurity.51cto.com/art/202105/662838.htm

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

2021年数据泄露调查报告：85%的数据泄露涉及人的因素

报告强调，新冠肺炎疫情所致远程办公和云端迁移潮为网络罪犯开辟了新的途径。根据威瑞森发布的《2021年数据泄露调查报告》，Web应用攻击导致了去年39%的数据泄露事件，而网络钓鱼攻击比上一年猛增11%，勒索软件增长6%。报告基于全球83家贡献者的5358起数据泄露事件分析，着重描述了新冠肺炎疫情所致远程办公和云端迁移潮如何为网络罪犯开辟新的途径。威瑞森发现，61%的数据泄露与凭证数据有关。与上一年的报告一脉相承，人为疏忽依然是安全的最大威胁。数据泄露调查报告中的每个行业在安全上都存在自身特有的细微差异。例如，金融和保险行业被盗数据中83%都是个人数据。医疗保健行业深受电子病历或纸质文件误投的困扰。而在公营产业中，社会工程是攻击者的技术之选。按地区划分，亚太地区的数据泄露通常出于金融动机，由网络钓鱼攻击造成。在欧洲、中东和非洲，Web应用攻击、系统入侵和社会工程攻击是常态。威瑞森《数据泄露调查报告》中还有以下一些数据值得深入思考： 85%的数据泄露涉及人的因素。 61%的数据泄露牵涉登录凭证。勒索软件出现在10%的数据泄露事件中，比上一年增加了一倍。在安全事件和数据泄露中，...

2021-05-18

510

需求：公司为了节省资源、降低Jenkins master压力，打算把Jenkins jobs在kubernetes上运行，jobs构建完成kubernetes上的pod删除。 1、Jenkins基础配置系统管理--全局安全设置需要开启代理协议、然后代理端口在我们后面agent连接需要用到 2、安装Kubernetes插件系统管理–插件管理 3、创建Kubernetes Namespace与Service Account 创建Namespace 在Kubenates的上创建jenkins-slave命名空间，用于Jenkins使用 kubectlcreatenamespacejenkins-slave 创建Service Account 在Kubernetes上为Jenkins构建创建有Cluster Admin权限的Service Account jenkins： kubectlcreateclusterrolebindingjenkins--clusterrolecluster-admin--serviceaccount=jenkins-slave:jenkins 4、生成调度...

2021-05-18

984

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。