英国图书馆分享了其在 2023 年 10 月遭受的破坏性勒索软件攻击的详细信息。尽管对英国国家图书馆的攻击发生在五个月前,但图书馆的基础设施要到 2024 年 4 月中旬才会重建,然后才能开始全面恢复系统和数据。
攻击
这次攻击破坏性极强。除了窃取约 600 GB 的数据外,攻击者还删除了日志、加密了系统、破坏了服务器并锁定了所有用户。
Rhysida 声称对此负责,并公布了数据来证明其参与其中。Rhysida 相对较新——自 2023 年 5 月以来一直活跃。它是 2023 年 11 月 15 日 FBI/CISA 联合咨询的主题。咨询说明发现了 Rhysida 和Vice Society之间的相似之处。这包括类似的 TTP,以及 Rhysida 出现后不久 Vice Society 泄密网站上的不活动。
到2024 年 1 月,Rhysida 已造成 70 多人死亡。最近,它参与了MarineMax攻击。据信,它以 RaaS 组织的身份运作。
在窃取数据后,攻击者加密了信息和系统,并摧毁了一些服务器,以阻止恢复并掩盖他们的踪迹。对服务器的破坏是这次攻击最具影响力的方面——由于缺乏恢复基础设施,备份恢复受到了阻碍。主要软件无法恢复到原始形式,要么是因为它不再受供应商支持,要么就是无法在新硬件上运行。
袭击者对大英图书馆采取的烧毁泥土的做法意味着,入口点和访问方式不太可能得到明确证实。然而,第一次检测到的未经授权的访问是在终端服务服务器上发现的。该服务器的安装是为了应对新冠疫情导致的大量远程访问需求。
图书馆怀疑,攻击者通过“窃取特权账户凭证,可能是通过网络钓鱼或鱼叉式网络钓鱼攻击或暴力攻击”的方式获取了访问权限。整个网络都在使用 MFA,但值得注意的是,这台服务器并未使用 MFA——由于实用性和成本原因,其实施被推迟了。报告称:“MFA 的缺失很可能促使攻击者能够进入系统,尽管无法确定进入的确切点和方法。”
如果图书馆推测的时间准确,那么破坏是在三天内造成的。“法医调查和记录分析表明,犯罪分子很可能在事件发生前至少三天就获得了访问权限,”报告称。
该图书馆既没有支付赎金,也没有联系攻击者。作为一个公共资助的组织,它无法对抗 NCSC 传播的英国政府政策:永不付款。在没有付款的情况下,被盗数据(包括用户和员工的个人数据)被攻击者拍卖,随后被转储到暗网上。根据 Rhysida 的说法,窃取的数据总计 573 GB 和 490,191 个文件。该组织出售了 10%,并转储了剩余的 90%,并附上“数据猎人尽情享受”的信息。
教训
使用 MFA。Rhysida最有可能的访问点是一台没有实施 MFA 的新服务器。报告称:“MFA 的缺失很可能使攻击者能够进入系统。”图书馆打算“大幅改进”其 MFA 和 PAM 实施。
警惕来自遗留系统的威胁。遗留系统的威胁在于您无法始终修补它们以防止攻击,也无法在攻击后恢复它们。结果可能是从新系统重建的成本和时间更高。
实施网络分段。这在图书馆的旧网络拓扑上是不可能的,但在“重建和更新”计划之后将被纳入。报告称,缺乏分段“意味着攻击能够造成比现代网络设计更大的损害。”
使用云。报告指出:“我们的核心电子邮件、财务、人力资源和薪资系统都是基于云的,运行正常,基本未受攻击影响。”新的基础设施将拥有一个混合计算环境,利用云的优势进行开发、应用和虚拟化。它不会消除风险,但会将其转变为更易于管理的东西。
了解安全备份的价值和好处。图书馆的新备份系统将包括“强大而有弹性的备份服务,提供不可变的、隔离的副本、异地副本和具有多个恢复点的数据热副本,采用 4/3/2/1 模型。”
做好财务准备。作为英国政府文化、媒体和体育部 (DCMS) 赞助的公共资助机构(即由其资助并对其负责),图书馆在紧急情况下可以申请额外的修复资金。私营公司没有类似的安全网,但图书馆不需要这样的援助。它已经为未来的基础设施支出(其知识至上战略)预留了资金,并能够提前支付这笔计划支出。
获得这些资金对于大英图书馆来说是偶然的,但确保获得应急资金是未来规划的重要组成部分。
报告并未提及网络保险,无论是过去、现在还是计划中的。DCMS 可能实际上是保险提供商,也可能保险条款规定不披露其使用情况。然而,对于大多数私营公司而言,网络保险应被视为与未来财务和风险规划的潜在关联。
制定合适的薪资标准。报告指出,如果不重新考虑图书馆如何为高需求 IT 人才提供报酬,其“重建和更新”计划将很难实施。有人承认,在袭击发生之前,技术部门的能力就已经超负荷了。
抓住并最大限度地利用一线希望。报告称:“此次袭击造成的巨大破坏创造了一个机会,可以对政策、流程和技术进行大量变革,以解决结构性问题,而这些变革在以前会造成难以想象的破坏。”
原文始发于微信公众号(河南等级保护测评):大英图书馆勒索软件攻击事件的细节和教训
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论