大英图书馆勒索软件攻击事件的细节和教训

admin 2024年11月23日11:00:05评论14 views字数 1931阅读6分26秒阅读模式

英国图书馆分享了其在 2023 年 10 月遭受的破坏性勒索软件攻击的详细信息。尽管对英国国家图书馆的攻击发生在五个月前,但图书馆的基础设施要到 2024 年 4 月中旬才会重建,然后才能开始全面恢复系统和数据。

攻击

这次攻击破坏性极强。除了窃取约 600 GB 的数据外,攻击者还删除了日志、加密了系统、破坏了服务器并锁定了所有用户。

Rhysida 声称对此负责,并公布了数据来证明其参与其中。Rhysida 相对较新——自 2023 年 5 月以来一直活跃。它是 2023 年 11 月 15 日 FBI/CISA 联合咨询的主题。咨询说明发现了 Rhysida 和Vice Society之间的相似之处。这包括类似的 TTP,以及 Rhysida 出现后不久 Vice Society 泄密网站上的不活动。

大英图书馆勒索软件攻击事件的细节和教训

到2024 年 1 月,Rhysida 已造成 70 多人死亡。最近,它参与了MarineMax攻击。据信,它以 RaaS 组织的身份运作。

在窃取数据后,攻击者加密了信息和系统,并摧毁了一些服务器,以阻止恢复并掩盖他们的踪迹。对服务器的破坏是这次攻击最具影响力的方面——由于缺乏恢复基础设施,备份恢复受到了阻碍。主要软件无法恢复到原始形式,要么是因为它不再受供应商支持,要么就是无法在新硬件上运行。

袭击者对大英图书馆采取的烧毁泥土的做法意味着,入口点和访问方式不太可能得到明确证实。然而,第一次检测到的未经授权的访问是在终端服务服务器上发现的。该服务器的安装是为了应对新冠疫情导致的大量远程访问需求。

图书馆怀疑,攻击者通过“窃取特权账户凭证,可能是通过网络钓鱼或鱼叉式网络钓鱼攻击或暴力攻击”的方式获取了访问权限。整个网络都在使用 MFA,但值得注意的是,这台服务器并未使用 MFA——由于实用性和成本原因,其实施被推迟了。报告称:“MFA 的缺失很可能促使攻击者能够进入系统,尽管无法确定进入的确切点和方法。”

如果图书馆推测的时间准确,那么破坏是在三天内造成的。“法医调查和记录分析表明,犯罪分子很可能在事件发生前至少三天就获得了访问权限,”报告称。

该图书馆既没有支付赎金,也没有联系攻击者。作为一个公共资助的组织,它无法对抗 NCSC 传播的英国政府政策:永不付款。在没有付款的情况下,被盗数据(包括用户和员工的个人数据)被攻击者拍卖,随后被转储到暗网上。根据 Rhysida 的说法,窃取的数据总计 573 GB 和 490,191 个文件。该组织出售了 10%,并转储了剩余的 90%,并附上“数据猎人尽情享受”的信息。

教训

使用 MFA。Rhysida最有可能的访问点是一台没有实施 MFA 的新服务器。报告称:“MFA 的缺失很可能使攻击者能够进入系统。”图书馆打算“大幅改进”其 MFA 和 PAM 实施。

警惕来自遗留系统的威胁。遗留系统的威胁在于您无法始终修补它们以防止攻击,也无法在攻击后恢复它们。结果可能是从新系统重建的成本和时间更高。

实施网络分段。这在图书馆的旧网络拓扑上是不可能的,但在“重建和更新”计划之后将被纳入。报告称,缺乏分段“意味着攻击能够造成比现代网络设计更大的损害。”

使用云。报告指出:“我们的核心电子邮件、财务、人力资源和薪资系统都是基于云的,运行正常,基本未受攻击影响。”新的基础设施将拥有一个混合计算环境,利用云的优势进行开发、应用和虚拟化。它不会消除风险,但会将其转变为更易于管理的东西。

了解安全备份的价值和好处。图书馆的新备份系统将包括“强大而有弹性的备份服务,提供不可变的、隔离的副本、异地副本和具有多个恢复点的数据热副本,采用 4/3/2/1 模型。”

做好财务准备。作为英国政府文化、媒体和体育部 (DCMS) 赞助的公共资助机构(即由其资助并对其负责),图书馆在紧急情况下可以申请额外的修复资金。私营公司没有类似的安全网,但图书馆不需要这样的援助。它已经为未来的基础设施支出(其知识至上战略)预留了资金,并能够提前支付这笔计划支出。 

大英图书馆勒索软件攻击事件的细节和教训

获得这些资金对于大英图书馆来说是偶然的,但确保获得应急资金是未来规划的重要组成部分。

报告并未提及网络保险,无论是过去、现在还是计划中的。DCMS 可能实际上是保险提供商,也可能保险条款规定不披露其使用情况。然而,对于大多数私营公司而言,网络保险应被视为与未来财务和风险规划的潜在关联。

制定合适的薪资标准。报告指出,如果不重新考虑图书馆如何为高需求 IT 人才提供报酬,其“重建和更新”计划将很难实施。有人承认,在袭击发生之前,技术部门的能力就已经超负荷了。

抓住并最大限度地利用一线希望。报告称:“此次袭击造成的巨大破坏创造了一个机会,可以对政策、流程和技术进行大量变革,以解决结构性问题,而这些变革在以前会造成难以想象的破坏。”

原文始发于微信公众号(河南等级保护测评):大英图书馆勒索软件攻击事件的细节和教训

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月23日11:00:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   大英图书馆勒索软件攻击事件的细节和教训https://cn-sec.com/archives/3427439.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息