一个学生使用盗版软件引发全面的Ryuk勒索软件攻击

一个学生试图盗版一个昂贵的数据可视化软件的尝试导致了欧洲生物分子研究所对Ryuk勒索软件的全面攻击。

BleepingComputer长期以来一直对软件漏洞发出警告，这不仅是因为它们是非法的，而且还因为它们是恶意软件感染的常见来源。

威胁执行者通常会创建伪造的软件破解下载站点，YouTube视频和种子，以分发恶意软件，如下所示。

过去，我们已经看到有裂纹的站点分布了勒索软件，例如 STOP 和 Exorcist勒索软件，加密货币矿工和 信息窃取木马。

假破解导致Ryuk勒索软件攻击

在该研究所遭受Ryuk勒索软件攻击后，Sophos的快速响应团队做出了回应，并消除了网络攻击。

由于从头开始重建服务器并从备份中恢复数据，因此这次攻击使研究所损失了一周的研究数据和为期一周的网络中断。

在对攻击进行取证之后，Sophos确定了威胁参与者的最初进入点是使用学生凭证的RDP会话。

该研究所与协助研究和其他任务的大学生一起工作。作为这种合作的一部分，该学院为学生提供了登录凭据，以便远程登录他们的网络。

在获得了学生的笔记本电脑的访问权并分析了浏览器的历史记录之后，他们了解到该学生正在寻找一种昂贵的数据可视化软件工具，该工具在工作中曾使用过并且想要安装在家用计算机上。

这位学生没有花几百美元购买许可证，而是搜索了一个破解版本并从warez网站下载了该版本。

但是，他们没有获得预期的软件，而是感染了窃取信息的木马，该木马记录了击键，窃取了Windows剪贴板的历史记录并窃取了密码，包括Ryuk威胁参与者登录该研究所所使用的相同凭据。

Sophos快速响应经理Peter Mackenzie表示： “盗版软件”恶意软件背后的运营商不太可能与发起Ryuk攻击的运营商相同 。“以前受到攻击的网络的地下市场为攻击者提供了容易的初始访问机会，这一情况正在蓬勃发展，因此我们认为，恶意软件运营商将其访问权出售给了另一位攻击者。RDP连接本来可以是访问代理测试他们的访问。”

过去几年来，致力于销售远程访问凭据的市场蓬勃发展，并已成为勒索软件团伙用来访问公司网络的常见帐户来源。

这些窃取的凭证中有许多是使用信息窃取木马收集的，然后在这些市场上以低至3美元的价格逐笔出售。

就在最近，BleepingComputer还获得了UAS（最大的Windows远程桌面凭据市场之一）对泄露数据的访问权限 。

该数据表明，在过去三年中，UAS市场上有130万个帐户要出售，为威胁者提供了庞大的受害者目标。

不幸的是，总会有人为错误的可能性。不管我们告诉他们多少，用户都将继续打开网络钓鱼电子邮件并下载软件漏洞。

但是，正确配置网络安全性（例如要求MFA进行远程桌面连接并限制从特定位置或IP地址的访问）可以防止此攻击。

原文来自: bleepingcomputer.com