据外媒披露,一名学生在试图盗版一款昂贵的数据可视化软件的过程中,导致欧洲一家生物分子研究所遭到Ryuk勒索软件的全面攻击。
一直以来,软件破解相关信息不仅是一种非法行为,也是导致恶意软件感染的常见来源。因为多数情况下,网络犯罪分子都会选择创建一个虚假的破解软件下载网站来传播恶意软件。关于利用破解软件下载站点来传播勒索软件的案例,从STOP勒索软件、Exorcist勒索软件、加密货币挖矿软件到信息窃取木马等等,不胜枚举。
此次,一名学生在试图盗版软件过程中,导致整个研究所遭遇Ryuk勒索软件攻击,事态严峻却也算得上万千次重复中的一次。
经过信息安全取证后,Sophos的事件应急快速响应小组还原了此次勒索软件攻击的全貌。原来,网络攻击活动背后的犯罪分子的初始入口点,是一个使用了学生证书的RDP会话。
这家生物分子研究所一直都在跟大学生有各种合作,其中涵盖各项研究领域和各项任务。作为任务合作的一部分,该研究所会为学生提供远程登录网络的登录凭证。
而在访问该学生笔记本电脑并分析其浏览器历史后,研究人员发现这名学生曾经搜索过一款昂贵的数据可视化软件工具,他们在工作中使用过该软件,并且还尝试在他们自己家里去安装过这款软件。
这名学生没有花几百美元去购买软件的使用许可证,而是选择去搜索了一个破解版,并从warez网站下载了这个版本。
实际这名学生并没有真正下载成功这款破解版的软件,而是感染了一个具备信息窃取功能的木马病毒。这款木马能够记录目标用户的键盘击键数据、窃取Windows剪贴板的历史记录以及窃取密码等,其中就包括网络犯罪分子(Ryuk勒索软件攻击者)在登录研究所网络系统时所使用的相同凭证。
最终,这次攻击使研究所损失了一周的研究数据并导致了时长一个星期的网络中断,因为服务器需要从零开始重建,而数据需要从备份中恢复。不过相比于同类事件,这已经是不幸中的万幸。在欧洲的这家生物分子研究所遭到Ryuk勒索软件攻击后,Sophos的快速反应小组做出反应,并压制了此次网络攻击。
提起Ryuk勒索软件,相信大家并不陌生。虽然堪称“低调”,但2018年出现以来,一直肆虐至今。关于Ryuk勒索软件,目前可以确认是的实为黑客组织GRIM SPIDER所为,攻击活动名命名为TEMP.MixMaster。
一旦中招,Ryuk除了拥有现代勒索软件家族的常见功能外,版本的 Ryuk 勒索软件增加了在本地网络上蠕虫式传播的功能,通过计划任务、恶意软件在 Windows 域内的机器间传播。也就是说一旦启动,该恶意软件将在 WindowsRPC 可达的每台计算机上传播,杀伤力不可小觑。
就在最近,BleepingComputer获得了访问UAS泄露数据的权限,而UAS则是目前最大的Windows远程桌面凭证市场之一。
研究数据显示,在过去三年中,有130万个账户在UAS市场上出售,为网络犯罪分子提供了一个庞大的目标用户库。
不幸的是,现实场景中总会存在一些人为错误的可能性,这也导致用户可能会给网络钓鱼邮件或盗版软件提供机会,无论我们怎么提醒,这种情况也无法百分之百被消除。
但是,在网络上正确配置安全性,例如要求远程桌面连接使用MFA,并限制特定位置或IP地址的访问,就可以从一定程度上防止这种攻击了。
没出事儿前,谁都觉得自己在安全上网。还需谨记网上冲浪千万条,安全第一条。
本文始发于微信公众号(安全客):Ryuk紧盯“有缝的蛋”,利用学生盗版软件发起攻击
评论