大多數勒索軟體的感染途徑是使用網路釣魚,然後再針對具有漏洞的伺服器。但是歐洲出現了一起新案例,根據安全公司Sophos的說法,一名能夠存取歐洲研究機構網路的學生在安裝了盜版軟體後暴露了他的登錄憑證,該盜版軟體也被證實是盜竊密碼的惡意軟體。歐洲一家未具名的生物分子研究所的學生在安裝了一個“破解”軟體後,意外地為該研究所打開了被勒索軟體攻擊的大門。
該研究所一直在進行COVID-19研究,並與歐洲當地大學建立了緊密的合作關係,使學生能夠通過Citrix的遠端存取客戶端連接到該機構的內部網路。不幸的是,一個可以存取網路的學生下載了一個盜版軟體,這使研究機構受到攻擊。
據Sophos稱,這位不願透露姓名的學生,想擁有一個在研究工作中使用data visualization 的軟體,但該軟體license每年需花費數百美元,該學生搜索了可在Windows電腦上使用的“破解版” 軟體下載並安裝。該檔案實際上是純惡意軟體,並在下載安裝過程中觸發了Windows Defender發送了安全警報,但該學生仍繼續下載並disable了Windows防病毒程式和電腦上的防火牆。
在下載成功後該學生得到的不是惡意破解的可視化工具,而是一個竊取資料的惡意軟體(info-stealer),一旦安裝,就開始記錄按鍵動作,竊取瀏覽器,Cookie和剪貼板數據等等,因而也找到了學生對研究機構網路的存取憑據。
Sophos推測,竊取資料的惡意軟體的背後駭客,將登錄憑據出售給臭名昭著的Ryuk勒索軟體的背後駭客。在安裝了盜版軟體的13天後,利用學生的登錄憑證與研究機構建立了神秘的遠端桌面(RDP)連接。研究人員指出,這連接是通過一台名為龍貓(Totoro)的電腦進行的,“在建立這種連接的十天後,部署了Ryuk勒索軟體”,Sophos補充說。
這次事件,由於備份尚未完全更新,該研究機構損失了一周的研究數據。此外,在研究所恢復正常運作之前,必須從頭開始重建系統和伺服器檔案。
有關Ryuk的情資,請參考如下:
https://otx.alienvault.com/pulse/602d94a51d5a1e11cc85feef
https://otx.alienvault.com/pulse/5f99dd6b17da45dfb9dc296e
https://otx.alienvault.com/pulse/5ff75814478f6984b7bf5515
https://otx.alienvault.com/pulse/606dc14b4af856929a578e3a
Source:
MTR in Real Time: Pirates pave way for Ryuk ransomware