根據(jù)安全媒體的最新報(bào)道,國外一名學(xué)生的盜版軟件導(dǎo)致了一次全面的Ryuk勒索軟件攻擊。
據(jù)了解,一名學(xué)生在試圖盜版一款昂貴的數(shù)據(jù)可視化軟件的過程中,導(dǎo)致歐洲一家生物分子研究所遭到全面的Ryuk勒索軟件攻擊。
BleepingComputer的研究人員長期以來一直都在不斷提醒社區(qū)關(guān)于軟件破解相關(guān)的信息,這不僅是因?yàn)檫@是一種非法行為,而且它們也是惡意軟件感染的常見來源。
網(wǎng)絡(luò)犯罪分子通常會(huì)創(chuàng)建一個(gè)虛假的破解軟件下載網(wǎng)站來傳播惡意軟件,有時(shí)甚至還會(huì)使用油管視頻或BT種子。
在此之前,我們已經(jīng)發(fā)現(xiàn)了很多利用破解軟件下載站點(diǎn)來傳播勒索軟件的案例了,比如說STOP和Exorcist勒索軟件、加密貨幣挖礦軟件和信息竊取木馬等等。
關(guān)于Ryuk勒索軟件
Ryuk首次出現(xiàn)于2018年8月(August 2018),雖然在全球范圍內(nèi)并不是非常活躍,但至少有三個(gè)機(jī)構(gòu)在其頭兩個(gè)月的行動(dòng)中被感染,使得攻擊者獲得了大約64萬美元的贖金。
感染成功后,Ryuk擁有其他一些現(xiàn)代勒索軟件家族中可以看到的常見功能,包括識(shí)別和加密網(wǎng)絡(luò)驅(qū)動(dòng)器和資源以及刪除終端上卷影副本。通過這樣做,攻擊者可以禁用Windows系統(tǒng)還原選項(xiàng),因此使用戶無法在沒有外部備份的情況下從攻擊中恢復(fù)數(shù)據(jù)。
目前已經(jīng)確認(rèn)的是,這類Ryuk勒索事件實(shí)為黑客組織GRIM SPIDER所為,攻擊活動(dòng)名命名為TEMP.MixMaster,而攻擊者目前來看是俄羅斯的可能性較大。
根據(jù) ANSSI 發(fā)布的研究報(bào)告顯示:“除常見的功能外,新版本的 Ryuk 勒索軟件增加了在本地網(wǎng)絡(luò)上蠕蟲式傳播的功能”,“通過計(jì)劃任務(wù)、惡意軟件在 Windows 域內(nèi)的機(jī)器間傳播。一旦啟動(dòng),該惡意軟件將在 Windows RPC 可達(dá)的每臺(tái)計(jì)算機(jī)上傳播”。
Ryuk 勒索軟件的變種不包含任何阻止勒索軟件執(zhí)行的機(jī)制(類似使用互斥量檢測),使用 rep.exe 或 lan.exe 后綴進(jìn)行復(fù)制傳播。
Ryuk 勒索軟件在本地網(wǎng)絡(luò)上列舉所有可能的 IP 地址并發(fā)送 ICMP ping 進(jìn)行探測。該惡意軟件會(huì)列出本地 ARP 表緩存的 IP 地址,列出發(fā)現(xiàn) IP 地址所有的共享資源并對(duì)內(nèi)容進(jìn)行加密。該變種還能夠遠(yuǎn)程創(chuàng)建計(jì)劃任務(wù)以此在主機(jī)上執(zhí)行。攻擊者使用 Windows 原生工具 schtasks.exe 創(chuàng)建計(jì)劃任務(wù)。
最近發(fā)現(xiàn)的 Ryuk 變種具備自我復(fù)制能力,可以將可執(zhí)行文件復(fù)制到已發(fā)現(xiàn)的網(wǎng)絡(luò)共享上實(shí)現(xiàn)樣本傳播。緊接著會(huì)在遠(yuǎn)程主機(jī)上創(chuàng)建計(jì)劃任務(wù),最后為了防止用戶進(jìn)行文件回復(fù)還會(huì)刪除卷影副本。
勒索軟件 Ryuk 會(huì)通過設(shè)置注冊表項(xiàng)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost及其文件路徑來實(shí)現(xiàn)持久化。
分析報(bào)告顯示,Ryuk 勒索軟件并不會(huì)檢查計(jì)算機(jī)是否已被感染,惡意代碼使用域內(nèi)的高級(jí)帳戶進(jìn)行傳播。安全專家指出,即使修改了用戶密碼,只要 Kerberos 票據(jù)尚未過期,蠕蟲式的傳播仍將繼續(xù)。
冒牌的破解軟件導(dǎo)致Ryuk勒索軟件攻擊
在歐洲的這家生物分子研究所遭到Ryuk勒索軟件攻擊后,Sophos的快速反應(yīng)小組做出反應(yīng),并壓制了此次網(wǎng)絡(luò)攻擊。
這次攻擊使研究所損失了一周的研究數(shù)據(jù)并導(dǎo)致了時(shí)長一個(gè)星期的網(wǎng)絡(luò)中斷,因?yàn)榉?wù)器需要從零開始重建,而數(shù)據(jù)需要從備份中恢復(fù)。
在對(duì)此次網(wǎng)絡(luò)攻擊活動(dòng)進(jìn)行了信息安全取證后,Sophos確定此次網(wǎng)絡(luò)攻擊活動(dòng)背后的犯罪分子的初始入口點(diǎn)是一個(gè)使用了學(xué)生證書的RDP會(huì)話。
據(jù)了解,這家生物分子研究所一直都在跟大學(xué)生有各種合作,其中涵蓋各項(xiàng)研究領(lǐng)域和各項(xiàng)任務(wù)。作為任務(wù)合作的一部分,該研究所會(huì)為學(xué)生提供遠(yuǎn)程登錄網(wǎng)絡(luò)的登錄憑證。
在訪問了這名學(xué)生的筆記本電腦并分析了其瀏覽器歷史后,研究人員發(fā)現(xiàn)這名學(xué)生曾經(jīng)搜索過一款昂貴的數(shù)據(jù)可視化軟件工具,他們在工作中使用過該軟件,并且還嘗試在他們自己家里去安裝過這款軟件。
顯然,這名學(xué)生并沒有花幾百美元去購買軟件的使用許可證,而是選擇去搜索了一個(gè)破解版,并從warez網(wǎng)站下載了這個(gè)版本。
但是,他們并沒有真正下載成功這款破解版的軟件,而實(shí)感染了一個(gè)具備信息竊取功能的木馬病毒。這款木馬能夠記錄目標(biāo)用戶的鍵盤擊鍵數(shù)據(jù)、竊取Windows剪貼板的歷史記錄以及竊取密碼等,其中就包括網(wǎng)絡(luò)犯罪分子(Ryuk勒索軟件攻擊者)在登錄研究所網(wǎng)絡(luò)系統(tǒng)時(shí)所使用的相同憑證。
Sophos事件應(yīng)急快速響應(yīng)部門的經(jīng)理彼得·麥肯齊(Peter Mackenzie)認(rèn)為:“這些盜版軟件背后的惡意軟件攻擊者不太可能與Ryuk勒索軟件團(tuán)伙有關(guān)。現(xiàn)在,很多網(wǎng)絡(luò)犯罪地下市場都會(huì)給攻擊者提供針對(duì)安全薄弱組織/系統(tǒng)的一些簡單初始訪問攻擊向量,這一行業(yè)現(xiàn)在也在蓬勃發(fā)展之中。因此,我們相信惡意軟件攻擊者會(huì)將他們的訪問權(quán)售賣給其他的攻擊者。而這一次相關(guān)的RDP連接訪問權(quán)可能是正在測試其訪問權(quán)的代理泄露的。”
在過去的幾年時(shí)間里,專門銷售遠(yuǎn)程訪問憑證的市場一直都在蓬勃發(fā)展之中,現(xiàn)在已然成為了勒索軟件團(tuán)伙用來訪問公司網(wǎng)絡(luò)的常見賬戶來源。這些被盜憑證中有許多是使用信息竊取型木馬收集到的,網(wǎng)絡(luò)犯罪分子會(huì)在地下市場上以大概三美元的價(jià)格逐一出售。
后話
就在最近,BleepingComputer獲得了訪問UAS泄露數(shù)據(jù)的權(quán)限,而UAS則是目前最大的Windows遠(yuǎn)程桌面憑證市場之一。
研究數(shù)據(jù)顯示,在過去三年中,有130萬個(gè)賬戶在UAS市場上出售,為網(wǎng)絡(luò)犯罪分子提供了一個(gè)龐大的目標(biāo)用戶庫。
不幸的是,現(xiàn)實(shí)場景中總會(huì)存在一些人為錯(cuò)誤的可能性,這也導(dǎo)致用戶可能會(huì)給網(wǎng)絡(luò)釣魚郵件或盜版軟件提供機(jī)會(huì),無論我們怎么提醒,這種情況也無法百分之百被消除。
但是,在網(wǎng)絡(luò)上正確配置安全性,例如要求遠(yuǎn)程桌面連接使用MFA,并限制特定位置或IP地址的訪問,就可以從一定程度上防止這種攻擊了。
來源:安全客