安全企业Sophos本周公布了一起有关Ryuk勒索软件的攻击报告,受害者为欧洲一家参与COVID-19及其它生命科学研究的生物分子研究中心,研究人员关注了Ryuk的源起,发现是一名学生想要安装盗版软件,而意外将Ryuk带来了该研究中心。
这家生物分子研究中心与当地的许多大学合作多项不同的项目,因此,参与项目的学生可通过Citrix Sessions远程桌面服务访问研究中心的网络。调查显示,其中有一名学生想要在自己的计算机上,安装研究中心所使用的资料可视化软件,但该软件每年的授权菲戈达数百美元,于是他至研究论坛求助,想请人介绍免费的类似工具,却一无所获,这名学生最后找到了该可视化软件的破解版。
不过,该破解版的资料可视化软件完全只是个恶意程序,在安装时计算机上的Windows Defender马上就跳出安全警告,但学生不仅关闭了Windows Defender,也关闭了防火墙,而使得它成功进驻系统。
学生所安装的是个专门窃取机密信息的恶意程序,它可窃取学生的键盘输入、浏览器记录、Cookie与剪贴板内容,也包括学生访问生物分子研究中心的凭证。
在安装了恶意程序之后的第13天,该名学生的凭证就被用来访问生物分子研究中心的网络,然而,该连接并非来自学生的计算机,而是来自一个使用俄文的计算机,再10天之后,该研究中心就遭到Ryuk勒索软件攻击了。
Sophos经理Peter Mackenzie分析,仿冒资料可视化软件的恶意程序组织跟发动Ryuk勒索软件的组织应是不同的,前者创建了初期的入侵渠道,再于黑市兜售,在这期间以学生凭证访问研究中心网络,应该只是在测试该凭证的有效性,最后买家才针对研究中心发动勒索软件攻击。
Sophos认为,这其实是个可预防的攻击行动,包括激活双因素认证,采用强大的密码政策,停用任何已不被支持的操作系统/程序,在所有计算机上安装安全软件,定期检查所有计算机上的软件状态,限制远程桌面访问,检查防火墙配置,以及禁止不同用户共享管理员账号等。
至于遭到勒索软件攻击的生物分子研究中心,幸好平常有备份的习惯,因此只遗失了还来不及备份的一周研究资料,此外,该研究中心也必须重建计算机与服务器系统,再进行资料的恢复。Sophos指出,这起攻击事件最大的教训应该是:其实只要采取较不信任与更健全的网络访问方法就能够避免了。