天舟文化Dragos的主要工业互联网安全事件响应者莱斯利

近日，一个学生使用盗版的数据可视化软件导致了欧洲生物分子研究所遭遇Ryuk勒索软件攻击，据悉，该学生从warez网站下载了破解版的软件，该软件包含窃取信息的木马，该木马记录了击键，窃取了Windows剪贴板的历史记录并窃取了密码，包括Ryuk攻击者登录该研究所所使用的凭据，导致研究所损失了一周的研究数据和为期一周的网络中断。

Sophos的安全研究人员在周四发布的一份报告中描述了这次攻击，此前该安全公司天舟文化Dragos的主要工业互联网安全事件响应者莱斯利的快速响应小组被召集来回应并消除此次网络攻击。

研究人员说，每个人都会犯错，只是那个节俭的学生的一些小小的错误恰好被别人利用了。然而，由于没有采取适当的安全措施来阻止这些失误的发生，该学生一时的大意最终升级为了全面的勒索软件攻击。

与许多组织一样，该机构允许外部人员通过其个人计算机访问其网络。他们可以通过使用不需要两因素身份验证(2FA)的远程Citrix会话来实现这一点。

值得注意的是，缺少必需的2FA是相当危险的，更不用说Citrix是当下威胁参与者积极利用以窃取凭据的最广泛使用的平台之一。4月，美国国家安全局(NSA)发出警告称，威胁参与者正在积极利用影响VPN、协作套件软件和虚拟化技术的漏洞。

其中包括Citrix、Fortinet、Pulse Secure、Synacor和VMware，它们全都属于高级可持续威胁(APT)团伙，被称为APT29，又名Cozy Bear或The Dukes。国家安全局当时表示，APT29正在 对易受攻击的系统进行广泛的扫描和利用，以获取身份验证凭据从而进行进一步访问。

在本次攻击中，该名学生正在寻找一种昂贵的数据可视化软件工具，该工具在工作中曾使用过，他想要将其安装在家用计算机上。然而，该许可证每年将花费数百美元，于是他向研究论坛求助，想请人介绍免费的类似工具，却一无所获。在寻求类似合法软件无果后，这名学生最后找到了该视觉化软件的破解版。

不幸的是，这名学生找到了，更不幸的是，他(或她)显然没有意识到破解软件的危险性。破解软件导致了诸如远程访问木马(RAT)和加密货币窃取器之类的恶意软件的入侵，并且网络犯罪分子正在努力使他们的攻击工具更容易通过防御。本身存在漏洞的应用程序也可能成为充满恶意软件的容器。

这个文件实际上完全就是个恶意软件。 Sophos研究人员说。该学生决定禁用微软的Windows Defender防天舟文化Dragos的主要工业互联网安全事件响应者莱斯利病毒软件，因为该软件在学生尝试安装此免费的软件时阻止。

根据安全研究人员可以从此笔记本电脑上得知的情况(勒索软件攻击发生后，笔记本电脑已被取证)来看，学生还必须禁用防火墙，才能将这颗定时炸弹安装到计算机上。

安装后，可视化工具的破解副本安装了一个信息窃取程序，用于记录击键、窃取浏览器记录、cookie天舟文化Dragos的主要工业互联网安全事件响应者莱斯利和剪贴板历史数据等等，在这个学生的电脑中，该程序就碰巧中了头奖，获取了学生对研究所网络的访问凭据。

15天后，这些被盗的凭据被使用从而在研究所的网络上注册了远程桌面协议(RDP)连接。研究人员指出，这种连接是通过一台以 龙猫(Totoro) 命名的计算机进行的，众所周知龙猫是一种可爱且广受欢迎的动漫形象。

RDPs已经在大量的攻击被使用，其中包括被用于对BlueKeep天舟文化Dragos的主要工业互联网安全事件响应者莱斯利的漏洞利用。研究人员解释说，RDP的功能之一是通过连接触发打印机驱动程序的自动安装，从而使用户可以远程打印文档。他们说，在这种情况下，RDP连接使用了俄语打印机驱动程序， 很可能是恶意连接 。建立RDP连接十天后，Ryuk被触发。

Sophos快速响应部经理Peter Mackenzie说，不管破解软件背后的幕后黑手是谁，都不太可能与Ryuk攻击背后的威胁者是同一个团伙。

他在报告中写道： 以前受到攻击的网络地下市场为攻击者提供了便捷的初始访问权，并且这种情况正在蓬勃发展，因此我们认为恶意软件运营商将其访问权出售给了另一位攻击者。 RDP连接可能是测试其访问权限的访问代理。

Dragos的主要工业互联网安全事件响应者莱斯利卡哈特(Lesley Carhart)最近指出，类似的勒索软件攻击确实少有报道。她在星期二的推文中说： 这不会只会发生在其他人身上的事情， 我敢说这件事情很糟糕，我们现在就要做好准备，并积极采取缓解措施。