情境示意圖

資安業者Sophos本周公布了一起有關Ryuk勒索軟體的攻擊報告,受害者為歐洲一家參與COVID-19及其它生命科學研究的生物分子研究中心,研究人員追蹤了Ryuk的源起,發現是一名學生想要安裝盜版軟體,而意外將Ryuk帶進了該研究中心。

這家生物分子研究中心與當地的許多大學合作多項不同的專案,因此,參與專案的學生可透過Citrix Sessions遠端桌面服務存取研究中心的網路。調查顯示,其中有一名學生想要在自己的電腦上,安裝研究中心所使用的資料視覺化軟體,但該軟體每年的授權費高達數百美元,於是他至研究論壇求助,想請人介紹免費的類似工具,卻一無所獲,這名學生最後找到了該視覺化軟體的破解版。

不過,此一破解版的資料視覺化軟體完全只是個惡意程式,在安裝時電腦上的Windows Defender馬上就跳出安全警告,但學生不僅關閉了Windows Defender,也關閉了防火牆,而使得它成功進駐系統。

學生所安裝的是個專門竊取機密資訊的惡意程式,它可竊取學生的鍵盤輸入、瀏覽器紀錄、Cookie與剪貼簿內容,也包括學生存取生物分子研究中心的憑證。

在安裝了惡意程式之後的第13天,該名學生的憑證就被用來存取生物分子研究中心的網路,然而,此一連線並非來自學生的電腦,而是來自一個使用俄文的電腦,再10天之後,該研究中心就遭到Ryuk勒索軟體攻擊了。

Sophos經理Peter Mackenzie分析,仿冒資料視覺化軟體的惡意程式組織跟發動Ryuk勒索軟體的組織應是不同的,前者建立了初期的入侵管道,再於黑市兜售,在這期間以學生憑證存取研究中心網路,應該只是在測試該憑證的有效性,最後買家才針對研究中心發動勒索軟體攻擊。

Sophos認為,這其實是個可預防的攻擊行動,包括啟用雙因素認證,採用強大的密碼政策,停用任何已不被支援的作業系統/程式,在所有電腦上安裝安全軟體,定期檢查所有電腦上的軟體狀態,限制遠端桌面存取,檢查防火牆配置,以及禁止不同使用者共享管理員帳號等。

至於遭到勒索軟體攻擊的生物分子研究中心,幸好平常有備份的習慣,因此只遺失了還來不及備份的一周研究資料,此外,該研究中心也必須重建電腦與伺服器系統,再進行資料的復原。Sophos指出,這起攻擊事件最大的教訓應該是:其實只要採取較不信任與更健全的網路存取方法就能夠避免了。

熱門新聞

Advertisement