受影響平臺(tái):所有操作系統(tǒng)平臺(tái)
受影響方:教育部門(mén)
影響:潛在勒索軟件感染,、數(shù)據(jù)泄露,、教育部門(mén)系統(tǒng)受損
嚴(yán)重程度:高
2021年發(fā)生了幾起影響我們?nèi)粘I畹闹卮罄账鬈浖录?月初,美國(guó)最大的精煉石油管道公司Colonial Pipeline感染了DarkSide勒索軟件。此次感染迫使該公司在進(jìn)行評(píng)估時(shí)關(guān)閉他們的管道作為預(yù)防措施,,導(dǎo)致東海岸加油站排起長(zhǎng)隊(duì),。同月晚些時(shí)候,REvil勒索軟件攻擊了全球最大的肉類(lèi)加工商JBS,,并擾亂了該公司的肉類(lèi)生產(chǎn),。7月,REvil再次來(lái)襲,,影響了托管服務(wù)提供商Kaseya的客戶(hù),。攻擊者利用身份驗(yàn)證繞過(guò)漏洞在Kaseya VSA(虛擬系統(tǒng)管理員)軟件中,通過(guò)軟件管理的主機(jī)向下游客戶(hù)傳播惡意負(fù)載,。
由于勒索軟件團(tuán)伙的主要目標(biāo)是經(jīng)濟(jì)利益,,人們普遍認(rèn)為教育部門(mén)不在壞人的攻擊目標(biāo)之內(nèi)。然而,,聯(lián)邦調(diào)查局(FBI)的一份報(bào)告提出了相反的建議,。FBI于3月16日發(fā)布了Flash警報(bào),警告公眾PYSA勒索軟件越來(lái)越多地針對(duì)美國(guó)和英國(guó)的教育機(jī)構(gòu),。PYSA,,也稱(chēng)為Mespinoza,是“Protect Your System Amigo”的縮寫(xiě),,被認(rèn)為與Vurten勒索軟件有著密切的聯(lián)系,。
PYSA于2019年12月首次被發(fā)現(xiàn)。當(dāng)時(shí),,它為它加密的文件添加了“,。locked”文件擴(kuò)展名,但后來(lái)切換到更熟悉的“,。pysa”文件擴(kuò)展名,。PYSA的入口點(diǎn)通常歸因于三種方法:垃圾郵件、RDP暴露在互聯(lián)網(wǎng)上的Windows主機(jī)入侵,,以及對(duì)中央管理控制臺(tái)和某些Active Directory(AD)帳戶(hù)的暴力攻擊,。一旦被感染,PYSA會(huì)使用各種工具(例如ProcDump,、Mimikatz和Advanced IP Scanner)來(lái)實(shí)現(xiàn)橫向移動(dòng)和信息偵察,。PYSA是雙重勒索軟件,因?yàn)樗鼜氖芨腥镜臋C(jī)器中竊取信息并加密文件,,要求受害者花錢(qián)解密他們的文件,,而不是向公眾發(fā)布被盜信息。
Grief勒索軟件于2021年5月襲擊了密西西比州的一個(gè)學(xué)區(qū),。根據(jù)一份公開(kāi)報(bào)告,Grief的泄密網(wǎng)站稱(chēng),,勒索軟件竊取了10GB的數(shù)據(jù),,包括內(nèi)部文件和個(gè)人信息,。據(jù)報(bào)道,華盛頓州的另一個(gè)學(xué)區(qū)和弗吉尼亞州的學(xué)校也遭到Grief襲擊,。Grief勒索軟件,,也稱(chēng)為GriefOrPay,被認(rèn)為是DoppelPaymer勒索軟件的改版,。
DoppelPaymer至少自2019年7月以來(lái)一直存在,,并且是BitPaymer勒索軟件家族的成員。雖然從DoppelPaymer更名為Grief的原因尚不明確,,但它發(fā)生在Colonial Pipeline事件之后,。一種理論認(rèn)為,品牌重塑是為了將執(zhí)法部門(mén)的注意力從該集團(tuán)身上轉(zhuǎn)移開(kāi),。勒索軟件團(tuán)伙的工作方式類(lèi)似于詐騙公司,,在從受害者那里騙到足夠的錢(qián)后,他們會(huì)更改名稱(chēng),、標(biāo)識(shí)和注冊(cè),,以轉(zhuǎn)移執(zhí)法部門(mén)不必要的注意力。雖然其入侵策略尚未確定,,但Grief攻擊可能間接依賴(lài)?yán)]件,,因?yàn)镈oppelyPaymer有效載荷被認(rèn)為是通過(guò)Dridex僵尸網(wǎng)絡(luò)分發(fā)的。另一份報(bào)告表明,,在一些感染了Grief的機(jī)器中存在Cobalt Strike,。
Grief也是雙重勒索軟件,要求以Monero加密貨幣支付文件解密的贖金,。The Grief團(tuán)伙最近將他們的策略提高了一個(gè)檔次,。如果受害者聯(lián)系執(zhí)法部門(mén)或?qū)I(yè)的贖金談判人員,他們的新贖金信息可能會(huì)刪除恢復(fù)加密文件所需的解密密鑰,。除了是勒索軟件之外,,這實(shí)質(zhì)上使Grief成為一種wiper惡意軟件。
根據(jù)一份報(bào)告,,勒索軟件攻擊在2020年影響了美國(guó)近1,800所學(xué)校以及超過(guò)130萬(wàn)名學(xué)生,。在此期間,每次事件的贖金從10,000美元到超過(guò)100萬(wàn)美元不等,,此外教育機(jī)構(gòu)因停工而額外損失了66.2億美元,。雖然攻擊大學(xué)可能不會(huì)帶來(lái)像攻擊大型企業(yè)那樣獲得大筆贖金,但被盜信息可用于經(jīng)濟(jì)利益,,因?yàn)樵S多大學(xué)系統(tǒng)包含寶貴的研究數(shù)據(jù)以及政府機(jī)構(gòu),、國(guó)防工業(yè)的聯(lián)系信息和電子郵件、制藥實(shí)驗(yàn)室和其他利用大學(xué)研究人員的私營(yíng)公司。
我們知道,,一些勒索軟件即服務(wù)提供商有一項(xiàng)規(guī)則,,將他們的活動(dòng)范圍排除在被視為基礎(chǔ)部門(mén)(天然氣、石油,、醫(yī)院,、核電站等)以及政府部門(mén)、軍事和非營(yíng)利性組織之外,,而大多數(shù)教育部門(mén)屬于這些范圍,。然而,這對(duì)他們來(lái)說(shuō)并不是出于什么高尚的目的,,他們只是想避免執(zhí)法部門(mén)的打擊,,當(dāng)這些部門(mén)被攻擊時(shí),執(zhí)法部門(mén)幾乎沒(méi)有容忍度,。但他們不能保證其附屬公司將始終遵守這些規(guī)則,。考慮到教育部門(mén)最近多次成為攻擊目標(biāo),,他們顯然不能免于勒索軟件攻擊,。
FortiGuard Labs發(fā)現(xiàn)了至少20種針對(duì)教育部門(mén)的不同勒索軟件感染。這些感染大多數(shù)發(fā)生在美國(guó),,其數(shù)量遠(yuǎn)遠(yuǎn)超過(guò)其他國(guó)家,。Pysa和Ryuk勒索軟件家族是最常見(jiàn)的,緊隨其后的是Grief和Babuk勒索軟件,。有趣的是,,許多著名的勒索軟件變種,例如REvil,、Blackmatter,、Lockbit、DarkSide和Ragnar Locker,,并未被發(fā)現(xiàn)針對(duì)學(xué)校,。上述政策可能部分解釋了這一點(diǎn),即一些勒索軟件集團(tuán)對(duì)附屬公司施加了限制,,禁止他們攻擊衛(wèi)生和教育等特定部門(mén),。
收集到的與教育部門(mén)相關(guān)的電子郵件地址
FortiGuard Labs還分析了從OSINT源中提取的域名中包含“。edu”的電子郵件地址列表,。2021年5月至2021年8月期間,,美國(guó)50個(gè)州和地區(qū)共收集了138088個(gè)屬于美國(guó)教育機(jī)構(gòu)的電子郵件地址。收集的電子郵件通常在暗網(wǎng)上出售,,可用于未來(lái)的攻擊,。
教育領(lǐng)域的IPS檢測(cè)
IPS檢測(cè)為惡意軟件流行提供了一些有趣的見(jiàn)解,。雖然它不能識(shí)別所有在野的勒索軟件,但它能捕獲觸發(fā)IPS系統(tǒng)的勒索軟件,。下表顯示了2021年8月11日至9月10日期間在美國(guó)和全球教育部門(mén)觸發(fā)的前五大IPS檢測(cè),。該數(shù)據(jù)比較了美國(guó)與世界其他地區(qū)的IPS檢測(cè)趨勢(shì)。這些未經(jīng)過(guò)濾的數(shù)據(jù)揭示了哪些網(wǎng)絡(luò)攻擊針對(duì)的是教育部門(mén),。
下表顯示了2021年8月11日至9月10日期間,教育部門(mén)內(nèi)部組織觸發(fā)的前五大IPS簽名,。請(qǐng)注意,,這些數(shù)字沒(méi)有針對(duì)唯一的機(jī)器進(jìn)行過(guò)濾,這意味著實(shí)際影響可能更低,。但是這些數(shù)據(jù)仍然提供了有關(guān)過(guò)去30天內(nèi)針對(duì)教育部門(mén)進(jìn)行了多少次掃描和漏洞利用嘗試的情報(bào),。此外,這些攻擊并不一定意味著攻擊者以教育機(jī)構(gòu)內(nèi)運(yùn)行的技術(shù)為目標(biāo),。它只是一份由部署在教育部門(mén)網(wǎng)絡(luò)中的IPS系統(tǒng)識(shí)別和阻止的攻擊記錄,。
?NTP.Monlist.Command.DoS表示針對(duì)NTP服務(wù)中的拒絕服務(wù)漏洞的嘗試。該簽名與CVE-2013-5211有關(guān),。
?Nmap.Script.Scanner表示試圖從Nmap腳本引擎掃描程序進(jìn)行掃描,,該掃描程序識(shí)別目標(biāo)系統(tǒng)正在運(yùn)行的服務(wù),并根據(jù)其發(fā)現(xiàn)執(zhí)行進(jìn)一步的攻擊,。
?SolarWinds.SUNBURST.Backdoor表示在網(wǎng)絡(luò)中檢測(cè)到SUNBURST后門(mén)C2通信,。SunBurst是一個(gè)后門(mén)程序,在2020年末通過(guò)受感染的SolarWind的Orion IT監(jiān)控和管理軟件更新系統(tǒng)傳播,。
?Port.Scanning通過(guò)端口掃描器檢測(cè)嘗試掃描,,該掃描器識(shí)別目標(biāo)系統(tǒng)上可用的端口或服務(wù)。
?Backdoor.DoublePulsar表明存在DoublePulsar惡意軟件或通過(guò)RDP協(xié)議進(jìn)行的掃描嘗試,。DoublePulsar是一種后門(mén)木馬,,它是Shadow Brokers組織在2017年3月泄露的NSA漏洞的一部分,并被用于2017年5月的WannaCry勒索軟件攻擊,。
?Qualys.Vulnerability.Scanner檢測(cè)到Qualys漏洞掃描程序嘗試進(jìn)行的掃描,。攻擊者可能會(huì)使用掃描器來(lái)識(shí)別目標(biāo)系統(tǒng)的服務(wù),并根據(jù)其發(fā)現(xiàn)進(jìn)行進(jìn)一步的攻擊,。
Nmap.Scirpt.Scanner和Port.Scanning Qualys.Vulnerability.Scanner似乎是教育領(lǐng)域的??汀N覀凅@訝地發(fā)現(xiàn)Sunburst后門(mén)IPS簽名也占了在美國(guó)整體活動(dòng)的很大比例,,但進(jìn)一步調(diào)查顯示,,大多數(shù)IPS檢測(cè)都屬于美國(guó)的一個(gè)教育組織。
然而,,當(dāng)我們?cè)?021年8月11日至9月10日調(diào)查教育部門(mén)訪(fǎng)問(wèn)量最大的一些URL時(shí),,Backdoor.DouplePulsar更有意義,,因?yàn)樵谖覀兎治鰰r(shí),它的URL導(dǎo)致了Glupteba惡意軟件的變種,。Glupteba是一種用Golang編寫(xiě)的跨平臺(tái)木馬類(lèi)型,,主要通過(guò)注入合法網(wǎng)站或廣告網(wǎng)絡(luò)的惡意廣告進(jìn)行傳播。我們的分析證實(shí),,從URL下載的Glupteba變體包含一個(gè)模塊,,用于啟動(dòng)臭名昭著的EternalBlue漏洞,該漏洞由美國(guó)國(guó)家安全局(NSA)開(kāi)發(fā),,并于2017年被ShadowBrokers黑客組織泄露,。該漏洞隨后被用于臭名昭著的Wannacry和Petya攻擊。接觸惡意URL的計(jì)算機(jī)可能已經(jīng)下載并安裝了Glupteba惡意軟件,。Glupteba隨后利用EternalBlue傳播DoublePulsar,,這是ShadowBrokers披露的后門(mén)植入程序,可以執(zhí)行其他惡意代碼,。這種情況很好地解釋了為什么會(huì)觸發(fā)Backdoor.DouplePulsar簽名,。該檢測(cè)在巴西、南非和印度觀察到最多,,占Backdoor.DouplePulsar檢測(cè)觸發(fā)總數(shù)的70%,。
教育領(lǐng)域的僵尸網(wǎng)絡(luò)和AV檢測(cè)
接下來(lái),我們比較了在美國(guó)和全球觀察到的僵尸網(wǎng)絡(luò)活動(dòng),,以找出趨勢(shì),。結(jié)果證明他們幾乎是同步的。與記錄被阻止攻擊的IPS觸發(fā)器不同,,僵尸網(wǎng)絡(luò)檢測(cè)表明網(wǎng)絡(luò)中存在活躍的僵尸網(wǎng)絡(luò)惡意軟件,。Mirai IoT僵尸網(wǎng)絡(luò)在這兩個(gè)地區(qū)均處于領(lǐng)先地位,其次是Gh0st Rat和Zeroaccess,。它們加起來(lái)占美國(guó)和全球教育部門(mén)僵尸網(wǎng)絡(luò)活動(dòng)的50%以上,。由于這三個(gè)僵尸網(wǎng)絡(luò)的惡意軟件源代碼很容易獲得,教育部門(mén)是僵尸網(wǎng)絡(luò)攻擊者的潛在目標(biāo),。
下圖顯示了2021年8月11日至9月10日在美國(guó)和全球教育部門(mén)觀察到的五大AV檢測(cè)結(jié)果,。此數(shù)據(jù)表明在此期間阻止了哪些惡意軟件。
Cryxos是在美國(guó)和世界范圍內(nèi)最常見(jiàn)的惡意軟件,。這種惡意JavaScript變體通常與虛假呼叫支持詐騙有關(guān),。它顯示了一個(gè)虛假的彈出警告,表明受害者的機(jī)器存在嚴(yán)重問(wèn)題,。受害者被進(jìn)一步指示呼叫支持以進(jìn)行虛假修復(fù),,否則他們將有丟失敏感數(shù)據(jù)的風(fēng)險(xiǎn)。詐騙者然后通過(guò)信用卡或禮品卡要求付款,。其他常見(jiàn)的攻擊包括:
?W32/Swizzor!B.tr是一種已經(jīng)存在多年的老式Windows惡意軟件,。該惡意軟件旨在在目標(biāo)計(jì)算機(jī)上顯示不需要的廣告或下載和執(zhí)行遠(yuǎn)程文件,。因此,感染了Swizzor的設(shè)備可能會(huì)表現(xiàn)出已知與惡意軟件相關(guān)的其他行為(即數(shù)據(jù)泄露),。
?JS/Miner.BP!tr是一種惡意javascript,,它在用戶(hù)不知情的情況下挖掘加密貨幣。受害者的機(jī)器可能會(huì)出現(xiàn)性能下降和耗電量增加的情況,。
?W32/Agent.DRI!tr.dldr是一種特洛伊木馬惡意軟件,,旨在下載和執(zhí)行遠(yuǎn)程文件。就像Switzor一樣,,感染了這種惡意軟件的機(jī)器可能會(huì)表現(xiàn)出惡意行為,。
? W32/RanumBot.X!tr是一種特洛伊木馬程序,它會(huì)打開(kāi)后門(mén)并等待來(lái)自其命令和控制服務(wù)器的命令,。它的行為取決于它接收到的遠(yuǎn)程命令。
結(jié)論
與任何其他行業(yè)一樣,,教育機(jī)構(gòu)也不能免于網(wǎng)絡(luò)攻擊,。后門(mén)感染會(huì)導(dǎo)致信息泄露,或者竊取學(xué)生,、家長(zhǎng)和教職員工的PII,,這對(duì)機(jī)構(gòu)的研究工作至關(guān)重要。公開(kāi)的攻擊可能會(huì)導(dǎo)致其附屬公司和合作伙伴的財(cái)務(wù)損失,、品牌損害以及信心和聲譽(yù)的喪失,。更糟糕的是,勒索軟件不僅可以針對(duì)易受攻擊的網(wǎng)絡(luò)部署,,還可以在黑市上將對(duì)受損網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)賣(mài)給其他勒索軟件團(tuán)伙,。
從幾乎所有此類(lèi)研究中得出的最重要結(jié)論之一是,犯罪分子絕大多數(shù)利用可用補(bǔ)丁來(lái)針對(duì)已知漏洞,。這使得網(wǎng)絡(luò)安全衛(wèi)生成為重中之重,。同樣,它再次強(qiáng)調(diào)了備份關(guān)鍵數(shù)據(jù)的必要性,。如果未實(shí)施定期備份或管理不當(dāng),,則機(jī)構(gòu)可能會(huì)花費(fèi)數(shù)十萬(wàn)美元來(lái)更換受影響的設(shè)備。但是,,即使受害者已獲得備份并制定了出色的恢復(fù)計(jì)劃,,攻擊者仍會(huì)威脅要泄露被盜數(shù)據(jù)。如果沒(méi)有支付贖金,,他們就會(huì)在暗網(wǎng)上發(fā)布所有內(nèi)容,。因此,必須針對(duì)勒索軟件制定可靠的預(yù)防和恢復(fù)計(jì)劃,,包括對(duì)所有靜態(tài)數(shù)據(jù)進(jìn)行加密,。
同樣,,僵尸網(wǎng)絡(luò)對(duì)那些成為攻擊者基礎(chǔ)設(shè)施一部分的組織來(lái)說(shuō)是一種間接威脅。攻擊者可以利用他們的帶寬對(duì)其他方發(fā)起DDoS攻擊,,橫向移動(dòng)到其他機(jī)構(gòu),,或者利用計(jì)算能力進(jìn)行加密挖掘或其他非法目的。這最終將導(dǎo)致這些受害者的生產(chǎn)力和收入損失,。
今年早些時(shí)候Fortinet發(fā)表了一篇題為“影響教育網(wǎng)絡(luò)安全的威脅”的博客中的以下聲明,,值得我們多次強(qiáng)調(diào):
“眾所周知,與攻擊預(yù)防相關(guān)的成本和工作量往往遠(yuǎn)低于成功攻擊的后果所帶來(lái)的相關(guān)成本,。因此,,在教育網(wǎng)絡(luò)安全及其他領(lǐng)域,投資于全面的網(wǎng)絡(luò)安全戰(zhàn)略不僅可以保護(hù)敏感數(shù)據(jù)和基礎(chǔ)設(shè)施,,還有助于降低成本,。”