受影响平台:所有操作系统平台
受影响方:教育部
影响:潜在勒索软件感染、数据泄露、教育部系统损坏
严重程度:高
2021影响我们日常生活的们日常生活的重大勒索软件事件。5月初,美国最大的精炼石油管道公司Colonial Pipeline感染了DarkSide勒索软件。感染迫使公司在评估过程中关闭管道作为预防措施,导致东海岸加油站排队。同月晚些时候,REvil勒索软件攻击了世界上最大的肉类加工商JBS,并扰乱了公司的肉类生产。REvil再次影响托管服务提供商Kaseya客户。攻击者利用身份验证绕过漏洞Kaseya VSA在软件中,恶意负载通过软件管理的主机传播给下游客户。
由于勒索软件团伙的主要目标是经济利益,人们普遍认为教育部门不是坏人的目标。然而,联邦调查局(FBI)一份报告提出了相反的建议。FBI3月16日发布Flash警告,警告公众PYSA越来越多的勒索软件针对美国和英国的教育机构。PYSA,也称为Mespinoza,是“Protect Your System Amigo”缩写,被认为是和Vurten勒索软件密切相关。
PYSA2019年12月首次发现。当时,它添加了加密文件“.locked”文件扩展名,但后来切换到更熟悉“.pysa”文件扩展名。PYSA入口点通常由垃圾邮件、RDP暴露在互联网上Windows主机入侵,中央管理控制台和一些Active Directory(AD)暴力攻击账户。一旦被感染,PYSA使用各种工具(例如)ProcDump、Mimikatz和Advanced IP Scanner)实现横向移动和信息侦察。PYSA这是一个双重勒索软件,因为它从感染的机器中窃取信息并加密文件,要求受害者花钱解密文件,而不是向公众发布被盗信息。
Grief2021年5月,勒索软件袭击了密西西比州的一个学区。根据公开报告,Grief勒索软件窃取了泄密网站10GB的数据,包括内部文件和个人信息。据报道,华盛顿州的另一个学区和弗吉尼亚州的学校也遭到Grief袭击。Grief又称勒索软件GriefOrPay,被认为是DoppelPaymer修改勒索软件。
DoppelPaymer至少自2019年7月以来一直存在和存在BitPaymer勒索软件家族的成员。DoppelPaymer更名为Grief原因尚不清楚,但发生在Colonial Pipeline事件发生后。一种理论认为,品牌重塑是为了从集团中转移执法部门的注意力。勒索软件团伙的工作方式类似于欺诈公司。在从受害者那里骗取足够的钱后,他们会改变名称、标志和注册,以转移执法部门不必要的注意力。虽然入侵策略尚未确定,但Grief攻击可能间接依赖垃圾邮件,因为DoppelyPaymer有效载荷被认为是通过Dridex僵尸网络分发。另一份报告显示,一些感染Grief存在于机器中Cobalt Strike。
Grief也是双重勒索软件,要求以Monero解密加密货币支付文件的赎金。The Grief该团伙最近提高了他们的策略水平。如果受害者联系执法部门或专业赎金谈判人员,他们的新赎金信息可能会删除恢复加密文件所需的解密钥。除了勒索软件,这实质上是使用的Grief成为一种wiper恶意软件。
据报道,2020年,勒索软件攻击影响了美国近1800所学校和130多万学生。在此期间,每次事件的赎金从1万美元到100多万美元不等。此外,教育机构因停工而遭受额外损失66.21亿美元。虽然攻击大学可能不会像攻击大型企业那样获得大量赎金,但盗窃信息可以用于经济利益,因为许多大学系统包括宝贵的研究数据、政府机构、国防行业的联系信息和电子邮件、制药实验室和其他使用大学研究人员的私营公司。
众所周知,一些勒索软件,即服务提供商,有一条规则,将其活动范围排除在基础部门(天然气、石油、医院、核电站等)以及政府部门、军事和非营利组织之外,而大多数教育部门都属于这些范围。然而,这对他们来说并不是一个高尚的目的。他们只是想避免执法部门的打击。当这些部门受到攻击时,执法部门几乎没有容忍度。但他们不能保证他们的子公司将始终遵守这些规则。考虑到教育部门最近多次成为攻击目标,他们显然无法避免勒索软件攻击。
FortiGuard Labs至少发现了20种针对教育部门的不同勒索软件感染。这些感染大多发生在美国,远远超过其他国家。Pysa和Ryuk勒索软件家族是最常见的,其次是Grief和Babuk勒索软件。有趣的是,许多著名的勒索软件变种,如REvil、Blackmatter、Lockbit、DarkSide和Ragnar Locker,学校没有被发现。上述政策可能部分解释了这一点,即一些勒索软件集团限制附属公司攻击卫生和教育等特定部门。
与教育部门有关的电子邮件地址
FortiGuard Labs还分析了从OSINT从源中提取的域名包含“.edu”电子邮件地址列表。2021年5月至2021年8月,美国50个州和地区共收集了138088个属于美国教育机构的电子邮件地址。收集到的电子邮件通常在暗网上出售,可用于未来攻击。
教育领域的IPS检测
IPS检测为恶意软件的流行提供了一些有趣的见解。虽然它不能识别野外的所有勒索软件,但它可以捕获触发IPS系统勒索软件。下表显示了2021年8月11日至9月10日在美国和全球教育部门触发的前五名IPS测试。这些数据比较了美国和世界其他地区IPS检测趋势。这些未过滤的数据揭示了教育部门针对哪些网络攻击。
下表显示了教育部内部组织在2021年8月11日至9月10日触发的前五名IPS签名。请注意,这些数字不会过滤唯一的机器,这意味着实际影响可能会更低。然而,这些数据仍然提供了关于教育部门在过去30天内尝试了多少次扫描和漏洞的信息。此外,这些攻击并不一定意味着攻击者的目标是教育机构运行的技术。它只是部署在教育部网络中的一部分IPS系统识别和阻止攻击记录。
- NTP.Monlist.Command.DoS表示针对NTP拒绝服务漏洞的尝试。CVE-2013-5211有关。
- Nmap.Script.Scanner表示试图从Nmap扫描脚本引擎扫描程序,识别目标系统正在运行的服务,并根据其发现进一步攻击。
- SolarWinds.SUNBURST.Backdoor表示在网络中检测到SUNBURST后门C2通信。SunBurst2020年底通过感染的后门程序SolarWind的Orion IT更新系统传播监控和管理软件。
- Port.Scanning扫描器识别目标系统上可用的端口或服务。
- Backdoor.DoublePulsar表明存在DoublePulsar恶意软件或通过RDP扫描协议。DoublePulsar是后门木马,是后门木马Shadow Brokers该组织于2017年3月泄露NSA2017年5月使用的部分漏洞WannaCry勒索软件攻击。
- Qualys.Vulnerability.Scanner检测到Qualys尝试扫描漏洞扫描程序。攻击者可以使用扫描器识别目标系统的服务,并根据其发现进一步攻击。
Nmap.Scirpt.Scanner和Port.Scanning Qualys.Vulnerability.Scanner似乎是教育领域的常客。我们惊讶地发现Sunburst后门IPS签名也占美国整体活动的很大比例,但进一步调查显示,大多数人IPS所有的测试都属于美国的教育组织。
然而,当我们在2021年8月11日至9月10日调查教育部门访问量最大的时候URL时,Backdoor.DouplePulsar因为在我们的分析中,它更有意义URL导致了Glupteba恶意软件的变种。Glupteba是一种用Golang跨平台木马类型主要通过注入合法网站或广告网络的恶意广告传播。我们的分析证实,从URL下载的Glupteba变体包含启动臭名昭著的模块EternalBlue美国国家安全局(NSA)并于2017年开发ShadowBrokers黑客组织泄露。这个漏洞随后被用来臭名昭著Wannacry和Petya攻击。恶意接触URL计算机可能已经下载并安装了Glupteba恶意软件。Glupteba随后利用EternalBlue传播DoublePulsar,这是ShadowBrokers披露的后门植入程序可以执行其他恶意代码。这种情况很好地解释了触发的原因Backdoor.DouplePulsar签名。该测试在巴西、南非和印度观察最多,占Backdoor.DouplePulsar检测触发总数的70%。
僵尸网络和教育领域的僵尸网络AV检测
接下来,我们比较了在美国和世界各地观察到的僵尸网络活动,以找出趋势。结果证明他们几乎是同步的。记录被阻止攻击IPS不同的触发器,僵尸网络检测显示了活跃的僵尸网络恶意软件。Mirai IoT僵尸网络在这两个地区都处于领先地位,其次是Gh0st Rat和Zeroaccess。它们占美国和全球教育部僵尸网络活动的50%以上。由于这三个僵尸网络的恶意软件源代码容易获得,教育部门是僵尸网络攻击者的潜在目标。
下图显示了2021年8月11日至9月10日在美国和全球教育部门观察到的五大AV检测结果。这些数据显示了在此期间阻止的恶意软件。
Cryxos是美国和世界上最常见的恶意软件。这种恶意JavaScript变体通常与虚假呼叫支持欺诈有关。它显示了一个虚假的弹出警告,表明受害者的机器有严重的问题。受害者被进一步指示呼叫支持虚假修复,否则他们将有失去敏感数据的风险。骗子随后通过信用卡或礼品卡付款。其他常见的攻击包括:
- W32/Swizzor!B.tr是一种存在多年的老式Windows恶意软件。恶意软件旨在显示目标计算机上不必要的广告或下载和执行远程文件。因此,它被感染了Swizzor该设备可能会表现出其他与恶意软件相关的已知行为(即数据泄露)。
- JS/Miner.BP!tr是一种恶意javascript,它在用户不知情的情况下挖掘加密货币。受害者的机器可能性能下降,功耗增加。
- W32/Agent.DRI!tr.dldr特洛伊木马恶意软件旨在下载和执行远程文件。Switzor同样,感染这种恶意软件的机器也可能表现出恶意行为。
- W32/RanumBot.X!tr它是一个特洛伊木马程序,打开后门,等待命令和控制服务器。它的行为取决于它收到的远程命令。
结论
和其他行业一样,教育机构也不能避免网络攻击。后门感染会导致信息泄露或窃取学生、家长和员工PII,这对机构的研究非常重要。公开攻击可能会导致其附属公司和合作伙伴的财务损失、品牌损害、信心和声誉损失。更糟糕的是,勒索软件不仅可以部署易受攻击的网络,还可以在黑市向其他勒索软件团伙出售受损网络的访问权。
从几乎所有这些研究中得出的最重要的结论之一是,绝大多数罪犯使用可用的补丁来解决已知的漏洞。这使得网络安全和卫生成为首要任务。同样,它也再次强调了备份关键数据的必要性。如果没有定期备份或管理不当,该机构可能会花费数十万美元来更换受影响的设备。然而,即使受害者已经备份并制定了一个优秀的恢复计划,攻击者仍然会威胁要泄露被盗的数据。如果他们不支付赎金,他们将在黑暗的网络上发布所有内容。因此,必须为勒索软件制定可靠的预防和恢复计划,包括加密所有静态数据。
同样,僵尸网络对那些成为攻击者基础设施一部分的组织来说是一种间接威胁。攻击者可以利用他们的带宽对其他方发起DDoS攻击、横向移动到其他机构,或使用计算能力进行加密挖掘或其他非法目的。这最终会导致这些受害者的生产力和收入损失。
今年早些时候Fortinet一篇题为发表“影响教育网络安全的威胁”博客中的以下声明值得多次强调:
“众所周知,与攻击预防相关的成本和工作量往往远低于成功攻击的后果。因此,在教育网络安全等领域,投资全面的网络安全战略不仅可以保护敏感数据和基础设施,而且有助于降低成本。”
本文翻译自:https://www.fortinet.com/blog/threat-research/ransomware-impact-on-the-education-sector如若转载,请注明原文地址。