安全专家警告勒索软件攻击的受害者必须更改所有密码

当组织受到勒索软件的攻击时,许多人倾向于认为唯一需要担心的事情就是尽快恢复数据。但是,本周早些时候,网络安全记者Brian Krebs 讲述了一个对名为IT提供商Virtual Care Provider Inc.(VCPI)的IT服务提供商的勒索软件攻击的故事,并在此过程中向我们展示了其他一些因素在黑客将他人的数据劫为人质时播放。

我们可能应该从以下事实开始:VCPI为45个州的100多个疗养院和医疗机构提供服务。不难看出破坏这样一家公司的IT基础架构可能会带来灾难性的后果,但是真正的危险程度只有在您了解攻击的发展方式之后才变得显而易见。

最初是在11月17日凌晨,攻击者在VCPI网络上释放Ryuk勒索软件时才注意到的。不久之后,云服务提供商托管的所有数据都被加密,并且告诉VCPI,如果它支付了价值1400万美元的惊人比特币,它可以拥有解锁文件的密钥。这是一个很大的赎金,但是再一次,被扣为人质的数据量也是如此。

这次攻击对VCPI及其客户造成了可怕的影响

VCPI的客户无法访问任何内容,从电子邮件,电话,计费系统到工资核算操作。无法获得患者记录,并且由于袭击,一些医生无法订购重要药物,这意味着对于某些患者,勒索软件感染可能会造成致命后果。事件发生后的几天,VCPI首席执行官Karen Christianson 告诉Brian Krebs ,她的公司没有足够的资源来支付赎金,而这次攻击很可能意味着数据托管业务的终结。

不过,最初的预测并未实现。尽管VCPI的客户在遭受攻击后遇到了重大问题,但托管提供商确实设法恢复了数据。可能是为了限制VCPI造成的PR损害,Karen Christianson要求Brian Krebs撰写一份有关公司如何恢复的后续报告。克雷布斯同意安排面试,但在约定日期和时间后不久,他收到一封电子邮件,立即引起了他的注意。

渗透程度变得明显

该消息据称来自攻击VCPI的黑客组织的成员,至少对于Brian Brians而言,这并不是那么普遍。但是,电子邮件的请求非常奇怪。骗子请克雷布斯提醒VCPI首席执行官,赎金的折扣优惠即将到期。

所谓的勒索软件运营商已经以某种方式知道了预定的采访,而克雷布斯怀疑这种知识是基于猜测。网络安全记者认为,除勒索软件外,黑客还使用了其他工具,使他们可以访问VCPI的内部系统和通信。克雷布斯打电话给Hold Security的专家,并请他们帮助他更好地了解折衷范围。

很快,调查产生了证据,证明VCPI的基础架构最早是在2018年9月被渗透的,最有可能是使用带有宏指令的恶意Word文档。 Word文档下载了Emotet,这是一个恶意软件家族,其蠕虫状功能使其可以在网络内横向移动。

黑客在部署Ryuk勒索软件之前进行了一次密码窃取活动

在利用Emotet在VCPI网络中建立立足点之后,骗子们部署了Trickbot,这是一家银行木马,因其多功能性和强大的凭证窃取能力而倍受赞誉。 Hold Security的专家甚至设法拦截了骗子之间的某些通信,这表明在VCPI攻击期间,多达300个网站和在线服务提供商的用户名和密码遭到了破坏。其中包括密码管理平台,银行,计费和薪资门户,处方管理和医疗供应服务,运输和邮资帐户等。Brian Krebs在接受Karen Christianson采访时提出了证据,尽管VCPI并未承认正式地,采访在那之后不久突然结束的事实表明,首席执行官绝对不知道盗窃案。

一段时间以来,勒索软件运营商一直专注于组织而不是最终用户。我们不再谈论脚本小子,希望给他们带来一些破坏,并迅速赚钱。最近的攻击是由经验丰富的黑客团队执行的,他们拥有大量工具和资源,有时部署勒索软件只是整个操作的一小部分。像VCPI这样的组织必须了解黑客可以在许多不同的方面进行攻击,并且登录数据通常是众所周知的低挂果。正因如此,正如Brian Krebs在其报告中总结的那样,对于遭受网络攻击的任何公司,更改密码都应该放在优先列表上,无论该事件是否涉及勒索软件。

January 9, 2020

发表评论