安全專家警告勒索軟件攻擊的受害者必須更改所有密碼

當組織受到勒索軟件的攻擊時,許多人傾向於認為唯一需要擔心的事情就是盡快恢復數據。但是,本週早些時候,網絡安全記者Brian Krebs 講述了一個對名為IT提供商Virtual Care Provider Inc.(VCPI)的IT服務提供商的勒索軟件攻擊的故事,並在此過程中向我們展示了其他一些因素在黑客將他人的數據劫為人質時發揮作用。

我們可能應該從以下事實開始:VCPI為45個州的100多個療養院和醫療機構提供服務。不難看出破壞這樣一家公司的IT基礎架構可能會帶來災難性的後果,但是真正的危險程度只有在您了解攻擊的發展方式之後才變得顯而易見。

最初是在11月17日凌晨,攻擊者在VCPI網絡上釋放Ryuk勒索軟件時才注意到的。不久之後,雲服務提供商託管的所有數據都被加密,並且告訴VCPI,如果它支付了價值1400萬美元的驚人比特幣,它可以擁有解鎖文件的密鑰。這是一個很大的贖金,但是再一次,被扣為人質的數據量也是如此。

這次攻擊對VCPI及其客戶產生了可怕的影響

VCPI的客戶無法訪問任何內容,從電子郵件,電話,計費系統到工資核算操作。無法獲得患者記錄,並且由於襲擊,一些醫生無法訂購重要藥物,這意味著對於某些患者,勒索軟件感染可能會造成致命後果。事件發生後的幾天,VCPI首席執行官Karen Christianson 告訴Brian Krebs,她的公司沒有足夠的資源來支付贖金,而這次攻擊很可能意味著數據託管業務的終結。

不過,最初的預測並未實現。儘管VCPI的客戶在遭受攻擊後遇到了重大問題,但託管提供商確實設法恢復了數據。可能是為了限制VCPI造成的PR損害,Karen Christianson要求Brian Krebs撰寫有關該公司如何恢復的後續報告。克雷布斯同意安排面試,但在約定日期和時間後不久,他收到一封電子郵件,立即引起了他的注意。

滲透程度變得明顯

該消息據稱是來自攻擊VCPI的黑客組織的成員,至少對於Brian Brebs而言,這並不是那麼普遍。但是,電子郵件的請求非常奇怪。騙子請克雷布斯提醒VCPI首席執行官,贖金的折扣優惠即將到期。

所謂的勒索軟件運營商已經以某種方式知道了預定的採訪,而克雷布斯懷疑這種知識是基於猜測。網絡安全記者認為,除勒索軟件外,黑客還使用了其他工具,使他們可以訪問VCPI的內部系統和通信。克雷布斯打電話給Hold Security的專家,並請他們幫助他更好地了解折衷範圍。

很快,調查產生了證據,證明VCPI的基礎架構最早是在2018年9月被滲透的,最有可能是使用帶有宏指令的惡意Word文檔。 Word文檔下載了Emotet,這是一個惡意軟件家族,其蠕蟲狀功能使其可以在網絡內橫向移動。

黑客在部署Ryuk勒索軟件之前進行了一次密碼竊取活動

在利用Emotet在VCPI網絡中建立立足點之後,騙子們部署了Trickbot,這是一家銀行木馬,因其多功能性和強大的憑證竊取能力而倍受讚譽。 Hold Security的專家甚至設法攔截了騙子之間的某些通信,這表明在VCPI攻擊期間,多達300個網站和在線服務提供商的用戶名和密碼遭到了破壞。其中包括密碼管理平台,銀行,計費和薪資門戶,處方管理和醫療供應服務,運輸和郵資帳戶等。Brian Krebs在接受Karen Christianson採訪時提出了證據,儘管VCPI並未承認正式地,採訪在那之後不久突然結束的事實表明,首席執行官絕對不知道盜竊案。

一段時間以來,勒索軟件運營商一直專注於組織而不是最終用戶。我們不再談論腳本小子,希望給他們帶來一些破壞,並迅速賺錢。最近的攻擊是由經驗豐富的黑客團隊執行的,他們擁有大量工具和資源,有時部署勒索軟件只是整個操作的一小部分。像VCPI這樣的組織必須了解黑客可以在許多不同的方面進行攻擊,並且登錄數據通常是眾所周知的低掛果。正因如此,正如Brian Krebs在其報告中總結的那樣,對於遭受網絡攻擊的任何公司,更改密碼都應該放在優先列表上,無論該事件是否涉及勒索軟件。

January 9, 2020

發表評論