Student pobrał cracka do aplikacji. Ransomware opanowało placówkę badań nad COVID-19

[OXYGEN THIEF]

Badacze bezpieczeństwa ujawnili niedawną historię, gdy pojedynczy student nieświadomie stał się kanałem infekcji ransomware, która kosztowała instytut biomolekularny tygodnie ważnych badań. Firma Sophos opisała przypadek, w którym zespół został wynajęty do zneutralizowania aktywnego cyberataku na obiekt biomolekularny w Europie. Sophos odkrył, że oprogramowanie ransomware Ryuk przedostało się do sieci placówki i postanowił ustalić, w jaki sposób doszło do infekcji. Ryuk to forma złośliwego oprogramowania, która stale się rozwija. Rodzina Ryuk, w tym nowe szczepy wyposażone w funkcje podobne do robaków i zdolność do samodzielnego rozprzestrzeniania się w sieciach, szyfruje pliki, blokując ofiarom dostęp do swoich systemów do czasu zapłacenia okupu. Według AdvIntel i HYAS, szacuje się, że operatorzy stojący za Ryuk wygenerowali ponad 150 milionów dolarów zysku dzięki wymuszeniom okupu od swoich ofiar, a płatności często dokonywane są w Bitcoinach (BTC). Chociaż nazwa instytutu biomolekularnego nie została ujawniona, wiadomo, że to europejska organizacja, która zajmuje się naukami przyrodniczymi i badaniami związanymi z COVID-19. Instytut ściśle współpracuje z lokalnymi uczelniami i współpracuje ze studentami przy niektórych projektach. Niestety, to właśnie uczeń okazał się nieświadomym kanałem infekcji Ryuk.

Jeden student stał się przyczyną zainfekowania instytutu badawczego ramsomware Ryuk. Stracono tygodnie badań nad COVID-19. Wszystko przez uruchomienie cracka, który okazał się trojanem.

Pechowy student chyba przysnął na wykładzie dotyczącym bezpieczeństwa. Szukając bezpłatnej wersji oprogramowania do wizualizacji danych, które kosztowałoby go setki dolarów rocznie, zdecydował na scrackowaną wersję. Ponieważ oprogramowanie tego typu jest przeważnie wykrywane przez antywirusy, student wyłączył całkowicie pakiet Windows Defender w swoicm komputerze. Szybko okazało się, że crack zamiast uruchamiać żądane oprogramowanie, ładował trojana, który pozyskał dane uwierzytelniające studenta do sieci instytutu biomolekularnego. Niestety w wyniku nierozsądnej decyzji, instytut badawczy umożliwiał studentom korzystanie z urządzeń osobistych w celu uzyskania dostępu do sieci za pośrednictwem zdalnych sesji Citrix. 13 dni po tym, jak student skorzystał z podstawionego pliku, instytut zarejestrował połączenie z protokołem zdalnego pulpitu (RDP), używając danych uwierzytelniających ucznia.


"Cechą protokołu RDP jest to, że połączenie uruchamia również automatyczną instalację sterownika drukarki, umożliwiając użytkownikom zdalne drukowanie dokumentów" - mówi Sophos. "Pozwoliło to zespołowi szybkiego reagowania stwierdzić, że zarejestrowane połączenie RDP wymagało sterownika drukarki w języku rosyjskim". Zespół uważa, że dostęp do instytutu został sprzedany na czarnym rynku, a połączenie RDP mogło zostać wykonane w celu przetestowania dostępu. Następnie 10 dni po nawiązaniu tego połączenia, na serwery wrzucono Ryuk, co kosztowało instytut tygodnie badań, ponieważ kopie zapasowe nie były w pełni aktualne. Ponadto, zdaniem naukowców, pliki systemowe i serwerowe musiały zostać "odbudowane od podstaw", zanim instytut mógł wznowić normalną działalność.

info:ithardware.pl