声名狼藉的Ryuk勒索软件袭击了一家为政府和应急车队制造重型车辆交流发电机的企业。如何绝地求生?
C.E. Niehoff&Co公司的小型IT团队已经为追查和清除恶意软件感染忙活了两周时间了。该恶意软件是某员工点击网络钓鱼邮件中的URL而渗入公司内网的。因为公司急于平息攻击,后被确认为Trickbot的恶意软件悄悄在公司终端和服务器间扩散开来,大肆收集关于该制造企业的情报,并从被感染的主机上盗取凭证。
直到某个周日的早晨,C.E. Niehoff 公司IT经理 Kelvin Larrue 从家中登录公司网络,该公司才意识到攻击比单纯的机器人程序感染要严重得多。Larrue震惊的发现,一名入侵者在公司某服务器上开启PowerShell会话,以被盗凭证在服务器间跳转,不断关停和禁用各类安全工具。
我可以看到他正在干什么。我知道我们遭遇了真正的麻烦。有人已经进入了我们的系统,他们的确拿到了打开大门的钥匙。
Larrue马上驱车前往位于伊利诺伊州埃文斯顿的公司总部,那里距离他家20分钟车程,既运营有公司数据中心,也是公司为政府和应急车辆制造重型汽车交流发电机的工厂所在地。Larrue和他的团队火速断网以阻止攻击者继续深入,但一切都太迟了。
那时,攻击者已经开始释放勒索软件,所经之处每一台服务器和工作站都已开始了文件加密流程。
后来Larrue知道了,他亲眼见证的是Ryuk勒索软件对自家公司的攻击。Ryuk是通常对金融公司执行针对性攻击的最新一代勒索软件变种。研究Ryuk及其攻击方法的安全公司 Check Point 称,Ryuk的加密方案针对受害网络中的关键资源和资产;为求影响最大化,其攻击载荷由攻击者在获取到所需情报和被盗凭证后手动释放。
Check Point 公司负责追踪Ryuk的安全研究员 Itay Cohen 解释称:
感染新受害者时,Ryuk攻击者会花一段时间观察该网络,判断被感染的主机和网络是否有利可图。他们不会自动释放Ryuk,而是在确定目标有用后手动释放。这有悖于之前勒索软件攻击行动更为随机和自动化的特征。
自2018年秋,Ryuk就感染了数家知名度颇高的受害者,包括《芝加哥论坛报》和《洛杉矶时报》之类的新闻媒体;佛罗里达州市图尔特市;还有昂斯诺郡供水及排污管理局——与 C.E. Niehoff 一样是在2018年10月遭到勒索软件攻击。
Ryuk与其他勒索软件,比如GandCrab和此前搞瘫了挪威铝业巨头Norsk Hydro 的LockerGoga一样,都是奔着安全公司CrowdStrike所谓的 “大鱼”——理论上能够支付更高赎金的大型企业而去的,不是随机感染消费者或小公司的那种。
Larrue称,C.E. Niehoff 认为释放Trickbot的网络钓鱼邮件所含恶意URL是攻击的第一阶段,也是情报收集和凭证盗窃的源头。在对其他受害者的Ryuk攻击中,网络罪犯在释放Ryuk并锁定受害者主机前,将Emotet作为机器人程序使用而将Trickbot用作情报和凭证盗窃工具。
表面的机器人程序感染背后是Trickbot悄悄潜入并设立整套命令与控制(C2)机制,我们之后才发现到底发生了什么。这些东西抽取了凭证,设置了C2,然后我们就遭到了Ryuk勒索软件的重击。
在Larrue及其团队被机器人程序牵着兜圈子做无用功的时候,攻击者已经利用Java漏洞建立起反向shell了。该公司的Vipre反恶意软件工具未能识别该恶意软件变种。
利用被盗凭证,Ryuk攻击者通过远程桌面协议(RDP)接入了公司网络,并以PowerShell指令在一台台服务器上启动了Ryuk勒索软件攻击载荷。
但在那个时候,Larrue及其团队不知道的是,将主机断网实际上更加剧了攻击:Ryuk攻击者似乎设定若勒索软件加密进程被中断就破坏被感染主机的固件。Larrue和3名IT员工疯狂关机断网时没看到勒索信上 “关机断网则系统受损” 的警告;直到勒索软件加以回击之后他们才最终看到了勒索消息。
攻击者预期我们到周一早上看到勒索消息,没料到我们星期天就发现了。
Larrue承认:关机断网是自己的错。该勒索软件的加密方案中有一部分是只要关机断网就会有什么东西破坏所有服务器上的固件,包括电子邮件和企业资源规划(ERP)服务器。
但那个时候一切都晚了,什么都没了。即便我们想要支付赎金也没办法了。
事后证明,勒索信已经警告过只有攻击者能够解密文件,重启或关闭系统都会破坏文件。勒索信中并没有说明赎金数额,只是给出了如何与攻击者合作解密文件的指示。
我之前也遭遇过各种事端,但从未遇到过这种情况。感觉整个地球的重量都压到我肩膀上了。
重回纸笔
C.E. Niehoff是一家相对较小的制造企业,有400名员工和仅由3人组成的IT部门,且IT团队还兼职负责解决安全问题。其客户包括使用其工业级汽车交流发电机的美国军方。攻击发生后最大的担忧是损失了ERP制造服务器。
虽然攻击者并未盗取任何客户信息或敏感信息的事实令人稍感欣慰,但制造过程已不得不依赖纸笔和现有订单才能保证车间开工。Larrue表示:我们有足够的日常文书工作保障生产车间执行已经发布的任务。ERP系统提供车间运转所需的信息,但即便缺了ERP我们依然能开展生产。生产制造过程并未戛然而止。
不过,ERP系统一天不恢复上线,工厂就一天不能开展新订单的生产进程。
机缘巧合下,该公司的人力资源和薪资服务器并未感染勒索软件。其两台备份设备也未遭到感染——有迹象表明攻击者曾经尝试感染Arcserve 8200设备,但由于某些未知原因失败了。一台设备位于公司园区的A楼内,另一台在B楼里,用于循环备份数据和处理该公司TB级数据的文件压缩工作。
这就几乎是该公司手中剩下的所有东西了,另外还有些更老的备份磁带,只存了过去4年来的数据。
而且,C.E. Niehoff还没将设备设为完整系统恢复用——设备相对较新,Larrue不得不请Arcserve工程师帮忙将备份恢复到新采购来替换被锁系统的机器上。被配置成裸机还原的几个系统很快就恢复上线了,但其他几个没有配置成完全恢复的系统就麻烦了。
我们不得不重建那些机器。恢复时间因此而延长了。
帮Larrue恢复系统的Arcserve工程师Gary Sussman建议,保证备份系统不受勒索软件攻击破坏的一种方式是将它们保存在单独的域上,还要设上强凭证和确保开启硬件加密。
C.E. Niehoff 共花费两周半时间才将所有系统恢复上线,最先恢复的是其电子邮件服务器。
Larrue称,公司自此添加了额外的安全层,并不断增强其系统和存储冗余,包括基于云的存储。勒索软件威胁已成新常态。对抗勒索软件的防御战是个持续的过程,一刻松懈不得。
相关阅读
