尽管如此,赎金软件攻击戏剧性地betway必威logo在频率这夏天对于许多潜在的受害者来说,这个问题仍然不透明。这并不一定是任何人的错,因为有关勒索软件攻击的新闻文章通常只关注攻击、可疑的威胁行为者、勒索软件类型,除此之外就没别的了。可悲的是,很少有人讨论漫长的恢复过程,根据勒索软件工作组的说法,可以平均持续287天,或关于复杂的事情最大的,声称对勒索软件攻击的防御——备份——经常失败.
关于勒索软件对人体的影响也没有足够的报道。这些网络攻击不仅攻击机器,还攻击企业、组织和帮助这些地方运营的人。
为了更好地了解勒索软件攻击的具体细节,我们采访了系统管理员Ski Kacaroski,他在2019年帮助他所在的学区摆脱了一场勒索软件噩梦,那场噩梦加密了关键数据,锁定了关键系统,甚至威胁到了员工的薪资。卡卡罗斯基在我们的“锁与代码”播客上发表了详细讲话,为那些可能不知道勒索软件攻击严重性的人提供了一些见解。
以下是他与我们分享的一些最令人惊讶和最有洞察力的课程。
最初的几个小时至关重要
2019年9月20日晚11时37分,网络犯罪分子对华盛顿州西雅图以北的北岸学区发起了勒索软件攻击。网络犯罪分子对学区部署了Ryuk勒索软件,该学区依赖于一个由300台Windows和Linux黑盒服务器组成的数据中心。该学区还管理着4000名员工的设备,包括Windows、Mac和Chromebook工作站,以及许多iPad平板电脑。
袭击发生后的第二天早上,卡卡罗斯基接到学区数据库管理员打来的电话,说数据库服务器出了问题。卡卡罗斯基登录了他雇主的VPN并四处窥探后不久,就发现服务器被勒索软件攻击了。他看到了一个未加密的文件——一封来自威胁行动者的勒索软件通知——以及几乎在其他地方都有无数的。ryuk文件扩展名。
在攻击后的最初几个小时,kacaroski说,是他做出了一个至关重要的错误。
Kacaroski说道:“如果我要重新做一遍,当我看到第一个游戏时,我便会尽快拔掉每个盒子的电源。“我做得不够快,肯定让我们损失了一些盒子。但你永远不会想到你会被勒索软件攻击,所以当有人报告系统工作不正常时,你通常不会首先考虑这一点。”
卡卡罗斯基说,他所在学区的网络保险公司后来告诉他的团队,勒索软件运营商在这些攻击中往往只针对Windows电脑。这种认识本可以帮助卡卡罗斯基优先考虑他和同事的即时反应,保护Windows系统的电脑,而不必担心Linux和Mac系统的电脑受到任何真正的威胁。
您的备份可能无法工作
卡卡罗斯基说,在攻击发生后不久,他和另一位Windows系统管理员同事正在应对“难以置信的大量不确定性”。他们不知道哪些关键服务受到了攻击,他们仍在试图通过ping找出哪些硬盘在运行,他们仍在假设他们所有的设备——不仅仅是Windows机器——都可能受到威胁的情况下工作。
但卡卡罗斯基说,至少在最初,他和他的同事感到有些自信。卡卡罗斯基说,毕竟他所在的学区已经实施了适当的备份。至少他是这么想的。
Kacaroski说:“我们有一个非常好的后备系统,或者至少是我们认为非常可靠的、坚如磐石的后备系统。”“然后我们发现,在袭击发生四五个小时后,我们的后备系统完全消失了。”
信不信由你,卡卡罗斯基的情况有些普遍。今年早些时候,尽管肉类供应商JBS已经有了备用系统,但它仍在使用决定支付1100万美元在被勒索软件攻击后,向攻击者提供解密密钥。组织在建立备份时所犯的最大错误,正如我们在另一集《锁与密码》中讨论的那样,就是这些备份没有得到适当和定期的测试。
卡卡罗斯基说,这个醒悟的时刻对他和他的同事打击很大。
Kacaroski说:“我开始真正意识到,我将不得不重建180个Windows服务器,更重要的是,从头开始重建Active Directory,包括所有那些帐户和组,以及其中的一切。”“这部分真的、真的伤害了我们。”
赎金软件攻击可能是一个月长的过程
针对北岸学区的攻击并不是某个黑客组织一夜之间做出的决定。事实上,这甚至不是一个黑客小组的工作。
卡卡罗斯基说,在联邦调查局和国土安全部协助调查了北岸的袭击事件后,雇员们了解到,一个长达数月的过程最有可能导致最终的勒索软件感染。对北岸服务器的首次入侵可能始于2019年3月,也就是最后一次攻击的6个月前,一群黑客只是安装了Emotet,就进入了北岸的服务器。一旦获得访问权限,第一批黑客将其权限卖给另一批黑客,根据卡卡罗斯基从联邦调查局(FBI)那里了解到的情况,后者随后安装了TrickBot来获取域名证书。一旦这些证书被窃取,部署TrickBot的组织就会把这些信息卖给另一组黑客,据信正是这组黑客把Ryuk勒索软件推到学区的机器上。
有趣的是,卡卡罗斯基说,学区被告知,袭击很可能是三个不同组织之间的不协调,这三个组织独立行动,只是利用了前一个组织的渠道。
同样让卡卡罗斯基吃惊的是,Ryuk勒索软件团伙的运作方式就像特许经营一样。
Kacaroski说:“我们被告知Ryuk集团是一家像麦当劳一样的特许经营企业。”“琉克集团的西海岸,那个东海岸,是介于两者之间,实际上他们不支付访问琉克的东西,除非他们有一个成功的攻击,所以他们基本上支付费用每次回的人写的,他们有一个成功的攻击。”
勒索软件攻击比你听说的要多得多
在海岸学区遭遇赎金软件后,其网络保险提供者表示,其他赎金软件受害者提出了四项额外付款。这只是2019年底的一个星期。随着今天报告的攻击数,记录的已知攻击的频率增加,我们可以安全地假设未公开的赎金软件攻击的数量只是飙升。
立即恢复,首先优先顺序,然后寻找“惊喜”系统
在应对勒索软件攻击的危机时,组织需要优先考虑哪些系统需要首先恢复在线。通常情况下,这项工作对组织来说很“容易”,因为勒索软件通常在关键截止日期前几天或几个小时就会来袭。
对于北岸学区来说,他们的勒索软件攻击发生在员工发薪前几天。卡卡罗斯基说,这是一个绝对不能错过的最后期限。
“工资必须运行,这是法律问题。你不能不付钱给人。你必须付钱给他们,这意味着在袭击发生四天后,我们必须发放工资。”卡卡罗斯基说。“这是最关键的一点。”
学区然后优先考虑获得Active Directory和学生记录系统在线回来,因为这些系统每天使用无数次以简单地帮助学校运行。学生记录系统Kacaroski表示,被教师,父母和学生自己使用,并且需要快速返回在线。
最后,Kacaroski警告了他所谓的“惊喜”系统——那些组织可能不知道或不理解的到位系统是至关重要的,直到它们消失。对于北岸学区来说,该系统用于学校的自助餐厅和支付记录。
“我们不知道(餐饮服务系统)每天要做1万顿饭,花费3万美元……我们不知道学生们是否付了饭钱,或者还没有付,或者他们欠我们钱,”卡卡罗斯基说。“这个系统需要很长时间才能启动,因为它是一个分布式系统,根本没有备份。”
在长时间的协作恢复过程中避免阻塞点
北岸学区的系统管理员只有两个人,在应对勒索软件攻击时,他们能做的只有这么多。员工需要回家睡觉,他们需要时间吃饭——听起来就是这么简单。此外,当从勒索软件攻击中恢复时,几乎总是会出现卡卡罗斯基所说的“系统管理瓶颈”。
因为系统管理员知道系统本身是如何工作的,所以他们通常可以成为一块一块地重建整个业务的单点联系人。这些系统管理员可能会因为有太多的团队反复向他们索取信息、签名和验证而负担过重。
Kacaroski说,为了帮助恢复进程向前推进,各组织应该找到释放系统管理员的方法,要么找到独立重建系统的方法,要么临时增加更多的系统管理员。
对于北部学区,使用两种方法。
卡卡罗斯基说,袭击发生后,他所在的学区给当地一家托管公司打了电话,这家公司在学区本身无法或没有时间做的小工作上做得很好。卡卡罗斯基说,就在他打完电话之后,这家公司又派了三名系统管理员来帮忙解决这个问题。
“我们给他们打电话。他们给了我们……基本上是全职的、有经验的系统管理员,”卡卡罗斯基说。“我们从2个增加到5个。一个巨大的增长。”
卡卡罗斯基说,当学区为其食品服务系统找到一个基于纸张的变通方案时,加强了的系统管理员团队也获得了一些宝贵的喘息空间。学校缩减了供应,开始只提供三种午餐供孩子们选择。在这一临时调整期间,学校每天可以很容易地在纸上记下学生们购买的每种午餐选择的数量,同时保持准确的记录,同时给学校额外的时间来重建任何数字服务。此外,学区决定将其由27个Windows服务器组成的学生记录系统转移到SaaS解决方案,Kacaroski说。
“我们有一个供应商,我们与他们有着良好的关系,他们掉了一切,以及通常是六个月的迁移,他们在六天内完成了六个月,”Kacaroski说。“但最关键的部分是它不必通过系统管理选择。这是一个完整的群体,他们可以自己工作。“
自始至终,卡卡罗斯基强调了牢固关系的重要性。Kacaroski说,在当地供应商、其他学区、家长和学区内其他团队的帮助下,北岸在短短两个月内就恢复了大约80%到85%的系统和文件。
“就像我说的,”卡卡罗斯基说,“人际关系是最重要的。”
请听我们下面关于锁和密码的完整对话
评论