据外媒报道,近日荷兰马斯特里赫特大学(UM)向CLOP勒索软件的解密密钥支付了30个比特币的赎金,以当时换算约为240,000美元。随后,UM公开了攻击细节,并提供了详细信息,帮助研究人员了解目标勒索软件的攻击方式。
据报道,在黑客加密持续一周时间后,UM得出结论,唯一可行的方法是支付赎金并购买解密密钥。因为,UM认为即使有破解该勒索软件的可能,重建基础网络架构也将花费数月的时间,而研究资料有可能将无法挽回,同时其学生将无法如期参加考试。
据悉,Fox-IT的研究人员在UM委托的研究报告中表示,此次特定攻击背后的组织是一个已有悠久历史的犯罪集团,通常被称为“ TA505”或“ GraceRAT”,他们的犯罪活动至少可以追溯到2014年。
随后的一些媒体报道又将TA505与 Dridex背后的组织Evil Corps联系在一起。该消息来自微软于2020年1月30日发布的一条推文:“ Dudear(又名TA505 / SectorJ04 / Evil Corp)在当今一些最大的恶意软件活动中使用,在短暂的中断后于本月又重新投入运营。尽管我们看到了一些攻击策略被改变,但是Dudear仍将尝试部署窃取信息的Trojan GraceWire软件。”
但是,Fox-IT在其报告中既未提及SectorJ04,也未提及EvilCorp。研究人员表示,没有提及是因为没有确凿的证据,但是,Evil Corp通常会与Dridex背后的组织相关,但是Fox-IT相信TA505是一个独立的小组,只是该小组有可能与'Dridex'小组进行了合作”。从分析中可以看出,两种网络钓鱼电子邮件均以英语编写,并且带有指向Excel文档的链接。同时,这些文档包含同一个宏,分别从IP地址 185.225.17(.)99和185.212.128(.)146下载SDBBot远程访问木马。
针对此次攻击的整体研究之后,Fox-IT公司对UM提出了四个具有针对性的建议:
改进漏洞和补丁管理
增加网络内的分段
实施或改善网络和日志监视
实践不同的危机应对方案
UM接受了建议,同时也解释了所有高等教育机构所面临的困难,他们表示很难找到适当的网络开发性平衡点,尤其是在最佳数字安全性与为学生提供开放透明的网络环境之间的平衡。最后学校得出的结论是必须牺牲一些开放性来改善现代网络世界中的安全性问题。
对此,UM打算首先提升安全意识培训和安全防御工具,以更好地检测和处理网络钓鱼攻击。其次,它将改进其补丁程序机制,而且所有更新都必须在学校1647台服务器和7,307个工作站上进行处理。
同时,UM还打算建立24/7 SIEM和SOC,虽然这已经计划在2020年1月开始进行,但无法影响TA505攻击。对此,UM希望与其他大学一起推进这项措施,有效地将不同大学联合起来对SOC加以改进,以促进学校之间的合作和集体行动。
文章来源E安全,转载请标明出处,如有侵权请联系删除。