以下CFC案例研究说明了黑客如何通过远程桌面协议访问学校的系统并保存数据以勒索赎金。

教育部门也不例外,过去20年左右发生了大规模的技术变革。特别是学校,现在越来越依赖其计算机系统为学生提供21世纪的教育。现在,老师和学生都可以在教室中定期使用计算机技术,无论是通过在交互式白板上演示PowerPoint演示文稿,在平板电脑和笔记本电脑上进行交互式学习,完成在线评估和测试,还是使用软件程序来编制学生成绩并进行监控课堂出勤。学校也看到了从纸质档案的转变,并以电子格式存储越来越多的重要数据。

尽管计算机技术的使用无疑给学校带来了很多好处,但它们对计算机系统和电子数据库的日益依赖也使他们容易遭受网络损失。如果教师和教职员工无法访问他们的计算机,无论是由于恶意网络攻击还是非恶意系统故障所致,都可能导致学校的严重运营中断。而且,如果黑客获得了学校拥有的敏感电子数据的访问权,则可能会对学校的财务和声誉造成负面影响。

受到网络丢失影响的CFC保单持有人之一是一所私立学校,负责教育大约800名11-18岁的学生,该学校同时兼顾日间和寄宿生。

该事件始于黑客设法通过远程桌面协议(RDP)访问学校的计算机系统。RDP允许远程用户通过网络连接连接到另一台计算机的桌面,通常由学校使用,以允许教职员工和学生在不在学校的地方访问他们的网络。在这种情况下,学校用于RDP访问的端口直接暴露于Internet。黑客一直在使用扫描工具来识别易受攻击的组织,并确定其在网络安全方面可能存在的薄弱环节,而直接暴露于Internet的RDP端口是他们所寻找的最常见的端口之一。

找出了这一薄弱环节后,黑客试图通过对本地管理员帐户发起暴力攻击来获取对学校网络的访问权限。蛮力攻击是指黑客使用计算机程序快速连续尝试多种可能的密码组合来破解密码,而该程序通常会尝试一长串最常用的密码。一般而言,密码越长越复杂,破解程序的难度和时间就越长。但是,不幸的是,学校的本地管理员帐户密码薄弱,曾经用作默认密码,但是从未更改过。由于密码缺乏复杂性,该程序很快就破解了密码。更重要的是,

在获得访问权限后,黑客趁机在学校的计算机系统上释放了勒索软件。勒索软件是一种恶意软件,其工作原理是对网络上的数据进行加密,然后要求支付赎金以换取解密密钥以重新获得对数据的访问权。在这种情况下,勒索软件对多台服务器进行了加密,有效地将学校锁定在其计算机系统之外,黑客要求支付2比特币作为解密密钥。在许多情况下,可以通过从备份中恢复来减轻勒索软件攻击。但是,学校的备份存储在由勒索软件加密的一台服务器上,这使它们无用。

对于学校而言,幸运的是,勒索软件攻击是在学校放假期间发生的,但是由于无法从备份中恢复,学校意识到,一旦学生返回,如果其计算机系统仍然不可用,将会造成大量破坏。例如,学校将无法立即访问非常重要的信息,例如出于会计目的所需的财务信息,有关下一学年的潜在学生的详细信息以及有关受学校照料的学生的重要信息(例如病历)和饮食要求;教师将无法利用交互式白板为学生提供演示文稿;学生将不再能够在课堂上使用电子学习课程或完成在线评估;

鉴于学校即将发生重大运营中断的可能性,就在此时将事件通知了CFC的事件响应小组。该团队的首要任务是通过查看赎金记录副本和加密文件样本来确定在攻击中使用了哪种勒索软件变种。在确定了可能的勒索软件变体之后,该团队进行了一些研究,以查看是否有任何方法可以在不支付勒索费用的情况下删除勒索软件。我们的事件响应合作伙伴之一针对已知的勒索软件变体生成了定期更新的免费可用解密密钥列表。幸运的是,该团队能够在网上找到解密密钥。有了解密密钥,

但是,即使学校设法重新获得了对计算机系统的访问权限,对于攻击是否导致数据泄露仍然存在一个问号。勒索软件攻击影响了包含敏感数据的服务器,其中包括父母的姓名,电话号码和居住地址;有关过去和现在的学生的数据,例如成绩,出勤,学科和病历;有关员工的信息,例如联系方式,地址和银行帐户详细信息;以及可能在下一学年入学的潜在学生的信息。由于学校受当地数据泄露通知法的约束,因此,如果它表明在攻击过程中已访问或泄露了部分或全部这些数据,则学校必须通知受影响的个人,

为了解决此问题,我们聘请了一个事件响应合作伙伴进行法医调查,以确定黑客如何获得被保险人计算机系统的访问权限以及他们在访问时是否访问过任何敏感数据。不幸的是,当黑客进行攻击时,他们已经建立了一个临时用户配置文件,这意味着无法确定黑客可能浏览了哪些文件夹以及打开了哪些文件。

但是,我们的事件响应团队和我们的法务合作伙伴能够确定有关此案的一些事实。首先,基于先前的事件和威胁情报,未知在攻击过程中使用的勒索软件变种能够访问或泄露数据。其次,在黑客可以访问学校计算机系统的时间段内,从学校互联网服务提供商获得的带宽使用日志未显示高流量,这表明学校网络没有任何重大数据泄露。第三,黑客仅在短时间内登录了学校的计算机系统,这表明他们主要专注于部署勒索软件,而不是寻找敏感数据。

鉴于此,我们的法医合作伙伴确定,黑客的主要动机似乎是通过使用勒索软件来牟取金钱,而不是盗窃敏感数据。在征询法律意见以确定是否需要数据泄露通知后,律师们建议,根据法医调查的结果,在这种情况下将不需要通知,从而确保学校的声誉不会受到不必要的损害。

进行根本原因分析,网络安全评估,司法鉴定和聘请法律顾问的总成本为17,560英镑,所有费用均由学校的CFC网络政策支付。

该声明强调了几个关键点。首先,它强调了有效保护远程桌面协议(RDP)的重要性。如果组织正在使用RDP,则应确保它不直接暴露于Internet,而应使用虚拟专用网络(VPN)。此外,企业应确保他们具有良好的密码卫生习惯,并对任何远程访问网络启用多因素身份验证。如果学校采取了这些措施,则黑客极不可能获得对其计算机系统的访问权限。

其次,它强调了制定好的数据备份策略的重要性。在这种情况下,学校已经足够谨慎地备份其数据。但是,如果不将这些备份保存在学校服务器的外部,则意味着勒索软件开始加密时,它也对备份进行了加密。理想情况下,企业应维持每日的离线备份,以帮助防止在攻击过程中破坏备份。

最后,这一主张突出了网络保险的价值。当您购买网络保险时,您不仅在购买承诺以支付有效索赔。您还需要为出现问题的服务付费,以提供帮助和建议。在这种情况下,CFC的事件响应团队和我们的合作伙伴能够提供有关勒索软件变体的威胁情报并获得免费的解密密钥,从而使学校能够重新获得对其计算机系统的访问权限;进行了根本原因分析,以确定黑客如何进入系统,从而使企业能够识别和纠正任何网络安全漏洞;并进行法医调查,以便我们确定勒索软件攻击并未导致数据泄露,


发表评论 已发布 0

还可以输入 800 个字
 
 
评论 打印