После того, как научно-исследовательский институт подвергся атаке программы-вымогателя Ryuk, команда Sophos отреагировала и нейтрализовала кибератаку.

В результате этой атаки институт потерял недельные исследовательские данные, поскольку серверы были восстановлены с нуля, а данные восстановлены из резервных копий.

После проведения криминалистической экспертизы атаки компания Sophos определила, что исходной точкой входа для злоумышленников был сеанс RDP с использованием учетных данных учащегося. Институт работает со студентами университетов, которые помогают в исследованиях и других задачах. В рамках этого сотрудничества институт предоставляет студентам учетные данные для удаленного входа в свою сеть.

Получив доступ к ноутбуку студента и проанализировав историю браузера, они узнали, что студент искал дорогостоящее программное обеспечение для визуализации данных, которое и хотел установить на своем домашнем компьютере. Вместо того, чтобы покупать лицензию за несколько сотен долларов, студент искал взломанную версию и скачал ее с сайта Warez. Однако вместо получения ожидаемого программного обеспечения его система была заражена трояном,  который регистрировал нажатия клавиш, крал историю буфера обмена Windows и крал пароли, включая учетные данные, которые использовались злоумышленниками Ryuk для входа в сеть института.

«Маловероятно, что операторы, стоящие за «пиратским программным обеспечением», те же, что и те, кто запустил атаку Ryuk, - сказал Питер Маккензи, менеджер Rapid Response в Sophos. «Подпольный рынок ранее скомпрометированных сетей, предлагающий злоумышленникам простой начальный доступ, процветает, поэтому мы полагаем, что операторы вредоносных программ продали свой доступ другому злоумышленнику».

Торговые площадки, посвященные продаже учетных данных удаленного доступа, процветают последние пару лет и стали обычным источником учетных записей, используемых группировками вымогателей для получения доступа к корпоративным сетям. Многие из этих украденных учетных данных собираются с помощью троянов, ворующих информацию, а затем продаются один за другим на этих торговых площадках всего за 3 доллара.

К сожалению, человеческими ошибками всегда будут пользоваться злоумышленники. Пользователи будут продолжать открывать фишинговые сообщения электронной почты и загружать взломанные программы, сколько бы им не говорили.