受影響平臺：所有操作系統平臺

　　受影響方：教育部門

　　影響：潛在勒索軟件感染、數據泄露、教育部門系統受損

　　嚴重程度：高

　　2021年發生了幾起影響我們日常生活的重大勒索軟件事件。5月初，美國最大的精煉石油管道公司Colonial Pipeline感染了DarkSide勒索軟件。此次感染迫使該公司在進行評估時關閉他們的管道作為預防措施，導致東海岸加油站排起長隊。同月晚些時候，REvil勒索軟件攻擊了全球最大的肉類加工商JBS，并擾亂了該公司的肉類生產。7月，REvil再次來襲，影響了托管服務提供商Kaseya的客戶。攻擊者利用身份驗證繞過漏洞在Kaseya VSA（虛擬系統管理員）軟件中，通過軟件管理的主機向下游客戶傳播惡意負載。

　　由于勒索軟件團伙的主要目標是經濟利益，人們普遍認為教育部門不在壞人的攻擊目標之內。然而，聯邦調查局（FBI）的一份報告提出了相反的建議。FBI于3月16日發布了Flash警報，警告公眾PYSA勒索軟件越來越多地針對美國和英國的教育機構。PYSA，也稱為Mespinoza，是“Protect Your System Amigo”的縮寫，被認為與Vurten勒索軟件有著密切的聯系。

　　PYSA于2019年12月首次被發現。當時，它為它加密的文件添加了“。locked”文件擴展名，但后來切換到更熟悉的“。pysa”文件擴展名。PYSA的入口點通常歸因于三種方法：垃圾郵件、RDP暴露在互聯網上的Windows主機入侵，以及對中央管理控制臺和某些Active Directory（AD）帳戶的暴力攻擊。一旦被感染，PYSA會使用各種工具（例如ProcDump、Mimikatz和Advanced IP Scanner）來實現橫向移動和信息偵察。PYSA是雙重勒索軟件，因為它從受感染的機器中竊取信息并加密文件，要求受害者花錢解密他們的文件，而不是向公眾發布被盜信息。

　　Grief勒索軟件于2021年5月襲擊了密西西比州的一個學區。根據一份公開報告，Grief的泄密網站稱，勒索軟件竊取了10GB的數據，包括內部文件和個人信息。據報道，華盛頓州的另一個學區和弗吉尼亞州的學校也遭到Grief襲擊。Grief勒索軟件，也稱為GriefOrPay，被認為是DoppelPaymer勒索軟件的改版。

　　DoppelPaymer至少自2019年7月以來一直存在，并且是BitPaymer勒索軟件家族的成員。雖然從DoppelPaymer更名為Grief的原因尚不明確，但它發生在Colonial Pipeline事件之后。一種理論認為，品牌重塑是為了將執法部門的注意力從該集團身上轉移開。勒索軟件團伙的工作方式類似于詐騙公司，在從受害者那里騙到足夠的錢后，他們會更改名稱、標識和注冊，以轉移執法部門不必要的注意力。雖然其入侵策略尚未確定，但Grief攻擊可能間接依賴垃圾郵件，因為DoppelyPaymer有效載荷被認為是通過Dridex僵尸網絡分發的。另一份報告表明，在一些感染了Grief的機器中存在Cobalt Strike。

　　Grief也是雙重勒索軟件，要求以Monero加密貨幣支付文件解密的贖金。The Grief團伙最近將他們的策略提高了一個檔次。如果受害者聯系執法部門或專業的贖金談判人員，他們的新贖金信息可能會刪除恢復加密文件所需的解密密鑰。除了是勒索軟件之外，這實質上使Grief成為一種wiper惡意軟件。

　　根據一份報告，勒索軟件攻擊在2020年影響了美國近1,800所學校以及超過130萬名學生。在此期間，每次事件的贖金從10,000美元到超過100萬美元不等，此外教育機構因停工而額外損失了66.2億美元。雖然攻擊大學可能不會帶來像攻擊大型企業那樣獲得大筆贖金，但被盜信息可用于經濟利益，因為許多大學系統包含寶貴的研究數據以及政府機構、國防工業的聯系信息和電子郵件、制藥實驗室和其他利用大學研究人員的私營公司。

　　我們知道，一些勒索軟件即服務提供商有一項規則，將他們的活動范圍排除在被視為基礎部門（天然氣、石油、醫院、核電站等）以及政府部門、軍事和非營利性組織之外，而大多數教育部門屬于這些范圍。然而，這對他們來說并不是出于什么高尚的目的，他們只是想避免執法部門的打擊，當這些部門被攻擊時，執法部門幾乎沒有容忍度。但他們不能保證其附屬公司將始終遵守這些規則?？紤]到教育部門最近多次成為攻擊目標，他們顯然不能免于勒索軟件攻擊。

　　FortiGuard Labs發現了至少20種針對教育部門的不同勒索軟件感染。這些感染大多數發生在美國，其數量遠遠超過其他國家。Pysa和Ryuk勒索軟件家族是最常見的，緊隨其后的是Grief和Babuk勒索軟件。有趣的是，許多著名的勒索軟件變種，例如REvil、Blackmatter、Lockbit、DarkSide和Ragnar Locker，并未被發現針對學校。上述政策可能部分解釋了這一點，即一些勒索軟件集團對附屬公司施加了限制，禁止他們攻擊衛生和教育等特定部門。

　　收集到的與教育部門相關的電子郵件地址

　　FortiGuard Labs還分析了從OSINT源中提取的域名中包含“。edu”的電子郵件地址列表。2021年5月至2021年8月期間，美國50個州和地區共收集了138088個屬于美國教育機構的電子郵件地址。收集的電子郵件通常在暗網上出售，可用于未來的攻擊。

　　教育領域的IPS檢測

　　IPS檢測為惡意軟件流行提供了一些有趣的見解。雖然它不能識別所有在野的勒索軟件，但它能捕獲觸發IPS系統的勒索軟件。下表顯示了2021年8月11日至9月10日期間在美國和全球教育部門觸發的前五大IPS檢測。該數據比較了美國與世界其他地區的IPS檢測趨勢。這些未經過濾的數據揭示了哪些網絡攻擊針對的是教育部門。

　　下表顯示了2021年8月11日至9月10日期間，教育部門內部組織觸發的前五大IPS簽名。請注意，這些數字沒有針對唯一的機器進行過濾，這意味著實際影響可能更低。但是這些數據仍然提供了有關過去30天內針對教育部門進行了多少次掃描和漏洞利用嘗試的情報。此外，這些攻擊并不一定意味著攻擊者以教育機構內運行的技術為目標。它只是一份由部署在教育部門網絡中的IPS系統識別和阻止的攻擊記錄。

　　?NTP.Monlist.Command.DoS表示針對NTP服務中的拒絕服務漏洞的嘗試。該簽名與CVE-2013-5211有關。

　　?Nmap.Script.Scanner表示試圖從Nmap腳本引擎掃描程序進行掃描，該掃描程序識別目標系統正在運行的服務，并根據其發現執行進一步的攻擊。

　　?SolarWinds.SUNBURST.Backdoor表示在網絡中檢測到SUNBURST后門C2通信。SunBurst是一個后門程序，在2020年末通過受感染的SolarWind的Orion IT監控和管理軟件更新系統傳播。

　　?Port.Scanning通過端口掃描器檢測嘗試掃描，該掃描器識別目標系統上可用的端口或服務。

　　?Backdoor.DoublePulsar表明存在DoublePulsar惡意軟件或通過RDP協議進行的掃描嘗試。DoublePulsar是一種后門木馬，它是Shadow Brokers組織在2017年3月泄露的NSA漏洞的一部分，并被用于2017年5月的WannaCry勒索軟件攻擊。

　　?Qualys.Vulnerability.Scanner檢測到Qualys漏洞掃描程序嘗試進行的掃描。攻擊者可能會使用掃描器來識別目標系統的服務，并根據其發現進行進一步的攻擊。

　　Nmap.Scirpt.Scanner和Port.Scanning Qualys.Vulnerability.Scanner似乎是教育領域的?？?。我們驚訝地發現Sunburst后門IPS簽名也占了在美國整體活動的很大比例，但進一步調查顯示，大多數IPS檢測都屬于美國的一個教育組織。

　　然而，當我們在2021年8月11日至9月10日調查教育部門訪問量最大的一些URL時，Backdoor.DouplePulsar更有意義，因為在我們分析時，它的URL導致了Glupteba惡意軟件的變種。Glupteba是一種用Golang編寫的跨平臺木馬類型，主要通過注入合法網站或廣告網絡的惡意廣告進行傳播。我們的分析證實，從URL下載的Glupteba變體包含一個模塊，用于啟動臭名昭著的EternalBlue漏洞，該漏洞由美國國家安全局（NSA）開發，并于2017年被ShadowBrokers黑客組織泄露。該漏洞隨后被用于臭名昭著的Wannacry和Petya攻擊。接觸惡意URL的計算機可能已經下載并安裝了Glupteba惡意軟件。Glupteba隨后利用EternalBlue傳播DoublePulsar，這是ShadowBrokers披露的后門植入程序，可以執行其他惡意代碼。這種情況很好地解釋了為什么會觸發Backdoor.DouplePulsar簽名。該檢測在巴西、南非和印度觀察到最多，占Backdoor.DouplePulsar檢測觸發總數的70%。

　　教育領域的僵尸網絡和AV檢測

　　接下來，我們比較了在美國和全球觀察到的僵尸網絡活動，以找出趨勢。結果證明他們幾乎是同步的。與記錄被阻止攻擊的IPS觸發器不同，僵尸網絡檢測表明網絡中存在活躍的僵尸網絡惡意軟件。Mirai IoT僵尸網絡在這兩個地區均處于領先地位，其次是Gh0st Rat和Zeroaccess。它們加起來占美國和全球教育部門僵尸網絡活動的50%以上。由于這三個僵尸網絡的惡意軟件源代碼很容易獲得，教育部門是僵尸網絡攻擊者的潛在目標。

　　下圖顯示了2021年8月11日至9月10日在美國和全球教育部門觀察到的五大AV檢測結果。此數據表明在此期間阻止了哪些惡意軟件。

　　Cryxos是在美國和世界范圍內最常見的惡意軟件。這種惡意JavaScript變體通常與虛假呼叫支持詐騙有關。它顯示了一個虛假的彈出警告，表明受害者的機器存在嚴重問題。受害者被進一步指示呼叫支持以進行虛假修復，否則他們將有丟失敏感數據的風險。詐騙者然后通過信用卡或禮品卡要求付款。其他常見的攻擊包括：

　　?W32/Swizzor!B.tr是一種已經存在多年的老式Windows惡意軟件。該惡意軟件旨在在目標計算機上顯示不需要的廣告或下載和執行遠程文件。因此，感染了Swizzor的設備可能會表現出已知與惡意軟件相關的其他行為（即數據泄露）。

　　?JS/Miner.BP!tr是一種惡意javascript，它在用戶不知情的情況下挖掘加密貨幣。受害者的機器可能會出現性能下降和耗電量增加的情況。

　　?W32/Agent.DRI!tr.dldr是一種特洛伊木馬惡意軟件，旨在下載和執行遠程文件。就像Switzor一樣，感染了這種惡意軟件的機器可能會表現出惡意行為。

　　? W32/RanumBot.X!tr是一種特洛伊木馬程序，它會打開后門并等待來自其命令和控制服務器的命令。它的行為取決于它接收到的遠程命令。

　　結論

　　與任何其他行業一樣，教育機構也不能免于網絡攻擊。后門感染會導致信息泄露，或者竊取學生、家長和教職員工的PII，這對機構的研究工作至關重要。公開的攻擊可能會導致其附屬公司和合作伙伴的財務損失、品牌損害以及信心和聲譽的喪失。更糟糕的是，勒索軟件不僅可以針對易受攻擊的網絡部署，還可以在黑市上將對受損網絡的訪問權賣給其他勒索軟件團伙。

　　從幾乎所有此類研究中得出的最重要結論之一是，犯罪分子絕大多數利用可用補丁來針對已知漏洞。這使得網絡安全衛生成為重中之重。同樣，它再次強調了備份關鍵數據的必要性。如果未實施定期備份或管理不當，則機構可能會花費數十萬美元來更換受影響的設備。但是，即使受害者已獲得備份并制定了出色的恢復計劃，攻擊者仍會威脅要泄露被盜數據。如果沒有支付贖金，他們就會在暗網上發布所有內容。因此，必須針對勒索軟件制定可靠的預防和恢復計劃，包括對所有靜態數據進行加密。

　　同樣，僵尸網絡對那些成為攻擊者基礎設施一部分的組織來說是一種間接威脅。攻擊者可以利用他們的帶寬對其他方發起DDoS攻擊，橫向移動到其他機構，或者利用計算能力進行加密挖掘或其他非法目的。這最終將導致這些受害者的生產力和收入損失。

　　今年早些時候Fortinet發表了一篇題為“影響教育網絡安全的威脅”的博客中的以下聲明，值得我們多次強調：

　　“眾所周知，與攻擊預防相關的成本和工作量往往遠低于成功攻擊的后果所帶來的相關成本。因此，在教育網絡安全及其他領域，投資于全面的網絡安全戰略不僅可以保護敏感數據和基礎設施，還有助于降低成本。”