虽然生物分子研究所的名称尚未披露，但欧洲组织参与了与COVID-19相关的生命科学和研究。该学院与当地大学密切合作，并在一些项目中与学生合作。 

不幸的是，这是一名学生，被证明是Ryuk感染的不知情渠道。 

这名学生正在寻找一种免费版本的数据可视化软件工具，如果获得许可，他们每年将花费数百美元。在一个论坛上发帖要求提供一个免费的替代品后，这位学生最终选择了寻找一个破解版。 

由于被破解的软件被认为是可疑的，杀毒软件通常会标记并阻止其执行，而被破解的软件会被修改以删除试用期或需要许可证等元素。 

在这种情况下，Windows Defender触发，因此学生禁用了软件和防火墙。 

然而，这个可执行文件没有启动他们想要的软件，而是加载了一个特洛伊木马，能够获取学生访问生物分子研究所网络的凭据

事后看来，这是一个不明智的决定，研究所允许学生使用个人设备通过远程Citrix会话访问其网络。 

13天后，该学生执行了“破解”软件，远程桌面协议（RDP）连接由学院注册，使用该学生的证书，名为“Totoro”，这是1988年电影中的动画角色。 

“RDP的一个特点是，连接还会触发打印机驱动程序的自动安装，使用户能够远程打印文档，”Sophos说这使快速反应调查组看到，注册的RDP连接涉及一个俄语打印机驱动程序，很可能是一个非法连接。”

调查组认为，进入该研究所的通道是在地下市场出售的，RDP连接可能是为了测试通道。 

连接完成后10天，Ryuk就被部署到了网络上，由于备份没有完全更新，研究所花费了一周的研究数据。此外，研究人员称，在研究所恢复正常工作活动之前，系统和服务器文件必须“从头开始重建”。 

“这是一个警示故事，说明当没有可靠的安全策略来控制错误时，最终用户的安全判断失误会使组织面临攻击，”Sophos快速响应经理Peter Mackenzie评论道在本例中，当外部用户单击“安装”按钮寻找一个被破解的软件工具副本时，目标就处于危险之中，该软件工具被证明是纯恶意软件。[…]为攻击者提供方便初始访问的先前受损网络的地下市场正在蓬勃发展，因此，我们认为恶意软件运营商将其访问权限卖给了另一个攻击者。”

之前和相关报道