Ransomware ,,Ryuk"

Ransomware ,,Ryuk"

Wzrasta liczba ataków z wykorzystaniem ransomware Ryuk. Aktywność tego oprogramowania zaobserwowano także na terytorium Polski. Wykorzystanie przez atakujących tego wariantu oprogramowania wynika głównie z jego wysokiej skuteczności w uderzeniu w infrastrukturę teleinformatyczną przedsiębiorstw, wysoce utrudniając przywracanie zdolności operacyjnej.

 

O skuteczności ataków z wykorzystaniem ransomware Ryuk świadczyć może zestawienie kwot okupu, jakiego atakujący żądają od przedsiębiorstw będących celem ich działania.

1

Rys. 1  Porównanie kwot okupu (USD).

 

Jak przebiega atak?

 

W przebiegu znanych ataków, Ryuk wprowadzany był do sieci wewnętrznych przedsiębiorstw w sposób ręczny. Atakujący przełamywali zabezpieczenia z pomocą innych metod. Najczęściej dochodziło do infekcji jednego z komputerów użytkowników, wykorzystując pocztę elektroniczną (w tym celu operowano załącznikami, wywołującymi pobranie malware np. TrickBot).

2

Rys. 2 Przykładowy email ze znanej kampanii phisingowej. Uruchomienie załącznika mogło prowadzić do pobrania TrickBot’a, inicjując infekcję przedsiębiorstwa.

 

Ustanawiając stałe połączenie z zaatakowanym komputerem, dokonywano rozpoznania środowiska, w którym napastnik się znalazł. Jeżeli zidentyfikowano potencjalnie interesujący cel (duża firma, interesujące dane), przystępowano do ataku na kontroler domeny. Atak ten przeprowadzany był ponownie z wykorzystaniem szeregu metod, od wykorzystania podatności oprogramowania samego kontrolera (brak aktualizacji) po wykradanie poświadczeń administratorów domeny. Czas trwania tego typu operacji potrafi być rozciągnięty do wielu miesięcy, co obrazuje poniższa grafika.

3

Rys. 3 Active Directory Kill Chain Attack.

 

Uzyskanie kontroli nad domeną pozwala na infiltrację zasobów przedsiębiorstwa. Na tym etapie dochodzi do kradzieży danych z zasobów, które udało się zidentyfikować na etapie rozpoznania. Oprogramowanie ADFind.exe, wykorzystywane przy enumeracji zasobów w znanych przypadkach ataku było umieszczane w lokalizacji C:\Windows\SySWOW64\. Proces enumeracji powtarzany był dwukrotnie na tym samym kontrolerze domeny, w kilkugodzinnym odstępie (Zespół FireEye wskazuje na 10 godzinny interwał, w którym napastnik testował także dostęp do pozostałych zidentyfikowanych kontrolerów domeny). Jako mechanizm dostępu do kontrolerów AD wskazuje się na RDP.

4

Rys. 4 Przykładowy skrypt wykorzystywany przez atakujących do enumeracji obiektów w Active Directory.

 

Końcowym etapem działania napastników jest przeprowadzenie infekcji z pomocą ransomware Ryuk oraz żądanie okupu.

Atak w ujęciu technicznym

Sam przebieg ataku może być odmienny od opisanego poniżej. Na bazie artykułu technicznego firmy FireEye wskazano jeden z wielu możliwych scenariuszy wydarzenia.

Atakujący wykorzystują kontroler domeny w celu umieszczenia na jego zasobach (C$) skryptów oraz plików binarnych Ryuk. Następnie uruchamiany jest skrypt, wykorzystujący zebrane wcześniej dane o obiektach komputerów i użytkowników, którego zadaniem jest skopiowanie oprogramowania na możliwie największą listę hostów.

5

Rys. 5 Skrypt wykorzystany w propagacji oprogramowania.

Skopiowanie pliku / plików wykonywalnych Ryuk pozwalało na uruchomienie kolejnego skryptu, inicjującego ransomware.

6

Rys. 6 Skrypt uruchamiający wykonanie oprogramowania.

 

 

Ransomware Ryuk dokonuje detekcji funkcjonujących procesów i serwisów w systemie operacyjnym. Zgodnie z informacjami opublikowanymi przez firmę Chekpoint, Ryuk posiada zdolność terminowania ponad 40 procesów i zatrzymywania funkcjonowania ponad 180 serwisów, z wykorzystaniem poleceń Taskkill i net stop. Lista procesów i serwisów jest predefiniowana w kodzie Ryuk’a. Celem jest oprogramowanie służące do realizacji kopii zapasowych, oprogramowanie antywirusowe, bazy danych oraz służące do edycji dokumentów.

7

Rys. 7 Część listy zatrzymywanych procesów i serwisów.

Ryuk w celu przetrwania restartu zainfekowanych hostów wykorzystuje wpisy w rejestrze, mogące zainicjować automatycznie jego działanie.

8

Rys. 8 Wpis w rejestrze, aktywujący działanie Ryuk’a po procesie restartu.

Ransomware próbuje następnie wykonać operację podniesienia uprawnień do SeDebugPrivilage i w przypadku powodzenia realizuje próby wstrzyknięcia kodu do każdego procesu (z wyjątkiem explorer.exe, csrss.exe, lsaas.exe oraz nie uruchomionych jako NT Authority). Zgodnie z informacjami opublikowanymi przez firmę Checkpoint, efektywne wstrzyknięcie kodu pozwala na rozpoczęcie procesu szyfrowania danych na hoście. Proces szyfrowania jest realizowany z pomocą trzech par kluczy, przy czym zastosowane przez atakującego podejście do sposobu szyfrowania uniemożliwia efektywne odszyfrowanie zasobów jednego przedsiębiorstwa nawet w sytuacji, gdy znany jest klucz do odszyfrowania zasobów innej firmy.

Po zakończeniu procesu szyfrowania część kluczy jest niszczona przez oprogramowanie, następnie uruchamiany jest skrypt usuwający Shadow Copies i zidentyfikowane pliki kopii zapasowych z dysków.

9

Rys. 9 Lista komend wykonywanych przez Ryuk po zakończeniu operacji szyfrowania zasobów

Finalnie zaatakowany zasób, w zależności od zastosowanej wersji ransomware wyświetla jeden z poniższych komunikatów:

10

Rys. 10 Plik txt z informacją o infekcji i żądaniem okupu.

11

Rys. 11 Plik HTML z danymi kontaktowymi i nazwą ransomware.

 

Jak zidentyfikować obecność Ryuk’a w zasobach teleinformatycznych przedsiębiorstwa?

Powiązane z ransomware indykatory infekcji:

Pliki wykonywalne Ryuk ransomware hash MD5:

c0202cf6aeab8437c638533d14563d35

d348f536e214a47655af387408b4fca5

958c594909933d4c82e93c22850194aa

86c314bc2dc37ba84f7364acd5108c2b

29340643ca2e6677c19e1d3bf351d654

cb0c1248d3899358a375888bb4e8f3fe

1354ac0d5be0c8d03f4e3aba78d2223e

Hash MD5 pliku droppera:

5ac0f050f93f86e69026faea1fbb4450

Pliki wykonywalne Ryuk ransomware hash SHA256:

795db7bdad1befdd3ad942be79715f6b0c5083d859901b81657b590c9628790f

501e925e5de6c824b5eeccb3ccc5111cf6e312258c0877634935df06b9d0f8b9

fe909d18cf0fde089594689f9a69fbc6d57b69291a09f3b9df1e9b1fb724222b

IoC dla Ryuk’a jest także obecność wpisu w rejestrze, zawartego w rysunku 8. Niemniej wpis ten pojawia się na etapie samej infekcji, po zakończonej propagacji kodu wykonywalnego. Detekcja jego obecności może zatem świadczyć o aktywnym procesie ataku.

Za informacją opublikowaną przez National Cyber Security Centre, IoC Ryuk’a mogą stanowić także elementy charakterystyczne dla innych aplikacji (PowerShell Empire).

12

Rys 12 User Agent z charakterystycznymi odstępami pomiędzy „tokenami”.

URI pojawiające się w komunikacji może zawierać:

  • /login/process.php
  • /admin/get.php
  • /news.php

Odnotowane przez zespół z Wielkiej Brytanii powiązane z Ryuk ścieżki plików, mogące wskazywać na zaistnienie infekcji przedstawiono poniżej:

13

Rys. 13 Ścieżki mogące wskazywać na obecność ransomware Ryuk.

 

CERT Energa przekazując Państwu informacje opublikowane przez firmy i organizacje: NCSC, FBI, Checkpoint, CrowdStrike, Coveware, GData oraz Malwarebytes, dzieli się posiadaną wiedzą na temat możliwych dla przedsiębiorstw zagrożeń, w celu zwiększenia świadomości na temat tych zagrożeń oraz rekomenduje podjęcie dodatkowych kroków w celu lepszego zabezpieczenia zasobów teleinformatycznych przedsiębiorstw:

  1. Upewnij się, że wszystkie niezbędne do funkcjonowania przedsiębiorstwa kopie bezpieczeństwa są przechowywane offline,
  2. Systematycznie testuj kopie bezpieczeństwa,
  3. Monitoruj aktywność kont o podwyższonych uprawnieniach,
  4. Monitoruj aktywność sesji RDP, minimum w zakresie kontrolerów domeny Active Directory,
  5. Stosuj segmentację sieci,
  6. Bezwzględnie egzekwuj stosowanie polityki haseł,
  7. Jeżeli to możliwe, stosuj systemy klasy PAM,
  8. Blokuj w systemach bezpieczeństwa znane znaczniki IoC,
  9. Weryfikuj obecność wpisów w rejestrach, oraz obiekty w Harmonogramach Zadań (Task Scheduler), mogące wskazywać na próbę przetrwania restartu przez oprogramowanie (persistance),
  10. Monitoruj i weryfikuj nietypową aktywność komputerów w sieci.

 

Załączniki

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w ustawieniach przeglądarki.

Rozumiem