În cursul anului 2019, entitățile guvernamentale de stat, locale, tribale și teritoriale (SLTT) se confruntă din ce în ce mai des cu atacuri ransomware, ceea ce duce la întreruperi semnificative ale rețelei, servicii întârziate pentru alegători și eforturi costisitoare de remediere. În prezent, ransomware-ul Ryuk este una dintre cele mai răspândite variante din peisajul amenințărilor SLTT, cu o dublare a infecțiilor între al doilea și al treilea trimestru al anului. Creșterea numărului de infecții Ryuk a fost atât de mare încât MS-ISAC a înregistrat de două ori mai multe infecții în luna iulie, comparativ cu prima jumătate a anului. Numai în al treilea trimestru, MS-ISAC a observat activitatea Ryuk în 14 state.
Ce este
Ryuk este un tip de cripto-ransomware care folosește criptarea pentru a bloca accesul la un sistem, dispozitiv sau fișier până când se plătește o răscumpărare. Ryuk este adesea aruncat pe un sistem de către un alt malware, mai ales TrickBot, (prezentat în amenințarea trimestrului trecut) sau obține acces la un sistem prin intermediul Remote Desktop Services. Ryuk solicită plata prin intermediul criptomonedei Bitcoin și îndrumă victimele să depună răscumpărarea într-un anumit portofel Bitcoin. Cererea de răscumpărare se situează, de obicei, între 15 și 50 de Bitcoini, ceea ce reprezintă aproximativ 100.000-500.000 de dolari, în funcție de conversia prețului. Odată ajuns pe un sistem, Ryuk se va răspândi prin rețea folosind PsExec sau Group Policy, încercând să infecteze cât mai multe puncte finale și servere. Apoi, malware-ul va începe procesul de criptare, vizând în mod special copiile de rezervă și reușind să le cripteze cu succes în majoritatea cazurilor.
Ryuk este adesea ultima piesă de malware lansată într-un ciclu de infecție care începe fie cu Emotet, fie cu TrickBot. Infecțiile malware multiple pot complica foarte mult procesul de remediere. MS-ISAC a observat o creștere a cazurilor în care Emotet sau TrickBot sunt infecțiile inițiale și mai multe variante de malware sunt lansate pe sistem, rezultatul final fiind o infecție Ryuk. De exemplu, MS-ISAC a asistat recent la un incident în care TrickBot a reușit să dezactiveze cu succes aplicația antivirus endpoint a organizației, s-a răspândit în întreaga rețea și a ajuns să infecteze sute de endpoint-uri și mai multe servere. Deoarece TrickBot este un troian bancar, probabil că a colectat și exfiltrat informații despre conturile financiare de pe sistemele infectate înainte de a lansa infecția cu ransomware Ryuk. Ryuk a fost lansat în întreaga rețea, criptând datele și copiile de rezervă ale organizației, lăsând bilete de răscumpărare pe mașini.
Cum funcționează
Ryuk se răspândește în principal prin intermediul altor programe malware care îl lansează pe un sistem infectat existent. Găsirea dropper-ului pe un sistem pentru analiză este dificilă din cauza faptului că sarcina utilă principală o șterge după execuția inițială. Dropperul creează un fișier în care să fie salvată sarcina utilă; cu toate acestea, în cazul în care crearea fișierului eșuează, dropperul va încerca apoi să o scrie în propriul său director. Dropperul conține module de 32 și 64 de biți ale ransomware-ului. După ce fișierul este creat, dropperul verifică ce proces rulează în acel moment și scrie în modulul corespunzător (32 sau 64 de biți).
În urma executării încărcăturii utile principale și a ștergerii dropperului, malware-ul încearcă să oprească procesele și serviciile legate de antivirus și antimalware. Folosește o listă preconfigurată care poate ucide peste 40 de procese și 180 de servicii prin intermediul comenzilor taskkill și netstop. Această listă preconfigurată este alcătuită din procese antivirus, backup-uri, baze de date și software de editare a documentelor.
În plus, încărcătura utilă principală este responsabilă pentru creșterea persistenței în registru și injectarea de încărcături utile malițioase în mai multe procese, cum ar fi procesul la distanță. Injectarea procesului permite malware-ului să obțină acces la serviciul de umbrire a volumului și să șteargă toate copiile de umbră, inclusiv pe cele utilizate de aplicații terțe. Majoritatea programelor ransomware utilizează aceleași tehnici sau tehnici similare pentru a șterge copiile de umbră, dar nu le șterge pe cele ale aplicațiilor terțe. Ryuk reușește acest lucru prin redimensionarea spațiului de stocare al serviciului de umbrire a volumului. Odată redimensionat, malware-ul poate forța ștergerea copiilor de umbră ale aplicațiilor terțe. Aceste tehnici complică foarte mult procesul de atenuare, deoarece îngreunează capacitatea unei organizații de a readuce sistemele la starea anterioară infecției. În plus, acesta va urmări și va șterge mai multe fișiere care au extensii legate de copii de rezervă și orice copii de rezervă care sunt conectate în prezent la mașina sau rețeaua infectată. Aceste instrumente anti-recuperare folosite sunt destul de extinse și mai sofisticate decât majoritatea tipurilor de ransomware, făcând recuperarea aproape imposibilă, cu excepția cazului în care copiile de rezervă externe sunt salvate și stocate offline.
Pentru criptare, Ryuk folosește algoritmii de criptare RSA și AES cu trei chei. Actorii de amenințări cibernetice (CTA) utilizează o cheie RSA globală privată ca bază a modelului lor. Cea de-a doua cheie RSA este livrată sistemului prin intermediul încărcăturii utile principale. Această cheie RSA este deja criptată cu cheia RSA globală privată a CTA. Odată ce malware-ul este pregătit pentru criptare, este creată o cheie AES pentru fișierele victimei, iar această cheie este criptată cu cea de-a doua cheie RSA. Ryuk începe apoi să scaneze și să cripteze fiecare unitate și partajare de rețea de pe sistem. În cele din urmă, va crea nota de răscumpărare, „RyukReadMe.txt” și o va plasa în fiecare dosar din sistem.
Recomandări
Guvernele SLTT ar trebui să adere la cele mai bune practici, cum ar fi cele descrise în CIS Controls, care fac parte din CIS SecureSuite Membership. MS-ISAC recomandă organizațiilor să adere la lista completă de recomandări din MS-ISAC Ransomware Security Primer, pentru a limita efectul și riscul ransomware-ului Ryuk pentru organizația dumneavoastră
.