V průběhu roku 2019 se státní, místní, kmenové a územní orgány (SLTT) stále častěji setkávají s útoky ransomwaru, které vedou k významným výpadkům sítě, zpoždění služeb pro voliče a nákladné nápravě. V současné době je ransomware Ryuk jednou z nejrozšířenějších variant v prostředí hrozeb SLTT, přičemž počet infekcí se od druhého do třetího čtvrtletí roku zdvojnásobil. Nárůst infekcí typu Ryuk byl tak velký, že MS-ISAC zaznamenal v červenci dvakrát více infekcí než v první polovině roku. Jen ve třetím čtvrtletí zaznamenal MS-ISAC aktivitu viru Ryuk ve 14 státech.
Co to je
Ryuk je typ krypto-ransomwaru, který používá šifrování k zablokování přístupu k systému, zařízení nebo souboru, dokud není zaplaceno výkupné. Ryuk je často do systému vysazen jiným malwarem, zejména TrickBotem (představeným v minulém čtvrtletí v Hrozbě čtvrtletí), nebo získá přístup do systému prostřednictvím služby Vzdálená plocha. Ryuk požaduje platbu prostřednictvím kryptoměny Bitcoin a nařizuje obětem, aby výkupné uložily do konkrétní peněženky Bitcoin. Požadované výkupné se obvykle pohybuje mezi 15-50 Bitcoiny, což je v závislosti na přepočtu ceny zhruba 100 000-500 000 USD. Jakmile se Ryuk dostane do systému, šíří se sítí pomocí PsExec nebo Group Policy a snaží se infikovat co nejvíce koncových bodů a serverů. Poté malware zahájí proces šifrování, konkrétně se zaměří na zálohy a ve většině případů je úspěšně zašifruje.
Ryuk je často posledním kusem malwaru vysazeným v infekčním cyklu, který začíná buď Emotetem, nebo TrickBotem. Vícenásobná infekce malwarem může proces nápravy značně zkomplikovat. MS-ISAC zaznamenal nárůst případů, kdy je počáteční infekcí Emotet nebo TrickBot a do systému je vysazeno více variant malwaru, jejichž konečným výsledkem je infekce Ryuk. MS-ISAC například nedávno asistoval u incidentu, kdy TrickBot úspěšně vyřadil antivirovou aplikaci organizace pro koncové body, rozšířil se po celé její síti a nakonec infikoval stovky koncových bodů a několik serverů. Vzhledem k tomu, že TrickBot je bankovní trojský kůň, pravděpodobně získal a exfiltroval informace o finančních účtech v infikovaných systémech předtím, než spustil infekci ransomwarem Ryuk. Ryuk byl spuštěn v celé síti, zašifroval data a zálohy organizace a zanechal na počítačích poznámky o výkupném.
Jak to funguje
Ryuk se primárně šíří prostřednictvím jiného malwaru, který jej spustí na stávající infikovaný systém. Nalezení dropperu v systému za účelem analýzy je obtížné vzhledem k tomu, že hlavní payload se po prvním spuštění odstraní. Dropper vytvoří soubor, do kterého se má payload uložit; pokud se však vytvoření souboru nezdaří, pokusí se jej dropper zapsat do vlastního adresáře. Dropper obsahuje 32 a 64bitové moduly ransomwaru. Po vytvoření souboru pak dropper zkontroluje, jaký proces je právě spuštěn, a zapíše do něj příslušný modul (32 nebo 64bitový).
Po spuštění hlavního payloadu a odstranění dropperu se malware pokusí zastavit procesy a služby související s antivirovým programem a antimalwarem. Používá k tomu předem nakonfigurovaný seznam, který dokáže prostřednictvím příkazů taskkill a netstop zabít více než 40 procesů a 180 služeb. Tento předkonfigurovaný seznam se skládá z antivirových procesů, záloh, databází a softwaru pro úpravu dokumentů.
Dále je hlavní užitečné zatížení zodpovědné za zvýšení perzistence v registru a injektování škodlivého užitečného zatížení do několika procesů, například do vzdáleného procesu. Injekce do procesu umožňuje malwaru získat přístup ke stínové službě svazku a odstranit všechny stínové kopie, včetně těch, které používají aplikace třetích stran. Většina ransomwaru používá stejné nebo podobné techniky k odstranění stínových kopií, ale neodstraňuje ty z aplikací třetích stran. Ryuk toho dosáhne změnou velikosti úložiště stínové služby svazku. Po změně velikosti může malware vynutit odstranění stínových kopií aplikací třetích stran. Tyto techniky značně komplikují proces zmírňování následků, protože ztěžují schopnost organizace obnovit systémy do stavu před infekcí. Navíc vyhledá a odstraní více souborů, které mají přípony související se zálohováním, a všechny zálohy, které jsou aktuálně připojeny k infikovanému počítači nebo síti. Tyto použité nástroje proti obnovení jsou poměrně rozsáhlé a sofistikovanější než u většiny typů ransomwaru, takže obnovení je téměř nemožné, pokud nejsou externí zálohy uloženy a uloženy offline.
Pro šifrování používá Ryuk šifrovací algoritmy RSA a AES se třemi klíči. Aktéři kybernetických hrozeb (CTA) používají jako základ svého modelu soukromý globální klíč RSA. Druhý klíč RSA je do systému dodáván prostřednictvím hlavního užitečného zatížení. Tento klíč RSA je již zašifrován soukromým globálním klíčem RSA CTA. Jakmile je malware připraven k šifrování, je vytvořen klíč AES pro soubory oběti a tento klíč je zašifrován druhým klíčem RSA. Ryuk poté začne skenovat a šifrovat všechny jednotky a síťové sdílení v systému. Nakonec vytvoří zprávu o výkupném „RyukReadMe.txt“ a umístí ji do každé složky v systému.
Doporučení
Vlády SSL by měly dodržovat osvědčené postupy, například ty, které jsou popsány v dokumentu CIS Controls, který je součástí členství CIS SecureSuite. MS-ISAC doporučuje organizacím dodržovat úplný seznam doporučení v dokumentu MS-ISAC Ransomware Security Primer, abyste omezili účinek a riziko ransomwaru Ryuk pro vaši organizaci
.