I løbet af 2019 vil statslige, lokale, stamme- og territoriale (SLTT) offentlige enheder i stigende grad blive udsat for ransomware-angreb, der resulterer i betydelig nedetid på netværket, forsinkede tjenester til vælgerne og dyre afhjælpningsindsatser. I øjeblikket er Ryuk-ransomware en af de mest udbredte varianter i SLTT-trusselslandskabet med en fordobling af infektionerne fra andet til tredje kvartal i år. Stigningen i Ryuk-infektioner var så stor, at MS-ISAC oplevede dobbelt så mange infektioner i juli sammenlignet med første halvår af året. Alene i tredje kvartal observerede MS-ISAC Ryuk-aktivitet i 14 stater.
Hvad det er
Ryuk er en type krypto-ransomware, der bruger kryptering til at blokere adgangen til et system, en enhed eller en fil, indtil der betales en løsesum. Ryuk bliver ofte smidt på et system af anden malware, især TrickBot, (omtalt i sidste kvartals Threat of the Quarter) eller får adgang til et system via Remote Desktop Services. Ryuk kræver betaling via Bitcoin-kryptovaluta og beder ofrene om at indbetale løsesummen i en bestemt Bitcoin-wallet. Kravet om løsepenge er typisk mellem 15-50 Bitcoins, hvilket svarer til ca. 100.000-500.000 USD afhængigt af prisomregningen. Når Ryuk først er på et system, spredes den gennem netværket ved hjælp af PsExec eller Group Policy i et forsøg på at inficere så mange slutpunkter og servere som muligt. Derefter vil malware begynde krypteringsprocessen, der specifikt er rettet mod sikkerhedskopier og i de fleste tilfælde krypterer dem med succes.
Ryuk er ofte den sidste del af malware, der tabes i en infektionscyklus, der starter med enten Emotet eller TrickBot. Flere malware-infektioner kan i høj grad komplicere processen med afhjælpning. MS-ISAC har observeret en stigning i tilfælde, hvor Emotet eller TrickBot er de indledende infektioner, og hvor flere malware-varianter bliver lagt ind i systemet med en Ryuk-infektion som slutresultat. For eksempel hjalp MS-ISAC for nylig med en hændelse, hvor det lykkedes TrickBot at deaktivere organisationens antivirusprogram for slutpunkter, spredte sig i hele netværket og endte med at inficere hundredvis af slutpunkter og flere servere. Da TrickBot er en banktrojaner, har den sandsynligvis høstet og exfiltreret finansielle kontooplysninger på de inficerede systemer, før den smittede med Ryuk-ransomware-infektionen. Ryuk blev spredt i hele netværket og krypterede organisationens data og sikkerhedskopier og efterlod løsesumsnotater på maskinerne.
Sådan fungerer det
Ryuk spredes primært via anden malware, der smider den på et eksisterende inficeret system. Det er vanskeligt at finde dropperen på et system til analyse på grund af det faktum, at den primære nyttelast sletter den efter den første udførelse. Dropperen opretter en fil, som nyttelasten skal gemmes i. Men hvis oprettelsen af filen mislykkes, vil dropperen derefter forsøge at skrive den ind i sin egen mappe. Dropperen indeholder 32- og 64 bit-moduler af ransomware. Når filen er oprettet, kontrollerer dropperen derefter, hvilken proces der kører i øjeblikket, og skriver i det relevante modul (32 eller 64 bit).
Efter udførelsen af den primære nyttelast og sletningen af dropperen forsøger malware at stoppe antivirus- og antimalware-relaterede processer og tjenester. Den bruger en forudkonfigureret liste, som kan dræbe mere end 40 processer og 180 tjenester via taskkill og netstop-kommandoer. Denne forudkonfigurerede liste består af antivirusprocesser, sikkerhedskopier, databaser og dokumentredigeringssoftware.
Dertil kommer, at den vigtigste nyttelast er ansvarlig for at øge persistensen i registreringsdatabasen og injicere ondsindede nyttelaster i flere processer, såsom fjernprocessen. Procesinjektionen gør det muligt for malware at få adgang til volumen skyggetjenesten og slette alle skyggekopier, herunder dem, der bruges af tredjepartsprogrammer. De fleste ransomware-tjenester bruger de samme eller lignende teknikker til at slette skyggekopier, men sletter ikke dem fra tredjepartsprogrammer. Ryuk opnår dette ved at ændre størrelsen på lageret i volumen skyggetjenesten. Når størrelsen er ændret, kan malware tvinge sletning af skyggekopier af tredjepartsprogrammer til at blive slettet. Disse teknikker komplicerer i høj grad afhjælpningsprocessen, da det hindrer en organisations mulighed for at genoprette systemer til en tilstand, som de var før infektionen. Desuden vil den gå efter og slette flere filer, der har backup-relaterede udvidelser, og alle backups, der i øjeblikket er forbundet med den inficerede maskine eller det inficerede netværk. Disse anvendte værktøjer mod genoprettelse er ret omfattende og mere sofistikerede end de fleste typer ransomware, hvilket gør genoprettelse næsten umulig, medmindre eksterne sikkerhedskopier gemmes og opbevares offline.
Til kryptering bruger Ryuk RSA- og AES-krypteringsalgoritmerne med tre nøgler. Cybertrusselsaktørerne (CTA’er) bruger en privat global RSA-nøgle som grundlag for deres model. Den anden RSA-nøgle leveres til systemet via den primære nyttelast. Denne RSA-nøgle er allerede krypteret med CTA’erens private globale RSA-nøgle. Når malware er klar til kryptering, oprettes der en AES-nøgle til offerets filer, og denne nøgle krypteres med den anden RSA-nøgle. Ryuk begynder derefter at scanne og kryptere alle drev og netværksandele på systemet. Til sidst vil den oprette løsesumsbrevet “RyukReadMe.txt” og placere det i alle mapper på systemet.
Anbefalinger
SLTT-regeringer bør overholde bedste praksis, som f.eks. dem, der er beskrevet i CIS Controls, som er en del af CIS SecureSuite-medlemskabet. MS-ISAC anbefaler organisationer at overholde den fulde liste af anbefalinger i MS-ISAC Ransomware Security Primer for at begrænse virkningen af og risikoen ved Ryuk ransomware for din organisation