Vuoden 2019 aikana osavaltio-, paikallis-, heimo- ja aluehallintoyksiköt kohtaavat yhä useammin lunnasohjelmahyökkäyksiä, jotka johtavat huomattaviin verkon käyttökatkoksiin, viivästyneisiin palveluihin kohderyhmille ja kalliisiin korjaustoimiin. Tällä hetkellä Ryuk-kiristyshaittaohjelma on yksi SLTT-uhkamaiseman yleisimmistä vaihtoehdoista, ja sen tartunnat kaksinkertaistuivat vuoden toiselta neljännekseltä kolmannelle neljännekselle. Ryuk-tartuntojen lisääntyminen oli niin suurta, että MS-ISAC havaitsi heinäkuussa kaksi kertaa enemmän tartuntoja kuin vuoden ensimmäisellä puoliskolla. Pelkästään kolmannella vuosineljänneksellä MS-ISAC havaitsi Ryuk-toimintaa 14 osavaltiossa.
Mitä se on
Ryuk on eräänlainen krypto-ransomware, joka käyttää salausta estääkseen pääsyn järjestelmään, laitteeseen tai tiedostoon, kunnes lunnaat maksetaan. Ryukin pudottaa järjestelmään usein muu haittaohjelma, erityisesti TrickBot (joka esiteltiin viime vuosineljänneksen Threat of the Quarterissa), tai se pääsee järjestelmään etätyöpöytäpalveluiden kautta. Ryuk vaatii maksua Bitcoin-kryptovaluutalla ja ohjaa uhreja tallettamaan lunnaat tiettyyn Bitcoin-lompakkoon. Lunnasvaatimus on tyypillisesti 15-50 bitcoinia, mikä on noin 100 000-500 000 dollaria hintamuunnoksesta riippuen. Kun Ryuk on kerran järjestelmässä, se leviää verkossa PsExecin tai ryhmäkäytännön avulla yrittäen tartuttaa mahdollisimman monta päätepistettä ja palvelinta. Sitten haittaohjelma aloittaa salausprosessin, joka kohdistuu erityisesti varmuuskopioihin ja salaa ne useimmissa tapauksissa onnistuneesti.
Ryuk on usein viimeinen haittaohjelma, joka pudotetaan tartuntasyklissä, joka alkaa joko Emotetilla tai TrickBotilla. Useat haittaohjelmatartunnat voivat vaikeuttaa korjaamista huomattavasti. MS-ISAC havaitsi, että tapaukset, joissa Emotet tai TrickBot ovat alkutartuntoja ja järjestelmään pudotetaan useita haittaohjelmavariantteja, joiden lopputuloksena on Ryuk-tartunta, ovat lisääntyneet. Esimerkiksi MS-ISAC avusti äskettäin tapauksessa, jossa TrickBot poisti onnistuneesti käytöstä organisaation päätelaitteiden virustorjuntasovelluksen, levisi koko verkkoon ja tartutti lopulta satoja päätelaitteita ja useita palvelimia. Koska TrickBot on pankkitroijalainen, se todennäköisesti keräsi ja poisti rahoitustilitietoja tartunnan saaneista järjestelmistä ennen Ryuk-kiristysohjelmatartunnan levittämistä. Ryuk pudotettiin koko verkkoon ja se salasi organisaation tiedot ja varmuuskopiot jättäen koneisiin lunnasvaatimuslappuja.
Miten se toimii
Ryuk leviää ensisijaisesti muiden haittaohjelmien kautta, jotka pudottavat sen olemassa olevaan saastuneeseen järjestelmään. Dropperin löytäminen järjestelmästä analysointia varten on vaikeaa, koska pääasiallinen hyötykuorma poistaa sen ensimmäisen suorituksen jälkeen. Dropperi luo tiedoston, johon hyötykuorma tallennetaan; jos tiedoston luominen kuitenkin epäonnistuu, dropperi yrittää kirjoittaa sen omaan hakemistoonsa. Dropperi sisältää 32- ja 64-bittisiä lunnasohjelman moduuleja. Kun tiedosto on luotu, dropperi tarkistaa, mikä prosessi on parhaillaan käynnissä, ja kirjoittaa siihen sopivan moduulin (32- tai 64-bittinen).
Päähyötykuorman suorittamisen ja dropperin poistamisen jälkeen haittaohjelma yrittää pysäyttää virustorjuntaan ja haittaohjelmien torjuntaan liittyvät prosessit ja palvelut. Se käyttää ennalta määritettyä listaa, joka voi tappaa yli 40 prosessia ja 180 palvelua taskkill- ja netstop-komennoilla. Tämä esikonfiguroitu lista koostuu virustorjuntaprosesseista, varmuuskopioista, tietokannoista ja asiakirjojen muokkausohjelmista.
Päähyötykuorma on lisäksi vastuussa pysyvyyden lisäämisestä rekisterissä ja haitallisten hyötykuormien ruiskuttamisesta useisiin prosesseihin, kuten etäprosessiin. Prosessi-injektion avulla haittaohjelma pääsee käsiksi Volume Shadow Service -palveluun ja poistaa kaikki varjokopiot, myös kolmansien osapuolten sovellusten käyttämät. Useimmat lunnasohjelmat käyttävät samoja tai samankaltaisia tekniikoita varjoainekopioiden poistamiseen, mutta eivät poista kolmannen osapuolen sovellusten varjoainekopioita. Ryuk saavuttaa tämän muuttamalla volume shadow service -tallennuksen kokoa. Kun koko on muutettu, haittaohjelma voi pakottaa poistamaan kolmannen osapuolen sovellusten varjokopiot. Nämä tekniikat hankaloittavat huomattavasti torjuntaprosessia, sillä ne estävät organisaatiota palauttamasta järjestelmiä tartuntaa edeltävään tilaan. Lisäksi se etsii ja poistaa useita tiedostoja, joilla on varmuuskopiointiin liittyviä laajennuksia, sekä kaikki varmuuskopiot, jotka ovat parhaillaan yhteydessä saastuneeseen koneeseen tai verkkoon. Nämä käytetyt palautuksenestotyökalut ovat melko laajoja ja kehittyneempiä kuin useimmat lunnasohjelmatyypit, mikä tekee palautuksen lähes mahdottomaksi, ellei ulkoisia varmuuskopioita tallenneta ja säilytetä offline-tilassa.
Salaukseen Ryuk käyttää RSA- ja AES-salausalgoritmeja kolmella avaimella. Tietoverkkouhan toimijat (CTA) käyttävät mallinsa perustana yksityistä globaalia RSA-avainta. Toinen RSA-avain toimitetaan järjestelmään pääasiallisen hyötykuorman kautta. Tämä RSA-avain on jo salattu CTA:n yksityisellä globaalilla RSA-avaimella. Kun haittaohjelma on valmis salausta varten, uhrin tiedostoille luodaan AES-avain, ja tämä avain salataan toisella RSA-avaimella. Tämän jälkeen Ryuk alkaa skannata ja salata kaikkia järjestelmän asemia ja verkkojakoja. Lopuksi se luo lunnasvaatimusmuistion ”RyukReadMe.txt” ja sijoittaa sen järjestelmän jokaiseen kansioon.
Suositukset
SLTT-hallintojen tulisi noudattaa parhaita käytäntöjä, kuten niitä, jotka on kuvattu CIS Controls -ohjeissa, jotka ovat osa CIS SecureSuite -jäsenyyttä. MS-ISAC suosittelee, että organisaatiot noudattavat MS-ISAC Ransomware Security Primer -julkaisun koko suositusluetteloa rajoittaakseen Ryuk-kiristyshaittaohjelman vaikutusta ja riskiä organisaatiollesi
.