Az állami, helyi, törzsi és területi (SLTT) kormányzati szervek 2019-ben egyre gyakrabban találkoznak zsarolóvírus-támadásokkal, amelyek jelentős hálózati leállást, a választópolgároknak nyújtott szolgáltatások késését és költséges helyreállítási erőfeszítéseket eredményeznek. Jelenleg a Ryuk zsarolóvírus az egyik legelterjedtebb változat az SLTT fenyegetések között, a fertőzések megduplázódtak az év második negyedévéről a harmadik negyedévre. A Ryuk-fertőzések számának növekedése olyan mértékű volt, hogy az MS-ISAC júliusban kétszer annyi fertőzést észlelt, mint az év első felében. Csak a harmadik negyedévben az MS-ISAC 14 államban figyelt meg Ryuk-aktivitást.
Miről van szó
A Ryuk egy olyan típusú kripto-ransomware, amely titkosítással blokkolja a rendszerhez, eszközhöz vagy fájlhoz való hozzáférést a váltságdíj kifizetéséig. A Ryuk-ot gyakran más rosszindulatú szoftverek – leginkább a TrickBot – dobják be a rendszerbe (a múlt negyedévben a Negyedév Fenyegetése címben szerepelt), vagy távoli asztali szolgáltatásokon keresztül jut be a rendszerbe. A Ryuk Bitcoin kriptopénzzel követeli a fizetséget, és arra utasítja az áldozatokat, hogy a váltságdíjat egy meghatározott Bitcoin-pénztárcába fizessék be. A váltságdíjkövetelés jellemzően 15-50 bitcoin között van, ami az árfolyam-átváltástól függően nagyjából 100 000-500 000 dollárnak felel meg. A Ryuk a rendszerre kerülve a PsExec vagy a csoportházirend segítségével terjed a hálózaton keresztül, és megpróbál minél több végpontot és szervert megfertőzni. Ezután a kártevő megkezdi a titkosítási folyamatot, kifejezetten a biztonsági mentéseket veszi célba, és a legtöbb esetben sikeresen titkosítja azokat.
A Ryuk gyakran az utolsó darab kártevő, amelyet egy olyan fertőzési ciklusban dobnak le, amely az Emotet vagy a TrickBot segítségével kezdődik. A többszörös rosszindulatú fertőzések nagymértékben megnehezíthetik a helyreállítás folyamatát. Az MS-ISAC megfigyelte az olyan esetek növekedését, amikor az Emotet vagy a TrickBot a kezdeti fertőzés, és több rosszindulatú programváltozat kerül a rendszerbe, a végeredmény pedig a Ryuk fertőzés. Az MS-ISAC például nemrégiben segített egy olyan incidensben, ahol a TrickBot sikeresen hatástalanította a szervezet végpontok vírusirtó alkalmazását, elterjedt a hálózaton, és végül több száz végpontot és több szervert fertőzött meg. Mivel a TrickBot egy banki trójai, a Ryuk zsarolóvírus fertőzést megelőzően valószínűleg pénzügyi számlainformációkat gyűjtött és szivárogtatott ki a fertőzött rendszereken. A Ryuk-ot az egész hálózaton keresztül dobta le, titkosítva a szervezet adatait és biztonsági mentéseit, váltságdíjfizetési feljegyzéseket hagyva a gépeken.
How it Works
A Ryuk elsősorban más kártevők által terjed, amelyek egy meglévő fertőzött rendszerre dobják rá. A dropper megtalálása egy rendszeren elemzés céljából nehézkes, mivel a fő payload a kezdeti végrehajtás után törli azt. A dropper létrehoz egy fájlt a hasznos teher mentéséhez; ha azonban a fájl létrehozása nem sikerül, akkor a dropper megpróbálja a saját könyvtárába írni. A dropper a zsarolóprogram 32 és 64 bites moduljait tartalmazza. A fájl létrehozása után a dropper ellenőrzi, hogy milyen folyamat fut éppen, és beírja a megfelelő modult (32 vagy 64 bites).
A fő hasznos teher végrehajtását és a dropper törlését követően a kártevő megpróbálja leállítani a vírusirtó és malware-ellenes folyamatokat és szolgáltatásokat. Egy előre beállított listát használ, amely több mint 40 folyamatot és 180 szolgáltatást képes megölni a taskkill és netstop parancsok segítségével. Ez az előre beállított lista vírusvédelmi folyamatokból, biztonsági mentésekből, adatbázisokból és dokumentumszerkesztő szoftverekből áll.
A fő hasznos teher emellett felelős a rendszerleíró adatbázisban való megmaradás növeléséért és rosszindulatú hasznos terhek bejuttatásáért több folyamatba, például a távoli folyamatba. A folyamatbefecskendezés lehetővé teszi a kártevő számára, hogy hozzáférjen a kötetárnyékszolgáltatáshoz, és törölje az összes árnyékmásolatot, beleértve a harmadik féltől származó alkalmazások által használtakat is. A legtöbb zsarolóprogram ugyanezt vagy hasonló technikát használ az árnyékmásolatok törlésére, de nem törli a harmadik féltől származó alkalmazások által készített árnyékmásolatokat. A Ryuk ezt a kötetárnyékszolgáltatás tárolójának átméretezésével éri el. A méretváltoztatás után a rosszindulatú szoftver kikényszerítheti a harmadik féltől származó alkalmazások árnyékmásolatainak törlését. Ezek a technikák jelentősen megnehezítik a kárenyhítési folyamatot, mivel akadályozzák a szervezetet abban, hogy visszaállítsa a rendszereket a fertőzés előtti állapotba. Ezenkívül több olyan fájlt is megkeres és töröl, amelyek biztonsági mentéshez kapcsolódó kiterjesztéssel rendelkeznek, valamint minden olyan biztonsági másolatot, amely jelenleg a fertőzött géphez vagy hálózathoz kapcsolódik. Ezek az alkalmazott helyreállítás-ellenes eszközök meglehetősen kiterjedtek és kifinomultabbak, mint a zsarolóprogramok legtöbb típusa, így a helyreállítás szinte lehetetlenné válik, kivéve, ha külső biztonsági mentéseket ment és offline tárol.
A titkosításhoz a Ryuk az RSA és az AES titkosítási algoritmust használja három kulccsal. A kiberfenyegetettséget okozó szereplők (CTA-k) egy privát globális RSA kulcsot használnak modelljük alapjául. A második RSA-kulcsot a fő payloadon keresztül juttatják el a rendszerbe. Ez az RSA-kulcs már a CTA privát globális RSA-kulcsával van titkosítva. Amint a rosszindulatú program készen áll a titkosításra, az áldozat fájljaihoz létrehoznak egy AES kulcsot, és ezt a kulcsot a második RSA kulccsal titkosítják. A Ryuk ezután megkezdi a rendszer minden meghajtójának és hálózati megosztásának átvizsgálását és titkosítását. Végül létrehozza a “RyukReadMe.txt” nevű váltságdíjfizetési feljegyzést, és a rendszer minden mappájában elhelyezi.
Javaslatok
Az SLTT kormányoknak be kell tartaniuk a legjobb gyakorlatokat, például a CIS SecureSuite tagság részét képező CIS Controls-ban leírtakat. Az MS-ISAC azt ajánlja a szervezeteknek, hogy tartsák be az MS-ISAC Ransomware Security Primer című ajánlásainak teljes listáját, hogy korlátozzák a Ryuk zsarolóprogram hatását és kockázatát a szervezetükre nézve
.