Per tutto il 2019, gli enti governativi statali, locali, tribali e territoriali (SLTT) incontrano sempre più spesso attacchi ransomware che comportano tempi di inattività della rete significativi, servizi in ritardo per gli elettori e costosi sforzi di rimedio. Attualmente, il ransomware Ryuk è una delle varianti più prevalenti nel panorama delle minacce SLTT, con infezioni raddoppiate dal secondo al terzo trimestre dell’anno. L’aumento delle infezioni di Ryuk è stato così grande che il MS-ISAC ha visto il doppio delle infezioni in luglio rispetto alla prima metà dell’anno. Solo nel terzo trimestre, il MS-ISAC ha osservato l’attività di Ryuk in 14 stati.
Cos’è
Ryuk è un tipo di crypto-ransomware che utilizza la crittografia per bloccare l’accesso a un sistema, dispositivo o file fino a quando non viene pagato un riscatto. Ryuk è spesso lasciato cadere su un sistema da altri malware, in particolare TrickBot, (descritto nella minaccia del trimestre scorso) o ottiene l’accesso a un sistema tramite Remote Desktop Services. Ryuk richiede il pagamento tramite criptovaluta Bitcoin e indirizza le vittime a depositare il riscatto in un portafoglio Bitcoin specifico. La richiesta di riscatto è tipicamente tra 15-50 Bitcoin, che è approssimativamente $100.000-$500.000 a seconda della conversione del prezzo. Una volta su un sistema, Ryuk si diffonde attraverso la rete usando PsExec o Group Policy cercando di infettare quanti più endpoint e server possibile. Poi il malware inizierà il processo di crittografia, in particolare prendendo di mira i backup, e crittografandoli con successo nella maggior parte dei casi.
Ryuk è spesso l’ultimo pezzo di malware lanciato in un ciclo di infezione che inizia con Emotet o TrickBot. Infezioni multiple di malware possono complicare notevolmente il processo di bonifica. La MS-ISAC ha osservato un aumento dei casi in cui Emotet o TrickBot sono le infezioni iniziali e più varianti di malware vengono rilasciate sul sistema con il risultato finale di un’infezione Ryuk. Per esempio, il MS-ISAC ha recentemente assistito a un incidente in cui TrickBot ha disabilitato con successo l’applicazione antivirus dell’endpoint dell’organizzazione, si è diffuso nella loro rete e ha finito per infettare centinaia di endpoint e più server. Poiché TrickBot è un trojan bancario, probabilmente ha raccolto ed esfiltrato informazioni finanziarie sui sistemi infetti prima di rilasciare l’infezione Ryuk ransomware. Ryuk è stato diffuso in tutta la rete, criptando i dati e i backup dell’organizzazione, lasciando le note di riscatto sulle macchine.
Come funziona
Ryuk si diffonde principalmente tramite altri malware che lo fanno cadere su un sistema infetto esistente. Trovare il dropper su un sistema per l’analisi è difficile a causa del fatto che il payload principale lo cancella dopo l’esecuzione iniziale. Il dropper crea un file in cui salvare il payload; tuttavia, se la creazione del file fallisce, il dropper cercherà di scriverlo nella propria directory. Il dropper contiene moduli a 32 e 64 bit del ransomware. Una volta creato il file, il dropper controlla quale processo è attualmente in esecuzione e scrive il modulo appropriato (32 o 64 bit).
Dopo l’esecuzione del payload principale e l’eliminazione del dropper, il malware tenta di fermare i processi e i servizi antivirus e antimalware. Utilizza una lista preconfigurata che può uccidere più di 40 processi e 180 servizi attraverso i comandi taskkill e netstop. Questa lista preconfigurata è composta da processi antivirus, backup, database e software di editing dei documenti.
Inoltre, il payload principale è responsabile dell’aumento della persistenza nel registro e dell’iniezione di payload dannosi in diversi processi, come il processo remoto. L’iniezione del processo permette al malware di ottenere l’accesso al servizio volume shadow ed eliminare tutte le copie shadow, comprese quelle utilizzate dalle applicazioni di terze parti. La maggior parte dei ransomware utilizza le stesse tecniche, o simili, per eliminare le copie shadow, ma non elimina quelle delle applicazioni di terze parti. Ryuk ottiene questo risultato ridimensionando l’archiviazione del servizio ombra del volume. Una volta ridimensionato, il malware può forzare l’eliminazione delle copie shadow delle applicazioni di terze parti. Queste tecniche complicano notevolmente il processo di mitigazione, in quanto ostacolano la capacità di un’organizzazione di ripristinare i sistemi allo stato precedente all’infezione. Inoltre, cercherà ed eliminerà più file che hanno estensioni relative al backup e qualsiasi backup che è attualmente collegato alla macchina o alla rete infetta. Questi strumenti anti-recupero utilizzati sono abbastanza estesi e più sofisticati rispetto alla maggior parte dei tipi di ransomware, rendendo il recupero quasi impossibile a meno che i backup esterni siano salvati e conservati offline.
Per la crittografia, Ryuk utilizza gli algoritmi di crittografia RSA e AES con tre chiavi. Gli attori delle minacce informatiche (CTA) utilizzano una chiave RSA globale privata come base del loro modello. La seconda chiave RSA viene consegnata al sistema attraverso il payload principale. Questa chiave RSA è già criptata con la chiave RSA globale privata del CTA. Una volta che il malware è pronto per la crittografia, viene creata una chiave AES per i file della vittima e questa chiave viene criptata con la seconda chiave RSA. Ryuk inizia quindi la scansione e la crittografia di ogni unità e condivisione di rete sul sistema. Infine, creerà la nota di riscatto, “RyukReadMe.txt” e la collocherà in ogni cartella del sistema.
Raccomandazioni
I governi SLTT dovrebbero aderire alle migliori pratiche, come quelle descritte nei controlli CIS, che fanno parte della CIS SecureSuite Membership. Il MS-ISAC raccomanda alle organizzazioni di aderire all’elenco completo delle raccomandazioni contenute nel MS-ISAC Ransomware Security Primer, per limitare l’effetto e il rischio del ransomware Ryuk alla propria organizzazione
.