2019年を通して、州、地方、部族、および領土(SLTT)の政府機関は、ランサムウェア攻撃にますます遭遇し、ネットワークの大幅なダウンタイム、有権者へのサービスの遅延、およびコストのかかる修復作業をもたらしています。 現在、Ryukランサムウェアは、SLTTの脅威の中で最も流行している亜種の1つであり、その感染数は、今年の第2四半期から第3四半期にかけて倍増しています。 Ryuk感染の増加は非常に大きく、MS-ISACでは、7月に上半期の2倍の感染数を確認しました。 第3四半期だけで、MS-ISAC は 14 州にわたって Ryuk の活動を観察しました。
その正体
Ryukは暗号化ランサムウェアの一種で、身代金が支払われるまでシステム、デバイス、ファイルへのアクセスを暗号化によってブロックするものです。 Ryuk は、他のマルウェア、特に TrickBot (前四半期の Threat of the Quarter で紹介) によってシステムに落とされたり、リモート・デスクトップ・サービスを介してシステムにアクセスされたりすることがよくあります。 Ryukは、暗号通貨Bitcoinを介して支払いを要求し、被害者に特定のBitcoinウォレットに身代金を入金するように指示します。 身代金の要求額は、通常15~50ビットコインで、価格換算するとおよそ10万~50万ドルに相当します。 システムに侵入したRyukは、PsExecやグループ・ポリシーを使用してネットワーク上に拡散し、できるだけ多くのエンドポイントやサーバーに感染させようとします。 その後、このマルウェアは暗号化プロセスを開始し、特にバックアップをターゲットにして、ほとんどの場合、暗号化に成功します。
Ryuk は、Emotet または TrickBot で始まる感染サイクルの最後の部分であることがよくあります。 複数のマルウェアに感染していると、修復のプロセスが非常に複雑になる可能性があります。 MS-ISACでは、EmotetまたはTrickBotが最初の感染源となり、複数のマルウェアの亜種がシステム上にドロップされ、最終的にRyukに感染するケースが増加していることを確認しています。 例えば、MS-ISAC は最近、TrickBot が組織のエンドポイント アンチウイルス アプリケーションの無効化に成功し、ネットワーク全体に広がって、最終的に数百のエンドポイントと複数のサーバーに感染するケースを支援しました。 TrickBotはバンキング型トロイの木馬であるため、Ryukランサムウェアに感染する前に、感染したシステム上の金融口座情報を取得し、流出させた可能性が高いです。 Ryuk は、ネットワーク全体に感染し、組織のデータとバックアップを暗号化し、マシン上に身代金のメモを残しました。
仕組み
Ryukは、主に他のマルウェアによって既存の感染システム上に感染させられることで広がります。 主なペイロードが最初の実行後に削除されるため、分析のためにシステム上のドロッパーを見つけることは困難です。 ドロッパーは、ペイロードを保存するためのファイルを作成しますが、ファイルの作成に失敗した場合、ドロッパーは、自身のディレクトリにそれを書き込もうとします。 ドロッパーには、ランサムウェアの32ビットおよび64ビットモジュールが含まれています。 ファイルが作成されると、ドロッパーは現在実行中のプロセスを確認し、適切なモジュール (32 ビットまたは 64 ビット) を書き込みます。
メイン ペイロードの実行およびドロッパーの削除後、マルウェアはアンチウイルスおよびアンチマルウェア関連のプロセスおよびサービスを停止しようと試みます。 これは、taskkill および netstop コマンドを通じて 40 以上のプロセスおよび 180 以上のサービスを停止させることができる事前設定されたリストを使用します。 この事前設定されたリストは、アンチウイルス プロセス、バックアップ、データベース、およびドキュメント編集ソフトウェアで構成されています。
さらに、メイン ペイロードは、レジストリ内の持続性を高め、リモート プロセスなど、複数のプロセスに悪意のあるペイロードを注入する役割を担っています。 このプロセス注入により、マルウェアはボリュームシャドウサービスにアクセスし、サードパーティ製アプリケーションによって使用されるものを含む、すべてのシャドウコピーを削除することができます。 ほとんどのランサムウェアは、同じ、または類似の技術を使用してシャドウコピーを削除しますが、サードパーティアプリケーションからのものは削除しません。 Ryukは、ボリュームシャドウサービスのストレージをリサイズすることでこれを実現します。 サイズが変更されると、このマルウェアは、サードパーティ製アプリケーションのシャドウコピーを強制的に削除することができるようになります。 これらのテクニックは、システムを感染前の状態に復元する組織の能力を妨げるため、ミティゲーションプロセスを大幅に複雑化します。 さらに、バックアップ関連の拡張子を持つ複数のファイルや、感染したマシンやネットワークに現在接続されているバックアップを追跡して削除します。 使用されるこれらの復元防止ツールは、他の種類のランサムウェアよりもかなり広範囲で洗練されており、外部バックアップを保存してオフラインで保存しない限り、復元はほぼ不可能です。
暗号化については、Ryuk は 3 つのキーで RSA および AES 暗号化アルゴリズムを使用しています。 サイバー脅威行為者(CTA)は、プライベートなグローバルRSAキーをモデルのベースとして使用します。 2つ目のRSA鍵は、メインペイロードを介してシステムに配信されます。 このRSA鍵は、すでにCTAのプライベートなグローバルRSA鍵で暗号化されています。 マルウェアの暗号化の準備が整うと、被害者のファイル用にAESキーが作成され、このキーは2つ目のRSAキーで暗号化されます。 その後、Ryukはシステム上のすべてのドライブとネットワーク共有のスキャンと暗号化を開始します。 最後に、身代金要求のメモ「RyukReadMe.txt」を作成し、システム上のすべてのフォルダに配置します。
推奨事項
SLTT 政府は、CIS SecureSuite Membership の一部である CIS Controls に記載されているようなベスト プラクティスを順守する必要があります。 MS-ISAC は、Ryuk ランサムウェアの組織への影響とリスクを抑えるために、MS-ISAC Ransomware Security Primer の推奨事項の全リストを遵守するよう組織に推奨しています
。