In heel 2019 krijgen overheidsinstanties op staatsniveau steeds vaker te maken met ransomware-aanvallen die leiden tot aanzienlijke netwerkdowntime, vertraagde dienstverlening aan burgers en kostbare herstelwerkzaamheden. Momenteel is Ryuk ransomware een van de meest voorkomende varianten in het SLTT-bedreigingslandschap, met infecties die zijn verdubbeld van het tweede naar het derde kwartaal van het jaar. De toename van het aantal Ryuk-infecties was zo groot dat de MS-ISAC in juli twee keer zo veel infecties zag als in de eerste helft van het jaar. Alleen al in het derde kwartaal nam de MS-ISAC Ryuk-activiteit waar in 14 staten.
Wat het is
Ryuk is een soort crypto-ransomware die encryptie gebruikt om de toegang tot een systeem, apparaat of bestand te blokkeren totdat er losgeld wordt betaald. Ryuk wordt vaak op een systeem geplaatst door andere malware, met name TrickBot (in het Kwartaalbericht Bedreiging van het Kwartaal van vorig kwartaal) of krijgt toegang tot een systeem via Remote Desktop Services. Ryuk eist betaling via de cryptocurrency Bitcoin en vraagt slachtoffers het losgeld te storten in een specifieke Bitcoin-portemonnee. De eis voor het losgeld ligt meestal tussen de 15-50 Bitcoins, wat ruwweg neerkomt op $100.000-$500.000, afhankelijk van de prijsomrekening. Eenmaal op een systeem, zal Ryuk zich door het netwerk verspreiden door gebruik te maken van PsExec of Groepsbeleid om zoveel mogelijk eindpunten en servers te infecteren. Daarna begint de malware met het versleutelingsproces, specifiek gericht op back-ups, en versleutelt deze in de meeste gevallen met succes.
Ryuk is vaak het laatste stukje malware dat wordt gedropt in een infectiecyclus die begint met Emotet of TrickBot. Meervoudige malware-infecties kunnen het saneringsproces aanzienlijk bemoeilijken. De MS-ISAC heeft een toename vastgesteld van gevallen waarin Emotet of TrickBot de initiële infecties zijn en meerdere malwarevarianten op het systeem worden gedumpt met als eindresultaat een Ryuk-infectie. Zo heeft de MS-ISAC onlangs assistentie verleend bij een incident waarbij TrickBot met succes de endpoint-antivirustoepassing van de organisatie had uitgeschakeld, zich over het netwerk had verspreid en uiteindelijk honderden endpoints en meerdere servers had geïnfecteerd. Aangezien TrickBot een banktrojan is, heeft het waarschijnlijk financiële rekeninggegevens verzameld en geexfiltreerd op de geïnfecteerde systemen voordat het de Ryuk ransomware-infectie dropte. Ryuk werd door het hele netwerk verspreid, versleutelde de gegevens en back-ups van de organisatie en liet losgeldbriefjes achter op de machines.
Hoe het werkt
Ryuk wordt voornamelijk verspreid via andere malware die het op een bestaand geïnfecteerd systeem laat vallen. Het vinden van de dropper op een systeem voor analyse is moeilijk door het feit dat de hoofd payload het verwijdert na de initiële uitvoering. De dropper maakt een bestand aan waarin de payload wordt opgeslagen; als het aanmaken van het bestand echter mislukt, probeert de dropper het in zijn eigen directory te schrijven. De dropper bevat 32 en 64 bit modules van de ransomware. Zodra het bestand is aangemaakt controleert de dropper welk proces op dat moment draait en schrijft de juiste module (32 of 64 bit) in.
Na het uitvoeren van de hoofd payload en het verwijderen van de dropper, probeert de malware antivirus en antimalware gerelateerde processen en services te stoppen. Het gebruikt een voorgeconfigureerde lijst die meer dan 40 processen en 180 diensten kan doden door middel van taskkill en netstop commando’s. Deze voorgeconfigureerde lijst bestaat uit antivirus processen, back-ups, databases en document editing software.
Daarnaast is de belangrijkste payload verantwoordelijk voor het vergroten van de persistentie in het register en het injecteren van kwaadaardige payloads in verschillende processen, zoals het remote proces. De procesinjectie stelt de malware in staat om toegang te krijgen tot de volume shadow service en alle schaduwkopieën te verwijderen, inclusief die welke worden gebruikt door applicaties van derden. De meeste ransomware gebruikt dezelfde of vergelijkbare technieken om schaduwkopieën te verwijderen, maar verwijdert niet die van toepassingen van derden. Ryuk bereikt dit door de grootte van de opslagruimte van de volume shadow service aan te passen. Eenmaal verkleind, kan de malware het verwijderen van schaduwkopieën van applicaties van derden forceren. Deze technieken bemoeilijken het schadebeperkingsproces aanzienlijk, omdat ze het voor een organisatie moeilijker maken om systemen te herstellen naar de staat van vóór de infectie. Bovendien gaat het achter meerdere bestanden aan die extensies hebben die betrekking hebben op back-ups en alle back-ups die op dat moment verbonden zijn met de geïnfecteerde machine of het geïnfecteerde netwerk, en verwijdert deze. De gebruikte anti-hersteltools zijn vrij uitgebreid en geavanceerder dan de meeste soorten ransomware, waardoor herstel vrijwel onmogelijk is, tenzij externe back-ups worden opgeslagen en offline worden bewaard.
Voor encryptie gebruikt Ryuk de RSA- en AES-encryptiealgoritmen met drie sleutels. De cyberdreigingsactoren (CTA’s) gebruiken een globale particuliere RSA-sleutel als basis van hun model. De tweede RSA-sleutel wordt via de hoofdlading aan het systeem geleverd. Deze RSA-sleutel is al versleuteld met de algemene private RSA-sleutel van de CTA. Zodra de malware klaar is voor versleuteling, wordt een AES-sleutel aangemaakt voor de bestanden van het slachtoffer en wordt deze sleutel versleuteld met de tweede RSA-sleutel. Ryuk begint dan met het scannen en versleutelen van elk station en netwerkshare op het systeem. Tenslotte wordt de losgeldbrief, “RyukReadMe.txt”, aangemaakt en in elke map op het systeem geplaatst.
Aanbevelingen
SLTT-overheden moeten zich houden aan best practices, zoals die zijn beschreven in de CIS Controls, die deel uitmaken van het CIS SecureSuite-lidmaatschap. De MS-ISAC beveelt organisaties aan zich te houden aan de volledige lijst van aanbevelingen in de MS-ISAC Ransomware Security Primer, om het effect en het risico van Ryuk ransomware voor uw organisatie te beperken