Przez cały 2019 r. podmioty rządowe stanowe, lokalne, plemienne i terytorialne (SLTT) coraz częściej napotykają ataki ransomware skutkujące znacznymi przestojami sieci, opóźnieniami w świadczeniu usług dla wyborców oraz kosztownymi działaniami naprawczymi. Obecnie, ransomware Ryuk jest jednym z najbardziej rozpowszechnionych wariantów w krajobrazie zagrożeń SLTT, a liczba infekcji podwoiła się z drugiego do trzeciego kwartału tego roku. Wzrost liczby infekcji Ryuk był tak duży, że MS-ISAC odnotował dwukrotnie więcej infekcji w lipcu w porównaniu z pierwszą połową roku. W samym trzecim kwartale MS-ISAC zaobserwował aktywność Ryuka w 14 stanach.
Co to jest
Ryuk to rodzaj oprogramowania kryptograficznego, które wykorzystuje szyfrowanie w celu zablokowania dostępu do systemu, urządzenia lub pliku do momentu zapłacenia okupu. Ryuk jest często umieszczany w systemie przez inne złośliwe oprogramowanie, w szczególności TrickBota (opisanego jako Zagrożenie Kwartału w zeszłym numerze) lub uzyskuje dostęp do systemu za pośrednictwem Usług pulpitu zdalnego. Ryuk żąda zapłaty za pośrednictwem kryptowaluty Bitcoin i kieruje ofiary do zdeponowania okupu w określonym portfelu Bitcoin. Żądanie okupu wynosi zazwyczaj od 15 do 50 Bitcoinów, co w przybliżeniu stanowi 100 000 – 500 000 dolarów, w zależności od przelicznika cen. Po zainstalowaniu w systemie Ryuk rozprzestrzenia się w sieci za pomocą PsExec lub Group Policy, próbując zainfekować jak najwięcej punktów końcowych i serwerów. Następnie złośliwe oprogramowanie rozpocznie proces szyfrowania, celując w szczególności w kopie zapasowe i szyfrując je z powodzeniem w większości przypadków.
Ryuk jest często ostatnim elementem złośliwego oprogramowania w cyklu infekcji, który rozpoczyna się od Emoteta lub TrickBota. Wielokrotne infekcje złośliwym oprogramowaniem mogą znacznie skomplikować proces usuwania skutków infekcji. MS-ISAC zaobserwował wzrost liczby przypadków, w których Emotet lub TrickBot są infekcjami początkowymi, a następnie na system zrzucanych jest wiele wariantów złośliwego oprogramowania, czego efektem końcowym jest infekcja Ryuk. Na przykład, MS-ISAC pomagał ostatnio w incydencie, w którym TrickBot skutecznie wyłączył aplikację antywirusową punktu końcowego organizacji, rozprzestrzenił się w całej sieci, a następnie zainfekował setki punktów końcowych i wiele serwerów. Ponieważ TrickBot jest trojanem bankowym, przed zainfekowaniem Ryuk ransomware prawdopodobnie zbierał i przenosił informacje o kontach finansowych w zainfekowanych systemach. Ryuk został zrzucony w całej sieci, szyfrując dane organizacji i kopie zapasowe, pozostawiając na maszynach notatki z żądaniem okupu.
Jak to działa
Ryuk rozprzestrzenia się głównie poprzez inne złośliwe oprogramowanie zrzucające go na istniejący zainfekowany system. Znalezienie droppera w systemie w celu analizy jest trudne ze względu na fakt, że główny payload usuwa go po pierwszym wykonaniu. Dropper tworzy plik, do którego ma zostać zapisany payload; jeśli jednak tworzenie pliku nie powiedzie się, dropper spróbuje zapisać go we własnym katalogu. Dropper zawiera 32 i 64 bitowe moduły ransomware. Po utworzeniu pliku dropper sprawdza, jaki proces jest aktualnie uruchomiony i zapisuje odpowiedni moduł (32 lub 64 bitowy).
Po wykonaniu głównego payloadu i usunięciu droppera, złośliwe oprogramowanie próbuje zatrzymać procesy i usługi antywirusowe i antymalware. Używa wstępnie skonfigurowanej listy, która może zabić ponad 40 procesów i 180 usług za pomocą poleceń taskkill i netstop. Ta wstępnie skonfigurowana lista składa się z procesów antywirusowych, kopii zapasowych, baz danych i programów do edycji dokumentów.
Dodatkowo, główny payload jest odpowiedzialny za zwiększenie trwałości w rejestrze i wstrzykiwanie złośliwego payloadu do kilku procesów, takich jak proces zdalny. Wstrzyknięcie procesu pozwala złośliwemu oprogramowaniu uzyskać dostęp do usługi cieniowania woluminów i usunąć wszystkie kopie cieni, w tym te używane przez aplikacje innych firm. Większość ransomware wykorzystuje te same lub podobne techniki do usuwania kopii cieni, ale nie usuwa tych, które są wykorzystywane przez aplikacje innych firm. Ryuk osiąga to poprzez zmianę rozmiaru pamięci masowej usługi cieniowania woluminów. Po zmianie rozmiaru, złośliwe oprogramowanie może wymusić usunięcie kopii cieni aplikacji innych firm. Techniki te znacznie komplikują proces łagodzenia skutków ataków, ponieważ utrudniają organizacji przywrócenie systemów do stanu sprzed infekcji. Co więcej, atakuje i usuwa wiele plików, które mają rozszerzenia związane z kopiami zapasowymi oraz wszelkie kopie zapasowe, które są aktualnie podłączone do zainfekowanego komputera lub sieci. Te narzędzia antyodzyskiwania są dość obszerne i bardziej wyrafinowane niż większość typów ransomware, czyniąc odzyskiwanie prawie niemożliwym, chyba że zewnętrzne kopie zapasowe są zapisywane i przechowywane w trybie offline.
Do szyfrowania Ryuk wykorzystuje algorytmy szyfrowania RSA i AES z trzema kluczami. Aktorzy cyberzagrożeń (CTA) używają prywatnego globalnego klucza RSA jako podstawy swojego modelu. Drugi klucz RSA jest dostarczany do systemu za pośrednictwem głównego ładunku użytecznego. Ten klucz RSA jest już zaszyfrowany prywatnym globalnym kluczem RSA należącym do CTA. Gdy złośliwe oprogramowanie jest już gotowe do szyfrowania, tworzony jest klucz AES dla plików ofiary, który jest szyfrowany drugim kluczem RSA. Następnie Ryuk rozpoczyna skanowanie i szyfrowanie każdego dysku i udziału sieciowego w systemie. Na koniec tworzy notatkę z żądaniem okupu „RyukReadMe.txt” i umieszcza ją w każdym folderze w systemie.
Zalecenia
Rządy państw SLT powinny stosować się do najlepszych praktyk, takich jak te opisane w CIS Controls, które są częścią członkostwa w CIS SecureSuite. MS-ISAC zaleca organizacjom przestrzeganie pełnej listy zaleceń w dokumencie MS-ISAC Ransomware Security Primer, aby ograniczyć wpływ i ryzyko oprogramowania Ryuk ransomware dla organizacji
.