Até 2019, entidades governamentais estaduais, locais, tribais e territoriais (SLTT) cada vez mais se deparam com ataques de resgate, o que resulta em tempo significativo de inatividade da rede, serviços atrasados para os constituintes e esforços dispendiosos de remediação. Atualmente, o Ryuk ransomware é uma das variantes mais prevalentes no cenário de ameaça do SLTT, com infecções dobrando do segundo para o terceiro trimestre do ano. O aumento das infecções por Ryuk foi tão grande que o MS-ISAC viu o dobro das infecções em julho, em comparação com a primeira metade do ano. Somente no terceiro trimestre, o MS-ISAC observou atividade de Ryuk em 14 estados.
O que é
Ryuk é um tipo de crypto-ransomware que usa criptografia para bloquear o acesso a um sistema, dispositivo, ou arquivo até que um resgate seja pago. Ryuk é frequentemente descartado em um sistema por outro malware, mais notadamente o TrickBot, (apresentado na Ameaça do Trimestre do último trimestre) ou ganha acesso a um sistema via Remote Desktop Services. Ryuk exige pagamento via Bitcoin cryptocurrency e direciona as vítimas a depositar o resgate em uma carteira Bitcoin específica. A demanda de resgate é tipicamente entre 15-50 Bitcoins, que é de aproximadamente $100.000-$500.000 dependendo da conversão do preço. Uma vez em um sistema, Ryuk se espalhará pela rede usando o PsExec ou a Política de Grupo, tentando infectar o maior número possível de endpoints e servidores. Então o malware começará o processo de criptografia, visando especificamente os backups, e criptografando-os com sucesso na maioria dos casos.
Ryuk é muitas vezes o último pedaço de malware que cai em um ciclo de infecção que começa com Emotet ou TrickBot. Várias infecções por malware podem complicar muito o processo de remediação. O MS-ISAC observou um aumento nos casos em que Emotet ou TrickBot são as infecções iniciais e múltiplas variantes de malware são lançadas no sistema com o resultado final sendo uma infecção por Ryuk. Por exemplo, o MS-ISAC recentemente auxiliou em um incidente no qual o TrickBot desabilitou com sucesso o aplicativo antivírus de endpoints da organização, espalhou-se por toda sua rede e acabou infectando centenas de endpoints e múltiplos servidores. Como o TrickBot é um trojan bancário, ele provavelmente colheu e exfiltrou informações de contas financeiras nos sistemas infectados antes de deixar cair a infecção pelo Ryuk ransomware. O Ryuk foi descartado por toda a rede, criptografando os dados e backups da organização, deixando notas de resgate nas máquinas.
Como funciona
Ryuk se espalha principalmente através de outro malware, deixando-o cair em um sistema infectado existente. Encontrar o conta-gotas em um sistema para análise é difícil devido ao fato de que a carga útil principal o apaga após a execução inicial. O conta-gotas cria um arquivo para a carga a ser salva; entretanto, se a criação do arquivo falhar, o conta-gotas tentará escrevê-lo em seu próprio diretório. O conta-gotas contém módulos de 32 e 64 bits do ransomware. Uma vez criado o arquivo, o conta-gotas então verifica que processo está sendo executado atualmente e escreve no módulo apropriado (32 ou 64 bits).
Seguir a execução da carga principal e a exclusão do conta-gotas, o malware tenta parar processos e serviços relacionados a antivírus e antimalware. Ele usa uma lista pré-configurada que pode matar mais de 40 processos e 180 serviços através dos comandos taskkill e netstop. Esta lista pré-configurada é composta por processos antivírus, backups, bases de dados e software de edição de documentos.
Adicionalmente, a carga útil principal é responsável por aumentar a persistência no registo e injectar cargas úteis maliciosas em vários processos, tais como o processo remoto. A injeção do processo permite que o malware ganhe acesso ao serviço de sombras de volume e exclua todas as cópias de sombras, incluindo aquelas usadas por aplicativos de terceiros. A maioria dos ransomwares usa as mesmas técnicas, ou técnicas semelhantes, para excluir cópias de sombra, mas não exclui as de aplicativos de terceiros. A Ryuk consegue isso ao redimensionar o armazenamento do serviço de sombras de volume. Uma vez redimensionado, o malware pode forçar a exclusão de cópias de sombra de aplicativos de terceiros. Essas técnicas complicam muito o processo de mitigação, pois dificultam a capacidade de uma organização de restaurar sistemas a um estado de pré-infecção. Além disso, ele irá atrás e excluirá vários arquivos que possuem extensões relacionadas a backups e quaisquer backups que estejam atualmente conectados à máquina ou rede infectada. Estas ferramentas anti-recuperação usadas são bastante extensas e mais sofisticadas que a maioria dos tipos de ransomware, tornando a recuperação quase impossível, a menos que os backups externos sejam salvos e armazenados offline.
Para criptografia, Ryuk usa os algoritmos de criptografia RSA e AES com três chaves. Os atores da ameaça cibernética (CTAs) usam uma chave RSA global privada como base do seu modelo. A segunda chave RSA é entregue ao sistema através da carga útil principal. Esta chave RSA já está criptografada com a chave RSA global privada do CTA. Uma vez que o malware esteja pronto para a criptografia, uma chave AES é criada para os arquivos da vítima e esta chave é criptografada com a segunda chave RSA. Ryuk então começa a verificar e criptografar cada unidade e compartilhamento de rede no sistema. Finalmente, ele cria a nota de resgate, “RyukReadMe.txt” e a coloca em todas as pastas do sistema.
Recomendations
SLTT governos devem aderir às melhores práticas, tais como as descritas nos Controles do CIS, que fazem parte do CIS SecureSuite Membership. O MS-ISAC recomenda que as organizações adiram à lista completa de recomendações do MS-ISAC Ransomware Security Primer, para limitar o efeito e o risco do Ryuk ransomware para sua organização