Under 2019 kommer statliga, lokala, stam- och territoriella myndigheter (SLTT) i allt högre grad att drabbas av ransomware-attacker som leder till betydande nätverksavbrott, försenade tjänster till väljare och kostsamma saneringsinsatser. För närvarande är Ryuk ransomware en av de mest utbredda varianterna i SLTT-hotlandskapet, med infektioner som fördubblats från andra till tredje kvartalet i år. Ökningen av Ryuk-infektioner var så stor att MS-ISAC såg dubbelt så många infektioner i juli jämfört med första halvåret. Bara under det tredje kvartalet observerade MS-ISAC Ryuk-aktivitet i 14 stater.
Vad det är
Ryuk är en typ av krypto-ransomware som använder kryptering för att blockera åtkomsten till ett system, en enhet eller en fil tills en lösensumma betalas. Ryuk släpps ofta på ett system av annan skadlig kod, framför allt TrickBot (som presenterades i förra kvartalets Threat of the Quarter), eller får tillgång till ett system via Remote Desktop Services. Ryuk kräver betalning via kryptovalutan Bitcoin och uppmanar offren att sätta in lösensumman i en specifik Bitcoin-plånbok. Lösenkravet är vanligtvis mellan 15-50 Bitcoins, vilket motsvarar ungefär 100 000-500 000 dollar beroende på prisomräkning. När Ryuk väl finns på ett system sprids den genom nätverket med hjälp av PsExec eller Group Policy och försöker infektera så många slutpunkter och servrar som möjligt. Därefter kommer det skadliga programmet att påbörja krypteringsprocessen, särskilt riktad mot säkerhetskopior och kryptera dem framgångsrikt i de flesta fall.
Ryuk är ofta den sista delen av det skadliga programmet som släpps i en infektionscykel som börjar med antingen Emotet eller TrickBot. Flera infektioner med skadlig kod kan kraftigt komplicera saneringsprocessen. MS-ISAC har observerat en ökning av fall där Emotet eller TrickBot är de första infektionerna och flera varianter av skadlig kod släpps in i systemet med Ryuk-infektion som slutresultat. MS-ISAC bistod till exempel nyligen vid en incident där TrickBot lyckades inaktivera organisationens antivirusprogram för slutpunkter, spred sig i nätverket och infekterade hundratals slutpunkter och flera servrar. Eftersom TrickBot är en banktrojan har den sannolikt samlat in och exfiltrerat finansiell kontoinformation från de infekterade systemen innan den släppte ut Ryuk ransomware-infektionen. Ryuk släpptes över hela nätverket och krypterade organisationens data och säkerhetskopior och lämnade lösensedlar på maskinerna.
Hur det fungerar
Ryuk sprids i första hand via annan skadlig kod som släpps på ett befintligt infekterat system. Att hitta dropparen på ett system för analys är svårt på grund av att den huvudsakliga nyttolasten raderar den efter den första exekveringen. Dropparen skapar en fil som nyttolasten ska sparas i. Om skapandet av filen misslyckas kommer dropparen dock att försöka skriva in den i sin egen katalog. Droppern innehåller 32 och 64 bitars moduler av utpressningstrojaner. När filen är skapad kontrollerar dropparen sedan vilken process som för närvarande körs och skriver in lämplig modul (32 eller 64 bitar).
Efter utförandet av den huvudsakliga nyttolasten och borttagandet av dropparen försöker skadlig kod att stoppa antivirus- och antimalware-relaterade processer och tjänster. Den använder en förkonfigurerad lista som kan döda mer än 40 processer och 180 tjänster genom kommandona taskkill och netstop. Denna förkonfigurerade lista består av antivirusprocesser, säkerhetskopior, databaser och dokumentredigeringsprogram.
Den huvudsakliga nyttolasten är dessutom ansvarig för att öka persistensen i registret och injicera skadliga nyttolaster i flera processer, t.ex. den fjärrstyrda processen. Processinjektionen gör det möjligt för skadlig kod att få tillgång till volymskuggningstjänsten och radera alla skuggkopior, inklusive de som används av program från tredje part. De flesta utpressningstrojaner använder samma eller liknande tekniker för att radera skuggkopior, men raderar inte dem från program från tredje part. Ryuk uppnår detta genom att ändra storleken på lagringsutrymmet för volymskuggningstjänsten. När storleken har ändrats kan det skadliga programmet tvinga fram radering av skuggkopior från tredjepartsapplikationer. Dessa tekniker komplicerar kraftigt begränsningsprocessen, eftersom de försvårar organisationens förmåga att återställa systemen till det tillstånd som rådde före infektionen. Dessutom kommer den att gå efter och radera flera filer som har backup-relaterade tillägg och alla backuper som för närvarande är anslutna till den infekterade maskinen eller nätverket. Dessa antiåterställningsverktyg som används är ganska omfattande och mer sofistikerade än de flesta typer av utpressningstrojaner, vilket gör återställning nästan omöjlig om inte externa säkerhetskopior sparas och lagras offline.
För kryptering använder Ryuk krypteringsalgoritmerna RSA och AES med tre nycklar. Aktörerna för cyberhot (CTA) använder en privat global RSA-nyckel som bas för sin modell. Den andra RSA-nyckeln levereras till systemet via den huvudsakliga nyttolasten. Denna RSA-nyckel är redan krypterad med CTA:s privata globala RSA-nyckel. När det skadliga programmet är redo för kryptering skapas en AES-nyckel för offrets filer och denna nyckel krypteras med den andra RSA-nyckeln. Ryuk börjar sedan skanna och kryptera varje enhet och nätverksdelning i systemet. Slutligen skapas lösensumman ”RyukReadMe.txt” och placeras i varje mapp i systemet.
Rekommendationer
SLTT-regeringar bör följa bästa praxis, t.ex. de som beskrivs i CIS Controls, som är en del av medlemskapet i CIS SecureSuite. MS-ISAC rekommenderar organisationer att följa hela listan med rekommendationer i MS-ISAC Ransomware Security Primer, för att begränsa effekten och risken med Ryuk Ransomware för din organisation
.