Ransomware Ryuk pod lupou

by | Zář 1, 2021 | Cyber wiki, Druhy hrozeb | 0 comments

Útoky ransomwaru Ryuk se zaměřují na osoby, které si útočníci vytipují a předpokládají, že spíš podlehnou nátlaku a zaplatí výkupné. Ransomware je často spárován s dalším malwarem, jako například TrickBot.

Co je Ryuk ransomware?

Ryuk je sofistikovaná forma ransomwaru, která od roku 2018 útočí na podniky, nemocnice, vládní instituce a další organizace. Skupina stojící za tímto malwarem je známá tím, že používá techniky manuálního hackingu a open-source nástroje k laterálnímu pohybu v privátních sítích. Cílem je získání administrátorského přístupu k co největšímu počtu systémů před zahájením šifrování souborů.

Historie a úspěchy

První záznam o výskytu Ryuku se poprvé objevil v srpnu 2018. Jeho původ vychází ze staršího ransomwaru Hermes, který se v roce 2017 prodával na darkwebu. Hermes byl použit státem podporovanou hackerskou skupinou ze Severní Koreje Lazarus Group při útoku na tchajwanskou Far Eastern International Bank (FEIB) v říjnu 2017.

Část expertů předpokládala, že Hermes i Ryuk vytvořili severokorejští hackeři. Tvrzení později rozporovalo několik bezpečnostních společností, které tvorbu Ryuku přisuzují rusky mluvícímu gangu. Skupina údajně získala přístup k Hermesu, stejně jako to pravděpodobně udělal Lazarus. Bezpečnostní experti pojmenovali gang jako Wizard Spider nebo Grim Spider a podle nich se jedná o stejnou skupinu, provozující TrickBot (mnohem starší typ trojanu). Jiní výzkumníci se domnívají, že Ryuk je výtvorem původního autora/autorů programu Hermes působících pod značkou CryptoTech. Ti po vývoji vylepšené verze jednoduše přestali Hermes veřejně prodávat.

Ryuk od svých obětí požaduje vyšší výkupné než jiné ransomwarové gangy. Částky výkupného se obvykle pohybují mezi 15 a 50 BTC (pozn. 715 000 a 2 400 000 USD při současném kurzu), ačkoli údajně byly zaplaceny i vyšší částky.  Útočníci praktikují strategii “Big-game hunting”, která spočívá v zacílení na velké organizace s kritickými aktivy, u nichž je vyšší pravděpodobnost zaplacení vyššího výkupného. Bohužel musíme podotknout, že Ryuk slaví se strategií značný úspěch.

V prezentaci na konferenci RSA 2020 Joel DeCapua, zvláštní agent z oddělení FBI pro globální operace, uvedl, že součet zaplaceného výkupného za roky 2013 až 2019 činí zhruba 144,35 mil. USD v bitcoinech. Údaje navíc nezahrnují platby výkupného v jiných kryptoměnách. Gangu Ryuk se podařilo získat 61,26 mil. USD, což je téměř třikrát více než získala Crysis/Dharma, druhý nejúspěšnější gang na DeCapuově seznamu.

Modus operandi

Ryuk se téměř výhradně šíří prostřednictvím TrickBotu nebo následuje po infekci trojským koněm. Ne všechny infekce TrickBotem však vedou k Ryuku. Pokud se tak stane, k nasazení Ryuku dochází několik týdnů poté, co se TrickBot poprvé objeví v síti. Útočníci používají data shromážděná TrickBotem k identifikaci potenciálně cenných sítí pro Ryuk.

Po výběru cíle následuje manuální hacking zahrnující průzkum sítě a laterální pohyb s cílem získat přístup k co největšímu počtu systémů. Tím je zajištěno, že po nasazení Ryuku dojde k rychlému a rozsáhlému poškození celé sítě, což organizaci spíše donutí k zaplacení výkupného.

Microsoft označuje Ryuk jako ransomware útok řízený člověkem, kdy gangy používají vysoce cílené a těžko detekovatelné techniky. Podobné techniky byly v minulosti spojovány především se skupinami APT (advanced persistent threat). Útočníci využívají open-source nástroje a existující nástroje pro správu systému, aby se vyhnuly detekci (technika známá jako “living off the land”).

Po infekci TrickBotem a identifikaci cíle jsou nasazeny post-exploatační rámce, jako je Cobalt Strike nebo PowerShell Empire. Ty umožňují provádět akce na zařízení, aniž by na sebe upoutaly pozornost. PowerShell je skriptovací jazyk určený pro správu systému, který využívá rozhraní API Windows Management Instrumentation (WMI) a je ve výchozím nastavení v počítačích se systémem Windows. Jeho výkonné funkce a široká dostupnost z něj učinily oblíbenou volbu hackerů.

Dalším open-source nástrojem je LaZagne, kterí slouží ke krádeži pověření uložených v napadených počítačích. Nástroj BloodHound umožňuje testovat a analyzovat vektory průniku a tím odhalit potenciálně zneužitelné vztahy existující v prostředí Active Directory. Konečným cílem je identifikovat řadiče domény a získat k nim administrátorský přístup, čímž ovládnou celou síť.

“Během vyšetřování jsme zjistili, že k aktivaci [Ryuku] dochází na různě starých verzích TrickBotu. To naznačuje, že lidi stojící za Ryukem mají pravděpodobně seznam kontrolních bodů a cílů pro nasazení ransomwaru,” uvedl Microsoft ve své analýze. “V mnoha případech aktivační fáze přichází až dlouho po počáteční infekci TrickBotem a k nasazení ransomwaru může dojít několik týdnů nebo dokonce měsíců po počáteční infekci.”

TrickBot zůstává jedním z nejčastěji používaných trojanů a je šířen prostřednictvím spamových e-mailů a pomocí programu Emotet. Vztahy mezi programy Ryuk, TrickBot a Emotet zůstávají nejisté. Emotet se stal často používanou platformu pro distribuci malwaru. Předpokládá se, že TrickBot se řídí modelem “Malware-as-a-Service” (MaaS). Podle nedávné zprávy společnosti Intel 471, zabývající se kybernetickou kriminalitou, je k dispozici pouze relativně malému počtu špičkových kyberzločinců.

Poustup zašifrování

Kódová báze Ryuk se postupem času odklonila od základů vytvořených pro Hermes. Mechanismy proti forenzním útokům nebo perzistence, byly přepracovány, zjednodušeny nebo odstraněny. Koneckonců ransomware je manuálně nasazován v prostředí plně pod kontrolou útočníků, takže nepotřebuje funkce vlastní ochrany jako automaticky šířený ransomware. Ryuk navíc není tak selektivní v souborech, které šifruje, jako jiné ransomwarové programy.

Po nasazení zašifruje Ryuk všechny soubory kromě souborů s příponami dll, lnk, hrmlog, ini a exe. Vynechává také soubory uložené v adresářích System32, Chrome, Mozilla, Internet Explorer a koš. Tato vylučovací pravidla mají pravděpodobně zachovat stabilitu systému a umožnit oběti používat prohlížeč k provádění plateb.

Ryuk používá silné šifrování souborů založené na AES-256. Šifrovací klíče jsou uloženy na konci zašifrovaných souborů, jejichž přípona je změněna na .ryk. Klíče AES jsou zašifrovány párem veřejných soukromých klíčů RSA-4096, který ovládají útočníci. Celý proces je poněkud složitější a zahrnuje několik klíčů šifrovaných jinými klíči. Výsledkem je, že každý spustitelný soubor Ransomware je vytvořen na míru každé konkrétní oběti a využívá soukromý klíč vygenerovaný útočníky pro danou oběť. To znamená, že i když je soukromý klíč RSA spojený s jednou obětí zveřejněn, nelze jej použít k dešifrování souborů patřících jiným obětem.

Žádný veřejně dostupný nástroj nedokáže soubory Ryuk dešifrovat bez zaplacení výkupného. Výzkumníci varují, že i dešifrovací program zakoupený od útočníků může soubory poškodit. To se obvykle stává u větších souborů, kde Ryuk záměrně provede jen částečné šifrování, aby ušetřil čas. Navíc i přes zařazení některých systémových souborů a adresářů na bílou listinu může Ryuk zašifrovat i soubory, které jsou kritické pro běžný provoz systému, což někdy vede k tomu, že po restartu nelze spustit systém. Všechny tyto problémy mohou komplikovat úsilí o obnovu a zvyšovat náklady, které obětem v důsledku útoků Ryuk vznikají.

Stejně jako většina ransomwaru se Ryuk pokouší odstranit stínové kopie svazků, aby zabránil obnově dat alternativními prostředky. Obsahuje také skript kill.bat, který deaktivuje různé služby včetně síťových záloh a antivirového programu Windows Defender.

Ochrana proti Ryuku

Organizace by měly zavést specifické technické kontroly, které sníží pravděpodobnost infekce Ryukem. Obrana proti útokům ransomwaru způsobeným lidmi obecně vyžaduje revizi IT a ICT postupů.

“Některé z nejúspěšnějších kampaní ransomwaru řízeného člověkem byly vedeny proti serverům, které mají antivirový software a další zabezpečení záměrně vypnuté. Cílem administrátorů je zvýšení výkonu,” uvedla společnost Microsoft. “Mnohé útoky využívají malware a nástroje, které jsou detekovatelné antivirem. Stejné servery také často postrádají ochranu firewallu a MFA, mají slabé přihlašovací údaje k doméně a používají nerandomizovaná hesla místních správců. IT profesionálové mohou pomoci s určením skutečného dopadu těchto nastavení a spolupracovat s bezpečnostními týmy na jejich zmírnění. Útočníci vyhledávají nastavení a konfigurace, které mnozí správci IT spravují a kontrolují. Vzhledem ke klíčové roli, kterou hrají, by IT pracovníci měli být součástí bezpečnostních týmů.”

Bezpečnostní týmy by také měly brát mnohem vážněji zdánlivě vzácné a ojedinělé infekce malwarem. Jak ukazuje Ryuk, běžné hrozby jako Emotet a TrickBot se zřídka objevují samostatně a mohou být známkou mnohem hlubších problémů. Pouhé odstranění běžného malwaru ze systému bez provedení dalších šetření může mít o několik týdnů později katastrofální následky.

“Běžné malwarové infekce, jako jsou Emotet, Dridex a Trickbot, by měly být odstraněny a měly by být považovány za úplné ohrožení systému. To se týká všech přihlašovacích údajů v něm přítomných,” varovala společnost Microsoft.

Kriticky důležité je také vyřešení slabých míst infrastruktury, která umožnila malwaru dostat se dovnitř a šířit se. Omezení nepotřebného provozu SMB mezi koncovými body a omezení používání administrátorských oprávnění zvyšuje odolnost sítě proti útočným kampaním řízeným lidmi.

Autor: Ondřej Vanáč, spoluzakladatel CyberBlog.cz

Zdroj: CSO

Foto: Pixabay

0 Comments
Submit a Comment
„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.