Сигурност

Ryuk: целенасочена, пагубно ефективна задача

CIO Media

Атаките на рансъмуера са насочени към най-уязвимите компании, които има най-голяма вероятност да платят

Лусиан Константин, CSO

Ryuk представлява усъвършенстван рансъмуер, насочен към компании, болници, правителствени институции и други организации, който е създаден през 2018 г. Групата зад този зловреден софтуер е известна с това, че използва хакерски техники с човешка намеса и инструменти с отворен код, за да прониква постепенно през частни мрежи и да получава достъп като администратор до възможно най-много системи, преди да започне криптиране на файлове.

История и успех на Ryuk

Ryuk се появи за пръв път през август 2018 г., но в основата му е по-стара програма за рансъмуер, наречена Hermes, която беше продавана по нелегални форуми на киберпрестъпници през 2017 г. Hermes беше използвана от финансираната от държавата севернокорейска Lazarus Group в атака срещу тайванската далекоизточна международна банка Far Eastern International Bank (FEIB) през октомври 2017 г., което доведе до съобщения, че Hermes, а по-късно Ryuk, е създадена от севернокорейски хакери.

По-късно няколко компании за сигурност опровергаха тези твърдения и сега се смята, че Ryuk е творение на група от руски говорещи киберпрестъпници, които са получили достъп до Hermes, както вероятно е направила и Lazarus. Бандата Ryuk се следи от няколко компании за сигурност като Wizard Spider или Grim Spider и е същата група, която работи с TrickBot, много по-стара и активна програма от тип троянски кон за кражба на идентичност, която има връзка с Ryuk. Други изследователи смятат, че Ryuk може би е творение на същинския автор или автори на Hermes, работещи под управлението на CryptoTech, която просто спря да продава своя рансъмуер публично след разработването на подобрена версия.

Хакерите, които използват Ryuk, искат плащането на по-големи откупи от своите жертви в сравнение с много други банди от този бранш. Сумите на откупите, свързани с Ryuk, обикновено се движат между 15 и 50 биткойна, или грубо между 100 000 и 500 000 щатски долара, въпреки че има съобщения и за по-големи платени суми. Тъй като хакерите атакуват организации с критични активи, за които е по-вероятно да платят, с техника, която отрасълът на сигурността нарича "лов на едър дивеч", бандата Ryuk има голям успех в извличането на пари от своите кампании.

В презентация на форума RSA Conference 2020 Джоел де Капуа, специален наблюдаващ агент от звеното за глобални операции и насочване на ФБР, разкри, че организации от цял свят са платили 144.35 милиона щатски долара в биткойн на групи за рансъмуер за периода между2013 г. и 2019 г. Данните не включват плащания на откуп в криптовалути, различни от биткойн. 61.26 милиона щатски долара от тези плащания бяха изпратени на бандата Ryuk. Тази сума е почти три пъти по-голяма от сумата, която Crysis/Dharma, втората най-успешна банда за рансъмуер от списъка на Де Капуа, успя да отмъкне от жертвите си за три години.

Разпространение на Ryuk и верига на атака

Ryuk е почти ексклузивно разпространяван чрез TrickBot или следва заразяване с троянски кон. Но не всички заразявания с TrickBot водят доRyuk. Когато това става, разполагането на Ryuk се случва седмици след появата на TrickBot в мрежата. Вероятната причина е, че хакерите използват данните, събрани от TrickBot, за да идентифицират потенциално ценни мрежи за Ryuk.

Изборът на мишени е следван от дейности, извършени лично от хакери, които включват мрежово разузнаване и постепенно проникване с цел да се компрометират контрольори на домейни и да се получи достъп до възможно най-много системи. Това гарантира, че когато Ryuk се внедри, вредата е бърза и широко разпространена по цялата мрежа, което повишава вероятността от принуда към действие от страна на организацията в сравнение с държането като заложници само на няколко от крайните точки на мрежата.

Microsoft дефинира Ryuk като атака от тип рансъмуер, извършена от човек, и е част от по-голяма тенденция за банди за рансъмуер, които възприемат силно прицелени и тайни техники, в миналото свързвани с групите за усъвършенствана постоянна заплаха APT. Това включва използване на инструменти с отворен код и съществуващи помощни програми за системна администрация, за да се избегне засичане. Тази техника е позната като living off land.

След заразяване с TrickBot и идентифициране на интересна мишена бандата Ryuk разполага следексплоатационни рамки като Cobalt Strikeили PowerShell Empire, които й позволяват да извършват зловредни действия на компютри, без да задействат предупреждения за заплаха за сигурността. PowerShell е език за скриптове, предназначен за системна администрация, която използва приложния програмен интерфейсWindows Management Instrumentation (WMI) и е активиран по подразбиране на компютри с Windows. Неговите мощни функции и широко разпространение на компютри са го превърнали в популярен избор за злоупотреба от хакери.

Ryuk хакерите използват също инструмента с отворен код LaZagne, за да крадат идентификационни данни, съхранени на компрометирани компютри, и инструмента BloodHound, който позволява проникване на тестващи за анализ и разкриване на потенциално уязвими връзки, които съществуват в средите Active Directory. Крайната цел на атаките с Ryuk е да идентифицират контрольорите на домейни и да получат достъп до тях като администратори, което след това им дава власт над цялата мрежа.

"При нашите разследвания ние установихме, че активиране на Ryuk се появява на импланти на TrickBot на различни възрасти, което показва, че хората, стоящи зад Ryuk, вероятно имат някакъв списък от проверки и мишени за разполагане на рансъмуера", казаха изследователи отMicrosoft в анализ на атаки с рансъмуер, извършени с човешка намеса. "В много случаи обаче тази фаза на активиране идва доста след първоначалното заразяване с TrickBot и евентуалното внедряване на рансъмуер може да се случи седмици или дори месеци след това."

Самият TrickBot остава един от най-често срещаните троянски коне и се разпространява по имейл чрез злонамерени спам съобщения, но може да бъде доставен и чрез друга широко разпространена програма от тип троянски кон, наречена Emotet. Макар че връзките между Ryuk, TrickBot и Emotet не са напълно ясни, с годините Emotet се разви в платформа за разпространение на зловреден код, която се използва от много групи от киберпрестъпници. Смята се, че TrickBot следва подобен модел на зловреден код като услуга (MaaS), но е достъпен само за относително малък брой киберпрестъпници от висша класа, според скорошен доклад на фирмата за разследване на киберпрестъпления Intel 471.

През януари Агенцията за киберсигурност и инфраструктурна сигурност (CISA) на САЩ издаде предупреждение за увеличение на атаките сEmotet. Агенцията поддържа консултации относно Emotet от 2018 г., включващи набор от препоръки за защита от заплахата.

Програмата за криптиране Ryuk

С течение на времето Ryuk се отклони от оригиналния базов код на Hermes. Някои функции като антикриминалистичните или механизми за постоянство бяха повторно имплементирани, опростени или премахнати. В крайна сметка програма от тип рансъмуер, която се разполага с човешка намеса в среда, където хакерите вече имат административен контрол над системите, не се нуждае от същите функции за самозащита като програми от тип рансъмуер, които разчитат на автоматично разпространение. Освен това Ryuk не е толкова избирателен във файловете, които криптира, като останалия рансъмуер.

След разполагането му Ryuk криптира всички файлове с изключение на онези с разширения dll, lnk, hrmlog, ini и exe. Освен това пропуска файлове, съхранени в директориите Windows System32, Chrome, Mozilla, Internet Explorer и Recycle Bin. Тези правила за изключване вероятно са замислени да запазят стабилността на системата и да позволят на жертвата да ползва браузър за извършване на плащания.

Ryuk използва силно файлово криптиране по AES-256. Ключовете за криптиране са записани в края на криптирани файлове, чиито разширения биват променени на .ryk. AES ключовете се криптират с двойка публично-частни ключове, които се контролират от хакерите. Целият процес е малко по-сложен и включва криптирането на няколко ключа с други ключове, но резултатът е, че всеки изпълним Ryuk файл е специално създаден за всяка конкретна жертва, дори ако се използва на няколко системи, и използва частен ключ, генериран от хакерите за тази конкретна жертва. Това означава, че дори ако частният RSA ключ, свързан с една жертва, е публикуван, той не може да бъде използват за декриптиране на файлове, принадлежащи на други жертви.

Няма публично достъпен инструмент, който може да декриптира Ryuk файлове без плащане на откупа, и изследователите предупреждават, че дори програмата за декриптиране, предоставена от Ryuk хакерите на жертвите, готови да платят, може понякога да повреди файловете. Това обикновено се случва на по-големи файлове, където Ryuk умишлено извършва само частично криптиране, за да спести време. Освен това, въпреки че поставя в белия списък някои системни файлове и директории, Ryuk все още може да криптира файлове, които са критични за нормалната работа на системата, което понякога води до системи, които не могат да се заредят след рестартиране. Всички тези проблеми могат да усложнят работата по възстановяването и да увеличат разходите за жертвите в резултат на атаки с Ryuk.

Както повечето програми от тип рансъмуер, Ryuk се опитва да изтрие скрити копия на томове, за да не позволи възстановяване на данни чрез алтернативни средства. Освен това той съдържа скрипта kill.bat, който забранява различни услуги, включително мрежови резервни копия и антивирусната програма Windows Defender.

Защита от Ryuk

Макар че организациите могат да приложат конкретни технически контроли, за да намалят вероятността от заразяване с Ryuk, защитата срещу атаки на рансъмуер с човешка намеса по принцип изисква корекция на някои лоши практики сред ИТ администраторите.

"Някои от най-успешните кампании с рансъмуер с човешка намеса са били срещу сървъри, чийто антивирусен софтуер и други защитни програми са умишлено изключени, което администраторите могат да направят за подобряване на бързодействието, казаха от Microsoft. Много от наблюдаваните атаки използват зловреден софтуер и инструменти, които вече са засечени от антивирусна програма. На същите сървъри често липсват защитни стени и многофакторно удостоверяване (MFA), имат слаби идентификационни данни на домейн и използват местни администраторски пароли, които не се променят на случаен признак. Често тези защити не се прилагат, тъй като има опасения, че контролите за сигурност ще попречат на дейностите или ще навредят на производителността. ИТ специалистите могат да помогнат с определяне на истинското въздействие на тези настройки и да сътрудничат на екипите по сигурност, за да намалят негативното влияние. Хакерите следят настройките и конфигурациите, които много ИТ администратори управляват и контролират. Като се има предвид ключовата роля, която играят, ИТ специалистите трябва да бъдат част от екипите по сигурност."

Екипите по сигурност също трябва да приемат много по-сериозно наглед редките и изолирани появи на зловреден софтуер. Както Ryukпоказа, обикновени заплахи като Emotet и TrickBot рядко идват сами и могат да бъдат признак за много по-дълбоки проблеми. Просто да се премахне обикновен зловреден софтуер от една система, без да се извършат следващи разследвания, може да има разрушителни последствия няколко седмици по-късно.

"Инфекциите с широко разпространен зловреден софтуер като Emotet, Dridex и Trickbot трябва да бъдат отстранени и третирани като потенциално много рискови за системата, включително всички идентификационни данни, представени от тях", предупреждава Microsoft.

Разглеждането и отстраняването на слабостите на инфраструктурата, които са позволили на зловредния софтуер най-напред да проникне и да се разпространи, също е изключително важно, както и укрепването на мрежата срещу постепенно проникване чрез упражняване на добра хигиена на идентифициране и налагане на достъп с най-малко права. Ограничаването на ненужния SMB трафик между крайни точки и на употребата на идентифициране като администратори също може да има съществено влияние за по-голямата устойчивост на мрежата срещу кампании с атаки с човешка намеса. Съветите на Microsoft съдържат допълнителни технически препоръки.

Превод и редакция Мариана Апостолова

X