一般勒索软件全是根据规模性垃圾短信主题活动和漏洞检测专用工具开展散播,而Ryuk更偏向于一种订制化的攻击。实际上,其数据加密体制也主要是用以小规模纳税人的行为的,例如只数据加密受感柒互联网中的关键财产和資源。Ryuk勒索病毒感染最开始在2018年8月由海外某安全性企业发觉并报导,此勒索病毒感染关键根据垃圾短信或漏洞检测工具箱开展散播感柒。2020年1月迄今,企业的生产制造互联网或办公室互联网遭到数十起勒索软件攻击,在其中仅Ryuk勒索软件就感染了EVRAZ、EMCOR Group、EWA等好几家企业,数据加密公司重要数据信息,造成公司停产、停工,导致很大的财产损失。2019年,美国海军陆战队(USCG)近日公布该恶意程序毁坏了美国的《海上运输安全法》(MTSA)监管部门的公司IT互联网。依据USCG表明,攻击媒体很有可能是在 MTSA设备上推送钓鱼攻击电子邮箱给营运商 ,一旦职工点一下了电子邮箱中的内嵌式故意连接,勒索软件就数据加密了受危害者的关键公司信息科技(IT)信息网络,进而阻拦了工作员浏览该设备的主要文档。据统计,Ryuk勒索软件还感染了美国某制造业企业的应用系统,黑客联盟对监控系统和货品迁移的电脑操作系统开展操纵,对尤为重要的文件加密。
如上所述Ryuk以往两年来一直十分活跃性,FBI宣称截止到2020年2月,该机构共盈利了6100万美金。今年初情况下,该机构越来越有点儿清静,但以往几个星期发生了转变,发生了相近UHS医院那般的事情。2022年9月,医院遍及美、英的美国较大连锁加盟医院Universal Health Systems(UHS)遭受勒索软件攻击IT系统,系统软件遭偏瘫多时,医院也迫不得已将急诊科患者转诊。现阶段受影响的医院遍布亚利桑纳州、美国加州的、乔治亚、宾夕法尼亚、佛罗里达州等地。被勒索软件数据加密的文档皆有.ryk的文件扩展名,并且从网络黑客留有的勒索信息英语的语法来分辨,造反的可能是著名勒索软件Ryuk。一名安全性科研工作人员强调,此次事情表明Ryuk在历经几个月沉静后重出江湖。依据其科学研究精英团队推断,Ryuk可能是经过垂钓信函引诱客户开启,而进到UHS的操作系统中。
现阶段Ryuk机构公布的勒索软件可以在29钟头内将一封故意电子邮件发送到全部域,并规定超出600万元的保释金。攻击者应用了Cobalt Strike,AdFind,WMI,vsftpd,PowerShell,PowerView和Rubeus等软件来达到她们的勒索总体目标。
在这样的情况下,攻击是根据称之为Bazar/Kegtap的运载程序流程恶意程序逐渐的。研究表明,根据垃圾短信推送的电子邮箱在9月份期内一直呈上涨发展趋势。
从最开始实行合理负荷逐渐,Bazar会引入各种各样过程,包含explorer.exe和svchost.exe及其转化成cmd.exe过程。这一运动的最开始目的是运作发觉应用内置在Windows专用工具,如nltest, net group,和第三方工具AdFind。
在最开始被看到以后,Bazar恶意程序维持比较清静,直到第二轮攻击中猜得到充分运用。再度,在第二轮发觉中采用了同样的专用工具,也有Rubeus。此次,发觉攻击根据FTP泄露到俄罗斯代管的网络服务器。下面,攻击者逐渐横着挪动。
从远程控制WMI到应用PowerShell远程控制实行服务项目,都开展了几回试着,应用了各种各样方式,直到最后登录根据SMB传送的Cobalt Strike beacon可执行程序以在自然环境移动。那样,攻击者借助在域控制器上运转的Cobalt Strike信标做为关键实际操作点。
在挑选了最安全可靠的办法来解析xml全部自然环境后,攻击者接着在所有公司标准内确立了信标。为了更好地完成终极目标,她们应用PowerShell在自然环境中禁止使用Windows Defender。
最先将域中用以备份数据的网络服务器做为数据加密总体目标,并在服务器上进行一些准备工作。可是,一旦Ryuk勒索可执行程序从其域控制器(DC)pivot根据SMB传送后,只需一分钟就可以实行它。
这时,Ryuk已根据SMB迁移到自然环境中的其他服务器,并根据来源于pivot域控制器的RDP联接实行。从最开始实行Bazar到遮盖全部域,该主题活动一共不断了29个钟头。
攻击者索取了600好几个BTC,这种BTC的价值约为600多万美元。
发觉全过程
要深入分析关键技术和攻击者的战略、技术性和程序流程,请继续阅读“ MITRE ATT&CK”一部分。
MITRE ATT&CK
原始浏览
最开始是根据含有Bazar/Kegtap侧门加载器连接的电子邮件发送的,科学研究工作人员免费下载并运作了Document-Preview.exe,该文件根据443/https联接到5.182.210[.]145。
实行
在横着挪动全过程中,多次应用服务项目实行来执行脚本制作和可执行程序。
在试着横着实行dll时也采用了WMI。
攻击者还实施了过程引入。
减轻对策
禁止使用Windows Defender
检验全过程
第一天的检验全过程
在实行Document-Preview.exe后数分钟,AdFind和adf.bat被删掉并运作了数分钟。大家早已看了adf.bat多次,你能在这里掌握其他信息。批处理文件将数据輸出到下列文本文档中。
Nltest用以查验域信赖。
Net用于表明域管理人员。
Ping用以检测系统软件是不是在自然环境中正常的运作。
在第1天从Bazar加载器中溶解主题活动的步骤树。
第二天的检验全过程
Afind再度运作,随后攻击者试着应用Rubeus攻击Kerberoast。
在纵向健身运动不成功期内几回误运行以后,攻击者实行了一些其它的当地网络检测。
应用WMI在很多系统软件上检查现阶段的AntiVirus。
横向健身运动
在第一天,攻击者在持续开展大量发觉以前检查了MS17-010的域控制器。该系统软件不易遭受MS17-010进攻。
横向挪动在最开始进到后28钟头上下逐渐,应用SMB在域控制器上置放了Cobalt Strike Beacon。那样攻击者就可以应用WMIC实行信标。
该进攻好像沒有取得成功运作,由于攻击者在没显著的指令和调节总流量后没多久就在beachhead服务器上释放出来了一个附加的负载,随后在DC上实行了一项服务项目。
编解码后的Powershell。
此后,攻击者拷贝并实施了Cobalt Strike信标可执行程序,并根据域控制器上的业务将其运行。
这时,C2联接发生在域控制器上,该控制板根据443/https联接到martahzz[.]com – 88.119.171[.]75。
在从beachhead服务器实行第一次横向挪动以后大概一小时实行一次,应用SMB exe实行备用系统的横向挪动。
攻击者在很多系统软件上运作信标时碰到问题,而且在起码一个系统软件上,她们远程安装了控制器。
指令与操纵
系统漏洞
vsftpd将域发觉(AdFind和Rubeus輸出)拓展为45.141.84[.]120。
故意危害
SMB用以传送Ryuk可执行程序,随后,从第一个被损坏的DC创建RDP联接,随后从备份数据网络服务器逐渐在全部区域环境中实行勒索病毒。在实行备份数据以前,攻击者在备份数据云服务器上运行了wbadmin msc控制面板。
在敲诈勒索实行以前先运行命令:
全部系统软件都留下来了下列保释金表明:
攻击者规定给予超出600万美金,但想要谈判。
对于Ryuk的一系列进攻事情,你能采用下列减轻对策
健全入侵检测技术和入侵检测系统;
可监管即时数据流量国家标准和近期的核酸检测手机软件;
集中化剖析这些受监管的服务器和网络服务器日志纪录;
对互联网按段以避免IT系统浏览经营技术性(OT)自然环境;
全新的IT/OT施工网络图;
全部重要文档和系统的一致备份数据;
文中翻譯自:https://thedfirreport.com/2020/10/08/ryuks-return/倘若转截,请标明全文详细地址。