Provozovatelé ransomwaru Ryuk jsou opět u toho. Po dlouhém období klidu jsme identifikovali novou spamovou kampaň spojenou s aktéry Ryuk – součást nové vlny útoků. A koncem září tým Managed Threat Response společnosti Sophos pomáhal jedné organizaci se zmírněním útoku Ryuk – a poskytl tak vhled do vývoje nástrojů, technik a postupů aktérů Ryuk. Útok je součástí nedávné vlny incidentů Ryuk spojených s nedávnými phishingovými kampaněmi.
Gang Ryuk, který byl poprvé spatřen v srpnu 2018, se proslavil v roce 2019, kdy požadoval mnohamilionové výkupné od firem, nemocnic a místních vlád. Podle údajů Federálního úřadu pro vyšetřování přitom provozovatelé tohoto ransomwaru jen v USA vytáhli přes 61 milionů dolarů. A to je jen to, co bylo uvedeno – jiné odhady uvádějí, že Ryuk v roce 2019 utržil stovky milionů dolarů.
Přibližně od začátku celosvětové pandemie COVID-19 jsme zaznamenali útlum aktivity Ryuku. Objevily se spekulace, že aktéři programu Ryuk přešli na rebrandovanou verzi ransomwaru s názvem Conti. Kampaň a útok, které jsme zkoumali, byly zajímavé jednak tím, že znamenaly návrat Ryuku s drobnými úpravami, ale také ukázaly vývoj nástrojů používaných ke kompromitaci cílových sítí a nasazení ransomwaru.
Útok byl pozoruhodný také tím, jak rychle se útoky mohou přesunout od počáteční kompromitace k nasazení ransomwaru. Během tří a půl hodiny od otevření přílohy phishingového e-mailu cílem již útočníci prováděli průzkum sítě. Během jednoho dne získali přístup k řadiči domény a byli v počáteční fázi pokusu o nasazení ransomwaru.
Útočníci byli také vytrvalí. Vzhledem k tomu, že pokusy o útok selhaly, pokusili se aktéři ze skupiny Ryuk během následujícího týdne několikrát nainstalovat nový malware a ransomware, včetně obnovených pokusů o phishing, aby se znovu prosadili. Než byl útok ukončen, bylo do něj zapojeno více než 90 serverů a dalších systémů, ačkoli se podařilo zablokovat plné spuštění ransomwaru.
Pustit špatného dovnitř
Útok začal v úterý odpoledne. 22. září. Několik zaměstnanců cílové společnosti obdrželo vysoce cílené phishingové e-maily:
Od: Alex Collins
Kterému bylo zasláno:
:
Prosím, zavolejte mi zpět do 14:00, do 14:00 budu v kanceláři.
, vzhledem k požadavku centrály č. 96-9/23 , zpracuji dalších 3 582 z vašeho mzdového účtu.
, zavolejte mi zpět, až budete k dispozici, abych potvrdil, že je vše v pořádku.
Tady je kopie vašeho výpisu ve formátu PDF.
Alex Collins
outsourcingový specialista
Odkaz, doručený prostřednictvím služby pro doručování pošty Sendgrid, přesměroval na škodlivý dokument umístěný na docs.google.com. E-mail byl poštovním softwarem společnosti označen varováním externího odesílatele. A bylo zjištěno a zablokováno více případů škodlivé přílohy.
Jeden zaměstnanec však odpoledne na odkaz v e-mailu kliknul. Uživatel dokument otevřel a povolil jeho obsah, čímž umožnil spuštění souboru print_document.exe – škodlivého spustitelného souboru identifikovaného jako Buer Loader. Buer Loader je modulární stahovač malwaru jako služby, který byl na undergroundových fórech představen k prodeji v srpnu 2019. Poskytuje službu distribuce malwaru spravovanou webovým panelem; každé sestavení downloaderu se prodává za 350 dolarů, přičemž přídavné moduly a změny cílové adresy stahování se účtují zvlášť.
V tomto případě malware Buer Loader po spuštění vypustil qoipozincyusury.exe, „maják“ Cobalt Strike, spolu s dalšími soubory malwaru. Maják Cobalt Strike, původně určený pro emulaci útočníků a penetrační testování, je modulární útočný nástroj, který může provádět širokou škálu úkolů, poskytovat přístup k funkcím operačního systému a vytvářet skrytý příkazový a řídicí kanál v napadené síti.
V průběhu následující hodiny a půl byly v původně napadeném systému zjištěny další majáky Cobalt Strike. Útočníkům se pak podařilo úspěšně vytvořit oporu na cílové pracovní stanici za účelem průzkumu a lovu pověření.
O několik hodin později začal průzkum sítě aktéry Ryuk. Na původně infikovaném systému byly spuštěny následující příkazy:
- C:\WINDOWS\system32\cmd.exe /C whoami /groups (přístup k seznamu skupin AD, ve kterých je místní uživatel)
- C:\WINDOWS\system32\cmd.exe /C nltest /domain_trusts /all_trusts (vrátí seznam všech důvěryhodných domén)
- C:\WINDOWS\system32\cmd.exe /C net group „enterprise admins“ /domain (vrátí seznam členů skupiny „enterprise admins“ pro doménu)
- C:\WINDOWS\system32\net1 group „domain admins“ /domain (totéž, ale seznam skupiny „domain admins“)
- C:\WINDOWS\system32\cmd.exe /C net localgroup administrators (vrátí seznam správců místního počítače)
- C:\WINDOWS\system32\cmd.exe /C ipconfig (vrátí konfiguraci sítě)
- C:\WINDOWS\system32\cmd.exe /C nltest /dclist: (vrátí názvy řadičů domény pro název domény společnosti)
- C:\WINDOWS\system32\cmd.exe /C nltest /dclist: (totéž, ale kontrola řadičů domény, které jako název domény používají název společnosti)
Forward lateral
Pomocí těchto údajů získali aktéři ve středu ráno přihlašovací údaje pro správu a připojili se k řadiči domény, kde provedli výpis údajů služby Active Directory. Toho bylo s největší pravděpodobností dosaženo pomocí nástroje SharpHound, který je založen na jazyce Microsoft C# a slouží k „injektáži“ dat pro BloodHound (open-source nástroj pro analýzu služby Active Directory používaný k identifikaci cest útoku v prostředích AD). Výpis dat z nástroje byl zapsán do uživatelského adresáře pro kompromitovaný účet správce domény na samotném doménovém serveru.
Další spustitelný soubor Cobalt Strike byl načten a spuštěn o několik hodin později. Ihned poté následovala instalace služby Cobalt Strike na řadiči domény pomocí dříve získaných pověření správce domény. Služba byla zřetězený posluchač Server Message Block, který umožňoval předávání příkazů Cobalt Strike serveru a dalším počítačům v síti. Pomocí rozhraní pro správu systému Windows útočníci na stejném serveru vzdáleně spustili nový maják Cobalt Strike.
V krátké době byly pomocí stejných pověření správce vytvořeny další škodlivé služby na dalších dvou serverech s využitím nástrojů pro správu systému Windows z původně napadeného počítače. Jednou z nakonfigurovaných služeb byl zakódovaný příkaz PowerShell vytvářející další komunikační rouru Cobalt.
Aktéři pokračovali v průzkumných aktivitách z původně infikované plochy a spouštěli příkazy snažící se identifikovat potenciální cíle pro další boční pohyb. Mnohé z nich opakovaly předchozí příkazy. Příkaz nltest byl použit ve snaze získat data z řadičů domény v jiných doménách v rámci podnikového stromu Active Directory. Další příkazy pingovaly konkrétní servery a snažily se získat IP adresy. Aktéři také kontrolovali všechna mapovaná síťová sdílení připojená k pracovní stanici a pomocí rozhraní WMI zjišťovali aktivní relace vzdálené plochy na jiném řadiči domény v rámci stromu Active Directory.
Nastavení pasti
Pozdě odpoledne ve středu – necelý den po kliknutí oběti na e-mailovou zprávu – zahájili aktéři programu Ryuk přípravy na spuštění ransomwaru. Pomocí předmostí na původně napadeném počítači se útočníci pomocí protokolu RDP připojili k řadiči domény s přihlašovacími údaji správce získanými předchozího dne. Na řadiči domény byla spuštěna složka s názvem C:\Perflogs\grub.info.test2 – Copy – název odpovídá sadě nástrojů nasazených při předchozích útocích Ryuk. O několik hodin později útočníci spustili kódovaný příkaz prostředí PowerShell, který s přístupem k datům služby Active Directory vygeneroval výpisový soubor s názvem ALLWindows.csv obsahující přihlašovací údaje, údaje o řadiči domény a operačním systému počítačů se systémem Windows v síti.
Dále byl na řadič domény nasazen škodlivý proxy server SystemBC. SystemBC je proxy server SOCKS5 používaný ke skrytí provozu malwaru, který sdílí kód a forenzní značky s jiným malwarem z rodiny Trickbot. Malware se nainstaloval (jako itvs.exe) a vytvořil naplánovanou úlohu pro malware pomocí starého formátu plánovače úloh systému Windows v souboru s názvem itvs.job – aby byla zachována perzistence.
Dále byl spuštěn skript PowerShell nahraný do složky grub.info.test na řadiči domény. Tento skript, Get.DataInfo.ps1 , prohledává síť a poskytuje výstup, které systémy jsou aktivní. Zkontroluje také, který AV je v systému spuštěn.
Aktéři Ryuk použili řadu metod, aby se pokusili rozšířit soubory na další servery, včetně sdílení souborů, rozhraní WMI a přenosu schránky pomocí protokolu Remote Desktop Protocol. Protokol WMI byl použit k pokusu o spuštění souboru GetDataInfo.ps1 proti dalšímu serveru.
Neúspěšné spuštění
Ve čtvrtek ráno útočníci rozšířili a spustili soubor Ryuk. Tato verze Ryuku neměla žádné podstatné změny oproti dřívějším verzím, které jsme viděli, pokud jde o základní funkce, ale vývojáři Ryuku přidali do kódu více obfuskace, aby se vyhnuli detekci malwaru na základě paměti.
Mezi prvními cíli byl záložní server organizace. Když byl Ryuk na záložním serveru detekován a zastaven, útočníci použili příkaz icacls k úpravě řízení přístupu, čímž získali plnou kontrolu nad všemi systémovými složkami na serveru.
Poté nasadili nástroj GMER, „detektor rootkitů“:
GMER je často používán aktéry ransomwaru k vyhledávání a vypínání skrytých procesů a k vypnutí antivirového softwaru chránícího server. Útočníci ze skupiny Ryuk to udělali a pak to zkusili znovu. Ransomware Ryuk byl v krátkém časovém sledu znovu nasazen a spuštěn ještě třikrát, přičemž se pokusil překonat zbývající obranné mechanismy záložního serveru.
Do složek hostujících ransomware byly vloženy poznámky s výkupným, ale žádné soubory nebyly zašifrovány.
Celkově byl Ryuk spuštěn při útocích vedených z více než 40 napadených systémů,ale byl opakovaně blokován systémem Sophos Intercept X. Ve čtvrtek v poledne byla část útoku, která obsahovala ransomware, zmařena. Útočníci však se svými pokusy neskončili – a ze sítě se ještě nedostali.
V pátek obránci nasadili blokování napříč doménami zasaženými útokem pro SystemBC RAT. Následující den se útočníci pokusili aktivovat další proxy server SOCKS na stále napadeném řadiči domény. A během následujícího týdne bylo zjištěno další nasazení systému Ryuk – spolu s dalšími pokusy o phishing a pokusy o nasazení systému Cobalt Strike.
Poučení
Taktika, kterou aktéři útoku Ryuk předvedli při tomto útoku, ukazuje solidní posun od malwaru, který byl základem většiny útoků Ryuk v loňském roce (Emotet a Trickbot). Gang Ryuk přešel od jednoho poskytovatele malwaru jako služby (Emotet) k jinému (Buer Loader) a Trickbot zřejmě nahradil praktičtějšími nástroji pro zneužití klávesnice – mimo jiné Kobalt Strike, Bloodhound a GMER – a vestavěnými skriptovacími a správcovskými nástroji systému Windows pro boční pohyb v síti. A útočníci rychle mění taktiku, jakmile se objeví příležitosti ke zneužití místní síťové infrastruktury – při jiném nedávném útoku, na který tento měsíc reagovala společnost Sophos, použili aktéři útoku Ryuk k šíření ransomwaru také objekty globální politiky systému Windows nasazené z řadiče domény. A při dalších nedávných útocích byl použit další backdoor napojený na Trickbot, známý jako Bazar.
Různorodost používaných nástrojů, včetně hotových i open-source útočných nástrojů, a objem a rychlost útoků svědčí o vývoji operačních dovedností gangu Ryuk. Sada „útočného zabezpečení“ Cobalt Strike je oblíbeným nástrojem jak státem sponzorovaných, tak zločineckých aktérů, a to díky relativně snadnému použití a široké funkčnosti a široké dostupnosti – „cracknuté“ verze komerčně licencovaného softwaru lze snadno zakoupit na undergroundových fórech. Tento software poskytuje aktérům hotovou sadu nástrojů pro zneužití, boční přesun a mnoho dalších úkolů potřebných ke krádeži dat, eskalaci kompromitace a spuštění ransomwarových útoků, aniž by k tomu potřebovali účelově vytvořený malware.
Ačkoli tento útok proběhl rychle, vytrvalost útoků po počátečním neúspěchu Ryuku při šifrování dat ukazuje, že aktéři Ryuku – podobně jako mnozí útočníci ransomwaru – pomalu rozvazují čelisti a mohou přetrvávat po dlouhou dobu, jakmile se v síti přesunou laterálně a mohou vytvořit další zadní vrátka. Útok také ukazuje, že protokol vzdálené plochy může být nebezpečný, i když se nachází uvnitř brány firewall.