Die Betreiber der Ransomware Ryuk sind wieder am Werk. Nach einer langen Zeit der Ruhe haben wir eine neue Spam-Kampagne identifiziert, die mit den Ryuk-Akteuren in Verbindung steht – Teil einer neuen Welle von Angriffen. Ende September hat das Managed Threat Response-Team von Sophos ein Unternehmen bei der Abwehr eines Ryuk-Angriffs unterstützt und dabei Einblicke in die Weiterentwicklung der Tools, Techniken und Praktiken der Ryuk-Akteure erhalten. Der Angriff ist Teil einer neuen Welle von Ryuk-Vorfällen, die mit aktuellen Phishing-Kampagnen in Verbindung stehen.
Die Ryuk-Bande wurde erstmals im August 2018 entdeckt und erlangte 2019 Bekanntheit, als sie Lösegelder in Höhe von mehreren Millionen Dollar von Unternehmen, Krankenhäusern und lokalen Behörden forderte. Dabei haben die Betreiber der Ransomware nach Angaben des Federal Bureau of Investigation allein in den USA über 61 Millionen Dollar eingenommen. Andere Schätzungen gehen davon aus, dass Ryuk 2019 Hunderte von Millionen Dollar einnehmen wird.
Ungefähr zu Beginn der weltweiten COVID-19-Pandemie kam es zu einer Flaute bei den Ryuk-Aktivitäten. Es gab Spekulationen, dass die Ryuk-Akteure zu einer neu gebrandeten Version der Ransomware namens Conti übergegangen waren. Die von uns untersuchte Kampagne und der Angriff waren interessant, weil sie die Rückkehr von Ryuk mit einigen geringfügigen Änderungen markierten, aber auch eine Weiterentwicklung der Tools zeigten, die zur Kompromittierung der Zielnetzwerke und zur Bereitstellung der Ransomware verwendet wurden.
Der Angriff war auch deshalb bemerkenswert, weil die Angriffe so schnell von der anfänglichen Kompromittierung zur Bereitstellung der Ransomware übergehen können. Innerhalb von dreieinhalb Stunden, nachdem ein Ziel einen Phishing-E-Mail-Anhang geöffnet hatte, führten die Angreifer bereits eine Netzwerkerkundung durch. Innerhalb eines Tages hatten sie sich Zugang zu einem Domänencontroller verschafft und befanden sich im Anfangsstadium des Versuchs, Ransomware zu installieren.
Die Angreifer waren außerdem sehr hartnäckig. Nachdem die Versuche, den Angriff zu starten, fehlgeschlagen waren, versuchten die Ryuk-Akteure im Laufe der nächsten Woche mehrfach, neue Malware und Ransomware zu installieren, einschließlich erneuter Phishing-Versuche, um wieder Fuß zu fassen. Bis zum Ende des Angriffs waren über 90 Server und andere Systeme in den Angriff verwickelt, obwohl die Ransomware an der vollständigen Ausführung gehindert wurde.
Let the wrong one in
Der Angriff begann am Nachmittag des Dienstag. 22. September. Mehrere Mitarbeiter des angegriffenen Unternehmens hatten sehr gezielte Phishing-E-Mails erhalten:
Von: Alex Collins
An:
Subject: Re: about debit
Bitte rufen Sie mich bis 14.00 Uhr zurück, ich bin bis 14.00 Uhr im Büro.
, wegen der Anfrage der Zentrale #96-9/23 , werde ich zusätzliche 3.582 von Ihrem Gehaltskonto abbuchen.
, rufen Sie mich zurück, wenn Sie verfügbar sind, um zu bestätigen, dass alles korrekt ist.
Hier ist eine Kopie Ihrer Abrechnung im PDF-Format.
Alex Collins
Outsourcing-Spezialist
Der Link, der über den E-Mail-Zustelldienst Sendgrid bereitgestellt wurde, leitete zu einem bösartigen Dokument weiter, das auf docs.google.com gehostet wurde. Die E-Mail wurde von der Mailsoftware des Unternehmens mit einer Warnung vor externen Absendern versehen. Und mehrere Instanzen des bösartigen Anhangs wurden erkannt und blockiert.
Ein Mitarbeiter klickte jedoch am Nachmittag auf den Link in der E-Mail. Der Benutzer öffnete das Dokument und aktivierte dessen Inhalt, so dass das Dokument print_document.exe ausführen konnte – eine bösartige ausführbare Datei, die als Buer Loader identifiziert wurde. Buer Loader ist ein modularer Malware-as-a-Service-Downloader, der im August 2019 in Untergrundforen zum Verkauf angeboten wurde. Er bietet einen über ein Web-Panel verwalteten Malware-Verteilungsdienst; jedes Downloader-Build wird für 350 US-Dollar verkauft, wobei Zusatzmodule und Änderungen der Download-Adressen separat in Rechnung gestellt werden.
In diesem Fall hat die Buer Loader-Malware bei der Ausführung qoipozincyusury.exe, ein Cobalt Strike-„Beacon“, zusammen mit anderen Malware-Dateien abgelegt. Der Cobalt Strike-Beacon, der ursprünglich für die Emulation von Angreifern und Penetrationstests entwickelt wurde, ist ein modulares Angriffswerkzeug, das eine breite Palette von Aufgaben ausführen kann, die den Zugriff auf Betriebssystemfunktionen ermöglichen und einen verdeckten Befehls- und Kontrollkanal innerhalb des kompromittierten Netzwerks einrichten.
Im Laufe der nächsten anderthalb Stunden wurden weitere Cobalt Strike-Beacons auf dem ursprünglich kompromittierten System entdeckt. Den Angreifern gelang es daraufhin, auf dem angegriffenen Arbeitsplatzrechner Fuß zu fassen, um ihn zu erkunden und nach Anmeldeinformationen zu suchen.
Nach einigen Stunden begann die Erkundung des Netzwerks durch die Ryuk-Akteure. Die folgenden Befehle wurden auf dem ursprünglich infizierten System ausgeführt:
- C:\WINDOWS\system32\cmd.exe /C whoami /groups (Zugriff auf die Liste der AD-Gruppen, in denen der lokale Benutzer ist)
- C:\WINDOWS\system32\cmd.exe /C nltest /domain_trusts /all_trusts (liefert eine Liste aller vertrauenswürdigen Domänen)
- C:\WINDOWS\system32\cmd.exe /C net group „enterprise admins“ /domain (liefert eine Liste der Mitglieder der Gruppe „enterprise admins“ für die Domäne)
- C:\WINDOWS\system32\net1 group „domain admins“ /domain (dasselbe, aber eine Liste der Gruppe „domain admins“)
- C:\WINDOWS\system32\cmd.exe /C net localgroup administrators (liefert eine Liste der Administratoren für den lokalen Rechner)
- C:\WINDOWS\system32\cmd.exe /C ipconfig (liefert die Netzwerkkonfiguration)
- C:\WINDOWS\system32\cmd.exe /C nltest /dclist: (gibt die Namen der Domänencontroller für den Domänennamen des Unternehmens zurück)
- C:\WINDOWS\system32\cmd.exe /C nltest /dclist: (dasselbe, jedoch wird nach Domänencontrollern gesucht, die den Firmennamen als Domänennamen verwenden)
Forward lateral
Mit diesen Daten hatten sich die Akteure bis Mittwochmorgen administrative Anmeldeinformationen verschafft und eine Verbindung zu einem Domänencontroller hergestellt, wo sie einen Datenabzug von Active Directory-Details durchführten. Dies geschah höchstwahrscheinlich mithilfe von SharpHound, einem auf Microsoft C# basierenden Datenverursacher-Tool für BloodHound (ein Open-Source-Analyse-Tool für Active Directory, mit dem sich Angriffspfade in AD-Umgebungen identifizieren lassen). Ein Daten-Dump des Tools wurde in ein Benutzerverzeichnis für das kompromittierte Domänenadministratorkonto auf dem Domänenserver selbst geschrieben.
Ein paar Stunden später wurde eine weitere ausführbare Datei von Cobalt Strike geladen und gestartet. Unmittelbar darauf folgte die Installation eines Cobalt Strike-Dienstes auf dem Domänencontroller unter Verwendung der zuvor erlangten Anmeldedaten des Domänenadministrators. Bei dem Dienst handelte es sich um einen verketteten Server Message Block Listener, der die Weitergabe von Cobalt Strike-Befehlen an den Server und andere Computer im Netzwerk ermöglichte. Über die Windows-Verwaltungsschnittstelle führten die Angreifer aus der Ferne einen neuen Cobalt Strike-Baken auf demselben Server aus.
In kurzer Zeit wurden weitere bösartige Dienste auf zwei anderen Servern mit denselben Administrator-Anmeldeinformationen erstellt, wobei die Windows-Verwaltungsinstrumentierung von dem ursprünglich kompromittierten PC aus verwendet wurde. Einer der konfigurierten Dienste war ein verschlüsselter PowerShell-Befehl, mit dem eine weitere Cobalt-Kommunikationspipe erstellt wurde.
Die Akteure setzten ihre Erkundungsaktivitäten von dem ursprünglich infizierten Desktop aus fort und führten Befehle aus, um potenzielle Ziele für weitere laterale Bewegungen zu identifizieren. Viele dieser Befehle wiederholten frühere Befehle. Mit dem Befehl nltest wurde versucht, Daten von Domänencontrollern in anderen Domänen innerhalb der Active Directory-Struktur des Unternehmens abzurufen. Andere Befehle pingen bestimmte Server an und versuchen, IP-Adressen zu erhalten. Die Akteure überprüften auch alle gemappten Netzwerkfreigaben, die mit der Workstation verbunden waren, und nutzten WMI, um nach aktiven Remotedesktop-Sitzungen auf einem anderen Domänencontroller innerhalb des Active Directory-Baums zu suchen.
Setting the trap
Am späten Mittwochnachmittag – weniger als einen Tag, nachdem das Opfer auf den Phish geklickt hatte – begannen die Ryuk-Akteure mit den Vorbereitungen zum Start ihrer Ransomware. Die Angreifer benutzten RDP, um sich mit den am Vortag erhaltenen Admin-Zugangsdaten mit dem Domänencontroller zu verbinden und den Strandpunkt auf dem ursprünglich kompromittierten PC zu nutzen. Ein Ordner mit dem Namen C:\Perflogs\grub.info.test2 – Copy wurde auf dem Domänencontroller abgelegt – ein Name, der mit einer Reihe von Tools übereinstimmt, die bei früheren Ryuk-Angriffen eingesetzt wurden. Einige Stunden später führten die Angreifer einen verschlüsselten PowerShell-Befehl aus, der auf Active Directory-Daten zugriff und eine Dump-Datei namens ALLWindows.csv generierte, die Anmelde-, Domänencontroller- und Betriebssystemdaten für Windows-Computer im Netzwerk enthielt.
Als Nächstes wurde der bösartige SystemBC-Proxy auf dem Domänencontroller bereitgestellt. SystemBC ist ein SOCKS5-Proxy, der zur Verschleierung des Malware-Verkehrs verwendet wird und Code und forensische Marker mit anderer Malware aus der Trickbot-Familie teilt. Die Malware installierte sich selbst (als itvs.exe) und erstellte einen geplanten Auftrag für die Malware, wobei das alte Windows-Taskplaner-Format in einer Datei namens itvs.job verwendet wurde, um die Persistenz zu gewährleisten.
Als Nächstes wurde ein PowerShell-Skript ausgeführt, das in den Ordner grub.info.test auf dem Domänencontroller geladen wurde. Dieses Skript, Get.DataInfo.ps1 , scannt das Netzwerk und liefert eine Ausgabe, welche Systeme aktiv sind. Es prüft auch, welches AV auf dem System läuft.
Die Ryuk-Akteure versuchten mit verschiedenen Methoden, Dateien auf weitere Server zu verbreiten, darunter Dateifreigaben, WMI und Remote Desktop Protocol-Zwischenablage-Übertragung. Mit WMI wurde versucht, GetDataInfo.ps1 auf einem weiteren Server auszuführen.
Start fehlgeschlagen
Donnerstagmorgen verbreiteten und starteten die Angreifer Ryuk. Diese Version von Ryuk wies im Vergleich zu früheren Versionen, die wir gesehen haben, keine wesentlichen Änderungen in Bezug auf die Kernfunktionalität auf, aber die Entwickler von Ryuk fügten dem Code weitere Verschleierungen hinzu, um speicherbasierte Erkennungen der Malware zu umgehen.
Der organisatorische Backup-Server war eines der ersten Ziele. Als Ryuk auf dem Backup-Server entdeckt und gestoppt wurde, benutzten die Angreifer den icacls-Befehl, um die Zugriffssteuerung zu ändern und so die volle Kontrolle über alle Systemordner auf dem Server zu erlangen.
Dann setzten sie GMER ein, ein „Rootkit-Detektor“-Tool:
GMER wird häufig von Ransomware-Akteuren verwendet, um versteckte Prozesse zu finden und zu beenden und Antiviren-Software, die den Server schützt, auszuschalten. Die Ryuk-Angreifer taten dies, und dann versuchten sie es erneut. Die Ransomware Ryuk wurde in kurzer Zeit dreimal neu verteilt und gestartet, um die verbleibenden Verteidigungsmaßnahmen auf dem Backup-Server zu überwinden.
In den Ordnern, in denen sich die Ransomware befand, wurden Erpresserbriefe abgelegt, aber es wurden keine Dateien verschlüsselt.
Insgesamt wurde Ryuk in Angriffen ausgeführt, die von mehr als 40 kompromittierten Systemen ausgingen, aber wiederholt von Sophos Intercept X blockiert wurden. Am Donnerstagmittag war der Ransomware-Teil des Angriffs vereitelt. Aber die Angreifer waren noch nicht fertig mit ihren Versuchen und waren noch nicht aus dem Netzwerk verschwunden.
Am Freitag sperrten die Verteidiger die von dem Angriff betroffenen Domänen für das SystemBC RAT. Am nächsten Tag versuchten die Angreifer, einen weiteren SOCKS-Proxy auf dem immer noch kompromittierten Domain-Controller zu aktivieren. In der darauffolgenden Woche wurden weitere Ryuk-Einsätze entdeckt – zusammen mit zusätzlichen Phishing-Versuchen und Versuchen, Cobalt Strike einzusetzen.
Lessons learned
Die von den Ryuk-Akteuren bei diesem Angriff angewandte Taktik zeigt eine deutliche Abkehr von der Malware, die im vergangenen Jahr die Grundlage der meisten Ryuk-Angriffe bildete (Emotet und Trickbot). Die Ryuk-Bande wechselte von einem Malware-as-a-Service-Anbieter (Emotet) zu einem anderen (Buer Loader) und ersetzte Trickbot offenbar durch Tools zur Ausnutzung der Tastatur – darunter Cobalt Strike, Bloodhound und GMER – sowie durch integrierte Windows-Skripting- und Verwaltungstools, um sich seitlich im Netzwerk zu bewegen. Und die Angreifer ändern schnell ihre Taktik, wenn sich Möglichkeiten ergeben, die lokale Netzwerkinfrastruktur auszunutzen. Bei einem anderen Angriff, auf den Sophos diesen Monat reagierte, nutzten die Ryuk-Akteure auch Windows Global Policy Objects, die vom Domänencontroller aus eingesetzt wurden, um Ransomware zu verbreiten. Und bei anderen jüngsten Angriffen wurde eine andere mit Trickbot verbundene Backdoor namens Bazar verwendet.
Die Vielfalt der verwendeten Tools, einschließlich Standard- und Open-Source-Angriffstools, sowie der Umfang und die Geschwindigkeit der Angriffe sind ein Hinweis auf eine Weiterentwicklung der operativen Fähigkeiten der Ryuk-Bande. Die „Offensive Security“-Suite von Cobalt Strike ist ein beliebtes Werkzeug sowohl von staatlich unterstützten als auch von kriminellen Akteuren, da sie relativ einfach zu bedienen ist, über einen großen Funktionsumfang verfügt und weithin verfügbar ist – „geknackte“ Versionen der kommerziell lizenzierten Software sind in Untergrundforen leicht zu erwerben. Und die Software bietet den Akteuren ein fertiges Toolkit für die Ausnutzung, seitliche Bewegung und viele andere Aufgaben, die erforderlich sind, um Daten zu stehlen, die Kompromittierung zu eskalieren und Ransomware-Angriffe zu starten, ohne dass eigens dafür entwickelte Malware erforderlich ist.
Dieser Angriff ging zwar schnell vonstatten, aber die Hartnäckigkeit der Angriffe nach dem anfänglichen Scheitern von Ryuk, Daten zu verschlüsseln, zeigt, dass die Ryuk-Akteure – wie viele Ransomware-Angreifer – nur langsam ihre Fänge öffnen und lange Zeit bestehen bleiben können, sobald sie sich seitlich im Netzwerk bewegt haben und zusätzliche Hintertüren einrichten können. Der Angriff zeigt auch, dass das Remote Desktop Protocol selbst dann gefährlich sein kann, wenn es sich innerhalb der Firewall befindet.