Operatorii ransomware-ului Ryuk sunt din nou la atac. După o lungă perioadă de liniște, am identificat o nouă campanie de spam legată de actorii Ryuk – parte a unui nou val de atacuri. Iar la sfârșitul lunii septembrie, echipa Sophos Managed Threat Response a asistat o organizație în atenuarea unui atac Ryuk – oferind o perspectivă asupra modului în care au evoluat instrumentele, tehnicile și practicile actorilor Ryuk. Atacul face parte dintr-un val recent de incidente Ryuk legate de campanii recente de phishing.
Primul reperat în august 2018, banda Ryuk a căpătat notorietate în 2019, cerând răscumpărări de mai multe milioane de dolari de la companii, spitale și guverne locale. În acest proces, operatorii de ransomware au obținut peste 61 de milioane de dolari doar în SUA, potrivit cifrelor Biroului Federal de Investigații. Și asta este doar ceea ce s-a raportat – alte estimări plasează încasările lui Ryuk în 2019 la sute de milioane de dolari.
Începând în jurul începutului pandemiei mondiale COVID-19, am văzut o acalmie în activitatea Ryuk. S-a speculat că actorii Ryuk au trecut la o versiune rebranduită a ransomware-ului, numită Conti. Campania și atacul pe care le-am investigat au fost interesante atât pentru că au marcat revenirea lui Ryuk cu unele modificări minore, dar au arătat, de asemenea, o evoluție a instrumentelor folosite pentru a compromite rețelele vizate și pentru a implementa ransomware.
Atacul a fost, de asemenea, remarcabil din cauza rapidității cu care atacurile pot trece de la compromiterea inițială la implementarea ransomware-ului. În termen de trei ore și jumătate de la deschiderea de către o țintă a unui atașament de e-mail de phishing, atacatorii efectuau deja recunoașterea rețelei. În decurs de o zi, aceștia obținuseră acces la un controler de domeniu și se aflau în primele etape ale unei încercări de a implementa ransomware.
Atacatorii au fost, de asemenea, perseverenți. Pe măsură ce încercările de a lansa atacul au eșuat, actorii Ryuk au încercat de mai multe ori în săptămâna următoare să instaleze noi programe malware și ransomware, inclusiv încercări reînnoite de phishing pentru a restabili un punct de sprijin. Înainte ca atacul să se încheie, peste 90 de servere și alte sisteme au fost implicate în atac, deși ransomware-ul a fost blocat de la executarea completă.
Lasă-l pe cel greșit să intre
Faza inițială de compromitere, recunoaștere și mișcare laterală a atacului Ryuk
Atacul a început în după-amiaza zilei de marți. 22 septembrie. Mai mulți angajați ai companiei vizate primiseră e-mailuri de phishing foarte bine direcționate:
De la:
De: Alex Collins
Către:
Subiect: Re: despre debit
Vă rog să mă sunați până la ora 14:00, voi fi la birou până la ora 14:00.
, din cauza solicitării sediului central #96-9/23 , voi procesa suplimentar 3.582 din contul dvs. de salariu.
, sunați-mă când veți fi disponibil pentru a confirma că totul este corect.
Aceasta este o copie a declarației dvs. în format PDF.
Alex Collins
specialist în externalizare
Legătura, servită prin intermediul serviciului de livrare a corespondenței Sendgrid, a redirecționat către un document malițios găzduit pe docs.google.com. E-mailul a fost marcat cu avertismente de expeditor extern de către software-ul de e-mail al companiei. Și mai multe instanțe ale atașamentului malițios au fost detectate și blocate.
Dar un angajat a făcut clic pe linkul din e-mail în acea după-amiază. Utilizatorul a deschis documentul și i-a activat conținutul, permițând documentului să execute print_document.exe-un executabil malițios identificat ca Buer Loader. Buer Loader este un program modular de descărcare de malware-as-a-service, introdus la vânzare pe forumurile underground în august 2019. Acesta oferă un serviciu de distribuție de malware gestionat de un panou web; fiecare build de downloader este vândut pentru 350 de dolari, modulele adiționale și modificările de adrese de descărcare a țintelor fiind facturate separat.
În acest caz, la execuție, malware-ul Buer Loader a aruncat qoipozincyusury.exe, un „beacon” Cobalt Strike, împreună cu alte fișiere malware. Baliza Cobalt Strike, proiectată inițial pentru emulația atacatorilor și testarea penetrării, este un instrument de atac modular care poate îndeplini o gamă largă de sarcini, oferind acces la caracteristicile sistemului de operare și stabilind un canal de comandă și control sub acoperire în cadrul rețelei compromise.
În următoarea oră și jumătate, au fost detectate balize Cobalt Strike suplimentare pe sistemul compromis inițial. Atacatorii au reușit apoi să stabilească cu succes un punct de sprijin pe stația de lucru vizată pentru recunoaștere și pentru a vâna acreditările.
Câteva ore mai târziu, a început recunoașterea rețelei de către actorii Ryuk. Următoarele comenzi au fost rulate pe sistemul infectat inițial:
C:\WINDOWS\system32\cmd.exe /C whoami /groups (accesarea listei de grupuri AD în care se află utilizatorul local)
C:\WINDOWS\system32\cmd.exe /C nltest /domain_trusts /all_trusts (returnează o listă cu toate domeniile de încredere)
C:\WINDOWS\system32\cmd.exe /C net group „enterprise admins” /domain (returnează o listă a membrilor grupului „enterprise admins” pentru domeniul respectiv)
C:\WINDOWS\system32\net1 group „domain admins” /domain (același lucru, dar o listă a grupului „domain admins”)
C:\WINDOWS\system32\cmd.exe /C net net localgroup administrators (returnează o listă de administratori pentru mașina locală)
C:\WINDOWS\system32\cmd.exe /C nltest /dclist: (returnează numele controlorilor de domeniu pentru numele de domeniu al companiei)
C:\WINDOWS\system32\cmd.exe /C nltest /dclist: (același lucru, dar verifică controlorii de domeniu care folosesc numele companiei ca nume de domeniu)
Forward lateral
Utilizând aceste date, până miercuri dimineața actorii obținuseră acreditări administrative și se conectaseră la un controler de domeniu, unde au efectuat o descărcare de date a detaliilor Active Directory. Cel mai probabil, acest lucru a fost realizat prin utilizarea SharpHound, un instrument „injestor” de date bazat pe Microsoft C# pentru BloodHound (un instrument de analiză Active Directory open-source utilizat pentru a identifica căile de atac în mediile AD). O descărcare de date de la acest instrument a fost scrisă într-un director de utilizator pentru contul de administrator de domeniu compromis pe serverul de domeniu însuși.
Un alt executabil Cobalt Strike a fost încărcat și lansat câteva ore mai târziu. Aceasta a fost urmată imediat de instalarea unui serviciu Cobalt Strike pe controlerul de domeniu folosind acreditările de administrator de domeniu obținute anterior. Serviciul era un ascultător Server Message Block înlănțuit, care permitea transmiterea comenzilor Cobalt Strike către server și către alte calculatoare din rețea. Folosind Windows Management Interface, atacatorii au executat de la distanță o nouă baliză Cobalt Strike pe același server.
În scurt timp, alte servicii malițioase au fost create pe alte două servere folosind aceleași credențiale de administrator, folosind Windows Management Instrumentation de pe PC-ul compromis inițial. Unul dintre serviciile configurate a fost o comandă PowerShell codificată care a creat încă o țeavă de comunicații Cobalt.
Actorii au continuat să desfășoare activități de recunoaștere de pe desktopul infectat inițial, executând comenzi care încercau să identifice potențiale ținte pentru mișcări laterale ulterioare. Multe dintre acestea repetau comenzi anterioare. Comanda nltest a fost utilizată în încercarea de a prelua date de la controlorii de domeniu de pe alte domenii din cadrul arborelui Active Directory al întreprinderii. Alte comenzi au efectuat ping-uri la servere specifice, încercând să obțină adrese IP. Actorii au verificat, de asemenea, toate partajările de rețea mapate conectate la stația de lucru și au folosit WMI pentru a verifica dacă există sesiuni Remote Desktop active pe un alt controler de domeniu din cadrul arborelui Active Directory.
Stabilirea capcanei
Miercuri după-amiază târziu – la mai puțin de o zi după ce victima a dat click pe phish – actorii Ryuk au început pregătirile pentru a-și lansa ransomware-ul. Folosind capul de pod de pe PC-ul compromis inițial, atacatorii au folosit RDP pentru a se conecta la controlerul de domeniu cu acreditările de administrator obținute cu o zi înainte. Un dosar numit C:\Perflogs\grub.info.test2 – Copy a fost plasat pe controlerul de domeniu – un nume în concordanță cu un set de instrumente utilizate în atacurile Ryuk anterioare. Câteva ore mai târziu, atacatorii au rulat o comandă PowerShell codificată care, accesând datele Active Directory, a generat un fișier de descărcare numit ALLWindows.csv, care conținea date de autentificare, controler de domeniu și sistem de operare pentru computerele Windows din rețea.
În continuare, proxy-ul malițios SystemBC a fost implementat pe controlerul de domeniu. SystemBC este un proxy SOCKS5 utilizat pentru a ascunde traficul malware care împărtășește codul și markerii criminaliști cu alte programe malware din familia Trickbot. Malware-ul s-a instalat singur (ca itvs.exe) și a creat o sarcină programată pentru malware, folosind vechiul format al programatorului de sarcini Windows într-un fișier numit itvs.job – pentru a menține persistența.
A urmat un script PowerShell încărcat în folderul grub.info.test de pe controlerul de domeniu. Acest script, Get.DataInfo.ps1 , scanează rețeaua și oferă o ieșire cu privire la sistemele care sunt active. De asemenea, verifică ce AV rulează pe sistem.
Actorii Ryuk au folosit o serie de metode pentru a încerca să răspândească fișiere pe servere suplimentare, inclusiv partajări de fișiere, WMI și transfer de clipboard prin Remote Desktop Protocol. WMI a fost folosit pentru a încerca să execute GetDataInfo.ps1 împotriva unui alt server.
Eșecul lansării
Joi dimineața, atacatorii au răspândit și au lansat Ryuk. Această versiune a lui Ryuk nu a avut modificări substanțiale față de versiunile anterioare pe care le-am văzut în ceea ce privește funcționalitatea de bază, dar dezvoltatorii lui Ryuk au adăugat mai multă ofuscare în cod pentru a se sustrage detecțiilor malware-ului bazate pe memorie.
Serverul de backup al organizației a fost printre primele vizate. Când Ryuk a fost detectat și oprit pe serverul de backup, atacatorii au folosit comanda icacls pentru a modifica controlul accesului, oferindu-le controlul total asupra tuturor folderelor de sistem de pe server.
Apoi au implementat GMER, un instrument „detector de rootkit”:
Instrumentul de vânătoare de procese GMER.
GMER este folosit frecvent de actorii ransomware pentru a găsi și opri procesele ascunse și pentru a opri software-ul antivirus care protejează serverul. Atacatorii Ryuk au făcut acest lucru, iar apoi au încercat din nou. Ransomware-ul Ryuk a fost redislocat și relansat de încă trei ori în scurt timp, încercând să copleșească apărarea rămasă pe serverul de backup.
Note de răscumpărare au fost lăsate în folderele care găzduiau ransomware-ul, dar niciun fișier nu a fost criptat.
Nota de răscumpărare în format HTML a lui Ryuk.
În total, Ryuk a fost executat în atacuri lansate de pe peste 40 de sisteme compromise,dar a fost blocat în mod repetat de Sophos Intercept X. Până joi la prânz, partea de ransomware a atacului a fost zădărnicită. Dar atacatorii nu terminaseră de încercat – și nu ieșiseră încă din rețea.
Vineri, apărătorii au implementat un blocaj în toate domeniile afectate de atac pentru SystemBC RAT. A doua zi, atacatorii au încercat să activeze un alt proxy SOCKS pe controlerul de domeniu încă compromis. Și alte implementări Ryuk au fost detectate în cursul săptămânii următoare – împreună cu încercări suplimentare de phishing și încercări de a implementa Cobalt Strike.
Lecții învățate
Clanțul de exploatare al atacului Ryuk.
Tacticile afișate de actorii Ryuk în acest atac demonstrează o schimbare solidă față de malware-ul care a stat la baza majorității atacurilor Ryuk de anul trecut (Emotet și Trickbot). Banda Ryuk a trecut de la un furnizor de malware-as-a-service (Emotet) la altul (Buer Loader) și, aparent, a înlocuit Trickbot cu instrumente de exploatare mai practice la tastatură – Cobalt Strike, Bloodhound și GMER, printre altele – și cu instrumente de scripting Windows și instrumente administrative integrate pentru a se deplasa lateral în rețea. Iar atacatorii își schimbă rapid tacticile pe măsură ce apar oportunități de a exploata infrastructura rețelei locale – într-un alt atac recent la care Sophos a răspuns luna aceasta, actorii Ryuk au folosit, de asemenea, Windows Global Policy Objects implementate de la controlerul de domeniu pentru a răspândi ransomware. Și alte atacuri recente au folosit un alt backdoor conectat la Trickbot, cunoscut sub numele de Bazar.
Varietatea de instrumente folosite, inclusiv instrumente de atac din comerț și open-source, precum și volumul și viteza atacurilor indică o evoluție a abilităților operaționale ale bandei Ryuk. Suita de „securitate ofensivă” Cobalt Strike este un instrument favorit atât al actorilor sponsorizați de stat, cât și al actorilor criminali, datorită ușurinței sale relative de utilizare și a funcționalității sale extinse, precum și a disponibilității sale largi – versiunile „crăpate” ale software-ului cu licență comercială sunt achiziționate cu ușurință în forumurile clandestine. Iar software-ul le oferă actorilor un set de instrumente gata de utilizare pentru exploatare, deplasare laterală și multe dintre celelalte sarcini necesare pentru a fura date, a intensifica compromiterea și a lansa atacuri de tip ransomware, fără a fi nevoie de programe malware create special.
În timp ce acest atac a avut loc rapid, persistența atacurilor după eșecul inițial al lui Ryuk de a cripta datele demonstrează că actorii Ryuk – la fel ca mulți atacatori de ransomware – sunt lenți în a-și desface fălcile și pot persista pentru perioade lungi de timp odată ce s-au deplasat lateral în rețea și pot stabili backdoor-uri suplimentare. Atacul arată, de asemenea, că Remote Desktop Protocol poate fi periculos chiar și atunci când se află în interiorul firewall-ului.
