Κυριακή, 21 Φεβρουαρίου, 17:22
Αρχική security Ryuk ransomware: Χρειάζονται 29 ώρες απ'την αποστολή email για την παραβίαση συστημάτων

Ryuk ransomware: Χρειάζονται 29 ώρες απ’την αποστολή email για την παραβίαση συστημάτων

Μια επίθεση του Ryuk ransomware χρειάστηκε 29 ώρες από την αποστολή ενός email στο υποψήφιο θύμα για την πλήρη παραβίαση και την κρυπτογράφηση των συστημάτων, σύμφωνα με το DFIR Report, ένα έργο που παρέχει πληροφορίες για απειλές από πραγματικές επιθέσεις που παρατηρούνται από τα honeypots του.

Το Ryuk ransomware θεωρούταν αρχικά ότι ήταν έργο χάκερς της Βόρειας Κορέας, λόγω της ομοιότητάς του με το “Hermes” ransomware, αλλά στη συνέχεια συνδέθηκε με χάκερς της Ρωσίας. Τα δύο τελευταία χρόνια, το Ryuk ransomware βρισκόταν πίσω από έναν μεγάλο αριθμό υψηλού προφίλ επιθέσεων, συμπεριλαμβανομένων αυτών που αφορούσαν την Universal Health Services (UHS) με έδρα την Πενσυλβάνια και το νοσοκομειακό σύστημα του περιφερειακού ιατρικού κέντρου DCH της Αλαμπάμα.

Ryuk ransomware

Στην περίπτωση της επίθεσης που παρατηρήθηκε από το DFIR Report, όλα ξεκίνησαν με ένα κακόβουλο email που έφερε έναν σύνδεσμο για τη λήψη του Bazar / Kegtap loader, το οποίο εγχύθηκε σε πολλαπλές διαδικασίες και πραγματοποίησε αναγνώριση στο μολυσμένο σύστημα, χρησιμοποιώντας βοηθητικά προγράμματα Windows όπως τα nltest και net group, καθώς και το third-party εργαλείο “AdFind”.

Το malware παρέμεινε αθόρυβο για περίπου μια μέρα, μετά την οποία ξεκίνησε μια δεύτερη φάση αναγνώρισης, με την χρήση των ίδιων εργαλείων, καθώς και του Rubeus. Τα δεδομένα μεταφέρθηκαν σε έναν απομακρυσμένο server και οι εισβολείς εκτέλεσαν πλευρική κίνηση.
Για να θέσουν σε κίνδυνο κι άλλα συστήματα στο δίκτυο, οι εισβολείς χρησιμοποίησαν διάφορες μεθόδους, όπως απομακρυσμένο WMI (Windows Management Instrumentation), απομακρυσμένη εκτέλεση υπηρεσίας με PowerShell και ένα Cobalt Strike beacon που “ρίχνεται” στο SMB. Στη συνέχεια,το Cobalt Strike beacon χρησιμοποιήθηκε ως το κύριο κεντρικό σημείο.

Ryuk ransomware

Κατόπιν, δημιουργήθηκαν επιπλέον beacons σε όλο το περιβάλλον και το PowerShell χρησιμοποιήθηκε για την απενεργοποίηση του Windows Defender. Το Ryuk ransomware εκτελέστηκε ένα λεπτό αφότου μεταφέρθηκε μέσω SMB από τον άξονα και, μόλις ξεκίνησε η κρυπτογράφηση, οι servers που χρησιμοποιούνταν για την αποθήκευση αντιγράφων ασφαλείας “χτυπήθηκαν” πρώτοι.

Το DFIR Report, το οποίο παρέχει μια ολοκληρωμένη τεχνική ανάλυση για επιθέσεις, αποκαλύπτει ότι το Ryuk ransomware μεταφέρθηκε επίσης στους υπόλοιπους κεντρικούς υπολογιστές του δικτύου μέσω SMB. Επιπλέον, σύμφωνα με το DFIR Report, συνολικά, αυτή η εκστρατεία διήρκεσε 29 ώρες – από την αρχική εκτέλεση του Bazar, έως το domain wide ransomware. Εάν τα θύματα έχαναν την πρώτη μέρα της ανακάλυψης, θα είχαν λίγο περισσότερο από 3 ώρες για να ανταποκριθούν προτού τους ζητηθούν λύτρα.

Ryuk ransomware

Μετά την κρυπτογράφηση των συστημάτων, οι επιτιθέμενοι απαίτησαν περίπου 600 bitcoin (περίπου 6 εκατομμύρια δολάρια) σε λύτρα. Ωστόσο, ήταν πρόθυμοι να διαπραγματευτούν με τα θύματα.

Χθες, η Microsoft ανακοίνωσε ότι κατέστρεψε την υποδομή του TrickBot, του botnet που χρησιμοποιήθηκε ως το κύριο κανάλι παράδοσης του Ryuk ransomware.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

Πώς θα προσθέσετε ειδικά εφέ στα μηνύματα του Instagram

Γνωρίζατε ότι μπορείτε να κάνετε τα άμεσα μηνύματα του Instagram πιο εντυπωσιακά; Όπως κάθε άλλη δυνατότητα του Instagram, μπορείτε να προσθέσετε ειδικά...

Μόνο 270 διευθύνσεις είναι υπεύθυνες για το 55% του συνόλου της νομιμοποίησης εσόδων από παράνομες δραστηριότητες

Οι κυβερνοεγκληματίες που διατηρούν τα χρήματά τους σε κρυπτονομίσματα τείνουν να «ξεπλένουν» χρήματα μέσω ενός μικρού συνόλου διαδικτυακών υπηρεσιών, σύμφωνα με την...

Twitter: Έρχονται τα φωνητικά μηνύματα! Πώς θα τα στέλνουμε;

Το Twitter θα υποστηρίζει σύντομα φωνητικά μηνύματα τόσο στην iOS όσο και στην Android εφαρμογή. Αυτό σημαίνει ότι θα μπορείτε να στέλνετε...

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...

Ποιες είναι οι 6 πιο γνωστές επιθέσεις σε gaming εταιρείες;

Πριν μερικές ημέρες, η εταιρεία gaming Big Huge Games ενημέρωσε τους παίκτες ότι υπήρξε θύμα μιας επίθεσης, η οποία επηρέασε δεδομένα της...