Μια επίθεση του Ryuk ransomware χρειάστηκε 29 ώρες από την αποστολή ενός email στο υποψήφιο θύμα για την πλήρη παραβίαση και την κρυπτογράφηση των συστημάτων, σύμφωνα με το DFIR Report, ένα έργο που παρέχει πληροφορίες για απειλές από πραγματικές επιθέσεις που παρατηρούνται από τα honeypots του.
Το Ryuk ransomware θεωρούταν αρχικά ότι ήταν έργο χάκερς της Βόρειας Κορέας, λόγω της ομοιότητάς του με το “Hermes” ransomware, αλλά στη συνέχεια συνδέθηκε με χάκερς της Ρωσίας. Τα δύο τελευταία χρόνια, το Ryuk ransomware βρισκόταν πίσω από έναν μεγάλο αριθμό υψηλού προφίλ επιθέσεων, συμπεριλαμβανομένων αυτών που αφορούσαν την Universal Health Services (UHS) με έδρα την Πενσυλβάνια και το νοσοκομειακό σύστημα του περιφερειακού ιατρικού κέντρου DCH της Αλαμπάμα.
Στην περίπτωση της επίθεσης που παρατηρήθηκε από το DFIR Report, όλα ξεκίνησαν με ένα κακόβουλο email που έφερε έναν σύνδεσμο για τη λήψη του Bazar / Kegtap loader, το οποίο εγχύθηκε σε πολλαπλές διαδικασίες και πραγματοποίησε αναγνώριση στο μολυσμένο σύστημα, χρησιμοποιώντας βοηθητικά προγράμματα Windows όπως τα nltest και net group, καθώς και το third-party εργαλείο “AdFind”.
Το malware παρέμεινε αθόρυβο για περίπου μια μέρα, μετά την οποία ξεκίνησε μια δεύτερη φάση αναγνώρισης, με την χρήση των ίδιων εργαλείων, καθώς και του Rubeus. Τα δεδομένα μεταφέρθηκαν σε έναν απομακρυσμένο server και οι εισβολείς εκτέλεσαν πλευρική κίνηση.
Για να θέσουν σε κίνδυνο κι άλλα συστήματα στο δίκτυο, οι εισβολείς χρησιμοποίησαν διάφορες μεθόδους, όπως απομακρυσμένο WMI (Windows Management Instrumentation), απομακρυσμένη εκτέλεση υπηρεσίας με PowerShell και ένα Cobalt Strike beacon που “ρίχνεται” στο SMB. Στη συνέχεια,το Cobalt Strike beacon χρησιμοποιήθηκε ως το κύριο κεντρικό σημείο.
Κατόπιν, δημιουργήθηκαν επιπλέον beacons σε όλο το περιβάλλον και το PowerShell χρησιμοποιήθηκε για την απενεργοποίηση του Windows Defender. Το Ryuk ransomware εκτελέστηκε ένα λεπτό αφότου μεταφέρθηκε μέσω SMB από τον άξονα και, μόλις ξεκίνησε η κρυπτογράφηση, οι servers που χρησιμοποιούνταν για την αποθήκευση αντιγράφων ασφαλείας “χτυπήθηκαν” πρώτοι.
Το DFIR Report, το οποίο παρέχει μια ολοκληρωμένη τεχνική ανάλυση για επιθέσεις, αποκαλύπτει ότι το Ryuk ransomware μεταφέρθηκε επίσης στους υπόλοιπους κεντρικούς υπολογιστές του δικτύου μέσω SMB. Επιπλέον, σύμφωνα με το DFIR Report, συνολικά, αυτή η εκστρατεία διήρκεσε 29 ώρες – από την αρχική εκτέλεση του Bazar, έως το domain wide ransomware. Εάν τα θύματα έχαναν την πρώτη μέρα της ανακάλυψης, θα είχαν λίγο περισσότερο από 3 ώρες για να ανταποκριθούν προτού τους ζητηθούν λύτρα.
Μετά την κρυπτογράφηση των συστημάτων, οι επιτιθέμενοι απαίτησαν περίπου 600 bitcoin (περίπου 6 εκατομμύρια δολάρια) σε λύτρα. Ωστόσο, ήταν πρόθυμοι να διαπραγματευτούν με τα θύματα.
Χθες, η Microsoft ανακοίνωσε ότι κατέστρεψε την υποδομή του TrickBot, του botnet που χρησιμοποιήθηκε ως το κύριο κανάλι παράδοσης του Ryuk ransomware.
