Ukierunkowany ransomware – Ryuk
Ransomware Ryuk pojawił się po raz pierwszy w sierpniu 2018 r., jednak najprawdopodobniej opiera się na starszym programie ransomware o nazwie Hermes, który był sprzedawany na podziemnych forach cyberprzestępczych już w 2017 r. Hermes był wykorzystany m.in. przez północnokoreańską grupę Lazarus w ataku na Tajwański Dalekowschodni Międzynarodowy Bank (FEIB) w październiku 2017 roku.
Powszechnie uważa się, że Ryuk został stworzony przez rosyjskojęzyczną grupę cyberprzestępców, która uzyskała dostęp do Hermesa. Gang Ryuk jest pilnie obserwowany przez firmy zajmujące się cyberbezpieczeństwem i możemy być pewni, że jest to ta sama grupa, która obsługuje TrickBot, znacznie starszy i aktywny trojan kradnący dane uwierzytelniające.
Gang Ryuk żąda gigantycznego okupu za odszyfrowanie plików
Ataki ransomware Ryuk są skierowane do najbardziej narażonych organizacji, stąd też są one często bardziej skłonne do zapłacenia okupu, który w przypadku tego gangu opiewa na wyjątkowo wysokie kwoty. Atakujący Ryuk żądają od swoich ofiar wyższego okupu w porównaniu z wieloma innymi gangami ransomware. Kwoty okupu po ataku ransomware Ryuk zazwyczaj wahają się od 15 do 50 Bitcoinów lub od 100 000 do 500 000 $, choć podobno płacono jeszcze wyższe kwoty za odszyfrowanie danych.
Podczas konferencji RSA 2020 FBI ujawniło, że w latach 2013-2019 organizacje zapłaciły ponad 144 miliony dolarów w bitcoinach grupom ransomware (dane nie obejmują zapłaty okupu w walucie innej niż BTC). Niemal 62 miliony dolarów z tej kwoty wpłynęło na konto gangu Ryuk, jest to prawie trzykrotnie większa suma niż to, co zarobił gang ransomware Crysis/Dharma, który plasuje się na drugim miejscu tego zestawienia.
Jak gang ransomware Ryuk wybiera swoje ofiary? Jak ransomware jest dystrybuowany?
Ryuk jest prawie zawsze rozprowadzany za pośrednictwem TrickBota lub podąża za infekcją trojanem. Jednak nie wszystkie infekcje TrickBot prowadzą do Ryuka. Najczęściej atak Ryuka następuje kilka tygodni po tym, jak TrickBot po raz pierwszy pojawia się w sieci ofiary. Jest to prawdopodobne, ponieważ osoby atakujące wykorzystują dane zebrane przez TrickBota do identyfikacji potencjalnie wartościowych sieci dla Ryuka.
Po wyborze celu następują ręczne działania hakerskie, które obejmują rozpoznanie sieci i ruch boczny w celu złamania zabezpieczeń i uzyskania dostępu do jak największej liczby systemów. Gwarantuje to, że po ataku Ryuk cała sieć zostanie szybko zainfekowana, co zmusi organizację do jak najszybszego zapłacenia okupu.
Microsoft określa Ryuka jako atak ransomware obsługiwany przez człowieka i jest to część szerszego trendu, w którym gangi ransomware stosują wysoce ukierunkowane i ukryte techniki.
Po infekcji TrickBotem i zidentyfikowaniu interesującego celu, gang Ryuk wdraża ramy post-exploitation, takie jak Cobalt Strike lub PowerShell Empire, które pozwalają im wykonywać złośliwe działania na komputerach bez wyzwalania alertów bezpieczeństwa. PowerShell to język skryptowy przeznaczony do administrowania systemem Windows i jest domyślnie włączony na komputerach z tym systemem. Jego potężne funkcje i powszechna dostępność na komputerach sprawiły, że PowerShell stał się popularnym narzędziem wśród hakerów.
Jak przebiega szyfrowanie plików przez Ryuk?
Według raportu CERT-FR nowszy wariant Ryuk zawiera kod, który umożliwia mu automatyczne rozprzestrzenianie się na inne komputery w sieci lokalnej po uzyskaniu przez osoby atakujące uprzywilejowanego konta w domenie.
Ryuk szyfruje wszystkie pliki z wyjątkiem tych z rozszerzeniami .dll, .lnk, .hrmlog, .ini i .exe. Pomija również pliki przechowywane w katalogach Windows System32, Chrome, Mozilla, Internet Explorer i Kosz. Te reguły wykluczeń mają prawdopodobnie na celu zachowanie stabilności systemu i umożliwienie ofierze skorzystania z przeglądarki i dokonania płatności za odszyfrowanie plików.
Ryuk używa silnego szyfrowania plików opartego na AES-256. Klucze szyfrujące są przechowywane na końcu zaszyfrowanych plików, których rozszerzenie zostało zmienione na .ryk. Klucze AES są zaszyfrowane za pomocą pary publicznych kluczy prywatnych RSA-4096 kontrolowanych przez atakujących. Oznacza to, że nawet jeśli prywatny klucz RSA powiązany z jedną ofiarą zostanie opublikowany, nie można go użyć do odszyfrowania plików należących do innych ofiar.
Jak odszyfrować pliki po ataku ransomware Ryuk?
Niestety żadne dostępne narzędzie nie potrafi odszyfrować plików zaszyfrowanych przez Ryuk, a badacze ostrzegają, że nawet deszyfrator dostarczony przez atakujących do ofiar, które zdecydowały się zapłacić okup może czasami uszkodzić pliki. Zwykle dzieje się tak w przypadku większych plików, w których Ryuk celowo wykonuje tylko częściowe szyfrowanie. Ponadto, pomimo umieszczenia na białej liście niektórych plików i katalogów systemowych, Ryuk nadal może szyfrować pliki, które są krytyczne dla normalnego działania systemu, co czasami powoduje, że po ponownym uruchomieniu systemy nie działają prawidłowo. Wszystkie te problemy mogą skomplikować działania naprawcze i zwiększyć koszty ponoszone przez ofiary w wyniku ataków Ryuk.
Podobnie jak większość programów ransomware, Ryuk próbuje usunąć kopie woluminów w tle, aby zapobiec odzyskaniu danych za pomocą alternatywnych metod. Zawiera również skrypt kill.bat, który wyłącza różne usługi, w tym kopie zapasowe sieci i Windows Defender.
Ochrona przed ransomware Ryuk
Jak zmniejszyć prawdopodobieństwo infekcji Ryuk? Ochrona przed atakami ransomware obsługiwanymi przez ludzi wymaga skorygowania dotychczasowego podejścia do cyberbezpieczeństwa. Niestety tradycyjne oprogramowanie antywirusowe oparte na sygnaturach nie radzi sobie z bardziej wyrafinowanymi atakami jak Ryuk. Rozwiązaniem jest antywirus wykorzystujący uczenie maszynowe i AI, dzięki zastosowaniu nowoczesnych technologii antywirusy nowej generacji z łatwością rozpoznają każdą nietypową aktywność w naszej sieci i zabezpieczają ją nawet przed nieznanymi dotąd zagrożeniami. Takim antywirusem jest CylancePROTECT, chciałbyś zobaczyć, w jaki sposób działa? Zapraszamy na live demo podczas naszego środowego webinaru, gdzie pokażemy jak CylancePROTECT blokuje m.in. próbki ransomware.
Co jeszcze powinniśmy zmienić w naszym podejściu do cyberbezpieczeństwa? Przede wszystkim musimy znacznie poważniej traktować pozornie niegroźne infekcje złośliwym oprogramowaniem. Jak pokazuje Ryuk, typowe zagrożenia, takie jak Emotet i TrickBot, rzadko pojawiają się same i mogą być oznaką znacznie głębszych problemów. Samo usunięcie typowego złośliwego oprogramowania z systemu bez przeprowadzania dalszych badań może mieć katastrofalne konsekwencje kilka tygodni później.
