logo

Ransomware Ryuk | Empresa de TI - Sophos - Microsoft - Google - Dell

publicado em:29/10/20 2:50 PM por: Gonçalves NotíciaRansomwareSegurança Da Informção

Após uma longa pausa, o ransomware Ryuk retorna com novas ferramentas e táticas.

Os operadores do ransomware Ryuk estão de volta. Depois de um longo período de silêncio, identificamos uma nova campanha de spam vinculada aos atores de Ryuk, parte de uma nova onda de ataques. E no final de setembro, a equipe de Resposta Gerenciada a Ameaças da Sophos ajudou uma organização a mitigar um ataque de Ryuk, fornecendo uma visão sobre como as ferramentas, técnicas e práticas dos atores de Ryuk evoluíram. O ataque faz parte de uma onda recente de incidentes com Ryuk, ligados a recentes campanhas de phishing.

Quando começou o Ryuk?

Localizada pela primeira vez em agosto de 2018, a gangue de Ryuk ganhou notoriedade em 2019, exigindo resgates multimilionários de empresas, hospitais e governos locais.

No processo, os operadores do ransomware arrecadaram mais de US $ 61 milhões apenas nos EUA, de acordo com dados do Federal Bureau of Investigation. E isso é apenas o que foi relatado, outras estimativas colocam a participação de Ryuk em 2019 na casa de centenas de milhões de dólares.

O retorno de Ryuk

Começando por volta do início da pandemia mundial de COVID-19, vimos uma calmaria na atividade de Ryuk. Especulou-se que os atores Ryuk haviam mudado para uma versão reformulada do ransomware, chamada Conti.

A campanha e o ataque que investigamos foram interessantes porque marcaram o retorno de Ryuk com algumas pequenas modificações, mas também mostraram uma evolução das ferramentas usadas para comprometer redes direcionadas e implantar o ransomware.

O ataque também foi notável devido à rapidez com que os ataques podem passar do comprometimento inicial para a implantação de ransomware.

O ataque

Três horas e meia após um alvo abrir um anexo de e-mail de phishing, os invasores já estavam realizando um reconhecimento de rede. Em um dia, eles ganharam acesso a um controlador de domínio e estavam nos estágios iniciais de uma tentativa de implantar ransomware.

Os invasores também foram persistentes. Como as tentativas de lançar o ataque falharam, os atores do Ryuk tentaram várias vezes na semana seguinte instalar um novo malware e ransomware, incluindo novas tentativas de phishing para restabelecer uma posição segura.

Antes de o ataque ser concluído, mais de 90 servidores e outros sistemas estavam envolvidos no ataque, embora o ransomware tenha sua execução bloqueada.

Deixe o errado entrar

Compromisso inicial, fase de reconhecimento e movimento lateral do ataque de Ryuk.

E-mail phishing direcionado

O ataque começou na tarde desta terça-feira. 22 de setembro. Vários funcionários da empresa-alvo receberam e-mails de phishing altamente direcionados:

De: Alex Collins [endereço de e-mail externo falsificado]

Para: [indivíduo-alvo]

Assunto: Re: [sobrenome desejado] sobre débito

Ligue-me de volta até às 14h, estarei no escritório da [nome da empresa] até às 14h.

[Sobrenome de destino], devido à solicitação da sede da [nome da empresa] nº 96-9 / 23 [vinculada ao arquivo remoto], processarei mais 3.582 da sua conta de folha de pagamento.

[Nome do destino], ligue-me de volta quando estiver disponível para confirmar se tudo está correto.

Aqui está uma cópia de sua declaração em PDF [link para arquivo remoto].

 

Alex Collins

Especialista em terceirização da [nome da empresa]

O link, servido através do serviço de entrega de correio Sendgrid, redirecionava para um documento malicioso hospedado em docs.google.com. O e-mail foi marcado com avisos de remetente externo pelo software de e-mail da empresa. E várias instâncias do anexo malicioso foram detectadas e bloqueadas.

O malwere Buer Loader

Mas um funcionário clicou no link do e-mail naquela tarde. O usuário abriu o documento e ativou seu conteúdo, permitindo que o documento execute print_document.exe, um executável malicioso identificado como Buer Loader.

O Buer Loader é um downloader modular de malware como serviço, introduzido em fóruns clandestinos para venda em agosto de 2019. Ele fornece um serviço de distribuição de malware gerenciado por painel da web; cada versão do downloader foi vendida por US $ 350, com módulos adicionais e alterações de destino de download cobradas separadamente.

Nesse caso, durante a execução, o malware Buer Loader descartou qoipozincyusury.exe , um “farol” Cobalt Strike, junto com outros arquivos de malware.

Emulação de invasores

O beacon do Cobalt Strike, originalmente projetado para emulação de invasores e testes de penetração, é uma ferramenta de ataque modular que pode realizar uma ampla gama de tarefas, fornecendo acesso aos recursos do sistema operacional e estabelecendo um comando oculto e canal de controle dentro da rede comprometida.

Durante a próxima hora e meia, balizas adicionais de Cobalt Strike foram detectadas no sistema inicialmente comprometido. Os atacantes foram então capazes de estabelecer uma posição segura na estação de trabalho alvo para reconhecimento e busca de credenciais.

Algumas horas depois, o reconhecimento da rede pelos atores de Ryuk começou. Os seguintes comandos foram executados no sistema inicialmente infectado:

  • C: \ WINDOWS \ system32 \ cmd.exe / C whoami / groups (acessando a lista de grupos AD em que o usuário local está)

  • C: \ WINDOWS \ system32 \ cmd.exe / C nltest / domain_trusts / all_trusts (retorna uma lista de todos os domínios confiáveis)

  • C: \ WINDOWS \ system32 \ cmd.exe / C net group “enterprise admins” / domain (retorna uma lista de membros do grupo “enterprise admins” para o domínio)

  • C: \ WINDOWS \ system32 \ net1 grupo “administradores de domínio” / domínio (o mesmo, mas uma lista do grupo “administradores de domínio”)

  • C: \ WINDOWS \ system32 \ cmd.exe / C net localgroup administrators (retorna uma lista de administradores para a máquina local)

  • C: \ WINDOWS \ system32 \ cmd.exe / C ipconfig (retorna a configuração de rede)

  • C: \ WINDOWS \ system32 \ cmd.exe / C nltest / dclist: [nome de domínio da empresa de destino] (retorna nomes dos controladores de domínio para o nome de domínio da empresa)

  • C: \ WINDOWS \ system32 \ cmd.exe / C nltest / dclist: [nome da empresa de destino] (o mesmo, mas verificando se há controladores de domínio usando o nome da empresa como nome de domínio)

Lateral frontal

Usando esses dados, na manhã de quarta-feira os atores obtiveram credenciais administrativas e se conectaram a um controlador de domínio, onde executaram um despejo de dados dos detalhes do Active Directory.

Provavelmente, isso foi conseguido com o uso do SharpHound , uma ferramenta “injestor” de dados baseada em C # da Microsoft para BloodHound (uma ferramenta de análise do Active Directory de código aberto usada para identificar caminhos de ataque em ambientes AD).

Um despejo de dados da ferramenta foi gravado em um diretório de usuário da conta do administrador de domínio comprometida no próprio servidor de domínio.

Executável Cobalt Strike

Outro executável Cobalt Strike foi carregado e iniciado algumas horas depois. Isso foi seguido imediatamente pela instalação de um serviço Cobalt Strike no controlador de domínio usando as credenciais de administrador de domínio obtidas anteriormente.

O serviço era um ouvinte do Bloco de Mensagens do Servidor em cadeia, permitindo que os comandos Cobalt Strike fossem passados ​​para o servidor e outros computadores na rede. Usando a interface de gerenciamento do Windows, os invasores executaram remotamente um novo beacon Cobalt Strike no mesmo servidor.

Em pouco tempo, outros serviços maliciosos foram criados em dois outros servidores usando as mesmas credenciais de administrador, usando a Instrumentação de Gerenciamento do Windows do PC inicialmente comprometido. Um dos serviços configurados foi um comando PowerShell codificado criando mais um canal de comunicação Cobalt.

Reconhecimento da área infectada

Os atores continuaram a realizar atividades de reconhecimento na área de trabalho inicialmente infectada, executando comandos que tentavam identificar alvos em potencial para movimentos laterais posteriores.

Muitos desses comandos anteriores repetidos. O comando nltest foi usado em uma tentativa de recuperar dados de controladores de domínio em outros domínios dentro da árvore corporativa do Active Directory.

Outros comandos executaram ping em servidores específicos, tentando obter endereços IP. Os atores também verificaram todos os compartilhamentos de rede mapeados conectados à estação de trabalho e usaram o WMI para verificar as sessões ativas da Área de Trabalho Remota em outro controlador de domínio na árvore do Active Directory.

Preparando a armadilha

No final da tarde de quarta-feira, menos de um dia após o clique da vítima no phishing, os atores Ryuk começaram os preparativos para lançar seu ransomware.

Usando a cabeça de ponte no PC inicialmente comprometido, os invasores usaram o RDP para se conectar ao controlador de domínio com as credenciais de administrador obtidas no dia anterior.

Uma pasta chamada C: \ Perflogs \ grub.info.test2 – Cópia  foi descartada no controlador de domínio, um nome consistente com um conjunto de ferramentas implantadas em ataques Ryuk anteriores.

Comando PowerShell

Algumas horas depois, os invasores executaram um comando PowerShell codificado que, acessando os dados do Active Directory, gerou um arquivo de despejo chamado ALLWindows.csv , contendo dados de login, controlador de domínio e sistema operacional para computadores Windows na rede.

Em seguida, o proxy malicioso SystemBC foi implantado no controlador de domínio. SystemBC é um proxy SOCKS5 usado para ocultar o tráfego de malware que compartilha código e marcadores forenses com outro malware da família Trickbot.

O malware instalou-se (como itvs.exe) e criou um trabalho agendado para o malware, usando o antigo formato de agendador de tarefas do Windows em um arquivo chamado itvs.job, para manter a persistência.

Um script PowerShell carregado na pasta grub.info.test no controlador de domínio foi executado em seguida. Este script, Get.DataInfo.ps1 , varre a rede e fornece uma saída de quais sistemas estão ativos. Ele também verifica qual AV está sendo executado no sistema.

Os atores do Ryuk usaram vários métodos para tentar espalhar arquivos para servidores adicionais, incluindo compartilhamentos de arquivos, WMI e transferência da área de transferência do Remote Desktop Protocol. O WMI foi usado para tentar executar GetDataInfo.ps1 em outro servidor.

Falha ao iniciar

Quinta-feira de manhã, os atacantes se espalharam e lançaram Ryuk. Esta versão do Ryuk não teve alterações substanciais das versões anteriores que vimos em termos de funcionalidade principal, mas os desenvolvedores de Ryuk adicionaram mais ofuscação ao código para evitar as detecções baseadas na memória do malware.

O servidor de backup organizacional foi um dos primeiros alvos. Quando Ryuk foi detectado e interrompido no servidor de backup, os invasores usaram o comando icacls para modificar o controle de acesso, dando-lhes controle total de todas as pastas do sistema no servidor.

Eles então implantaram o GMER , uma ferramenta de “detector de rootkit”:

A ferramenta de busca de processos GMER.

O GMER é freqüentemente usado por agentes de ransomware para localizar e encerrar processos ocultos e para encerrar o software antivírus que protege o servidor.

Os atacantes de Ryuk fizeram isso e tentaram novamente. O ransomware Ryuk foi reimplantado e reiniciado mais três vezes em um curto espaço de tempo, tentando sobrecarregar as defesas restantes no servidor de backup.

As notas de resgate foram colocadas nas pastas que hospedam o ransomware, mas nenhum arquivo foi criptografado.

A nota de resgate de Ryuk HTML.

 

No total, o Ryuk foi executado em ataques lançados de mais de 40 sistemas comprometidos, mas foi repetidamente bloqueado pelo Sophos Intercept X.

Ao meio-dia de quinta-feira, a parte do ransomware do ataque foi impedida. Mas os invasores não pararam de tentar  e ainda não estavam fora da rede.

Na sexta-feira, os defensores implantaram um bloqueio nos domínios afetados pelo ataque para o SystemBC RAT.

No dia seguinte, os invasores tentaram ativar outro proxy SOCKS no controlador de domínio ainda comprometido. E implantações adicionais de Ryuk foram detectadas na semana seguinte, junto com outras tentativas de phishing e tentativas de implantar Cobalt Strike.

Lições aprendidas

A cadeia de exploração do ataque Ryuk.

 

As táticas exibidas pelos atores de Ryuk neste ataque demonstram uma mudança sólida em relação ao malware que foi a base da maioria dos ataques de Ryuk no ano passado (Emotet e Trickbot).

A gangue Ryuk mudou de um provedor de malware como serviço (Emotet) para outro (Buer Loader) e aparentemente substituiu o Trickbot por ferramentas de exploração de teclado mais práticas, Cobalt Strike, Bloodhound e GMER, entre elas, e ferramentas de script e administrativas integradas do Windows para mover lateralmente na rede.

E os invasores rapidamente mudam de tática à medida que surgem oportunidades de explorar a infraestrutura de rede local, em outro ataque recente ao qual a Sophos respondeu este mês, os atores do Ryuk também usaram o Windows Global Policy Objects implantado a partir do controlador de domínio para espalhar o ransomware.

A variedade de ferramentas sendo usadas, incluindo ferramentas de ataque prontas e de código aberto,  o volume e a velocidade dos ataques são indicativos de uma evolução nas habilidades operacionais da gangue Ryuk.

O pacote de “segurança ofensiva” do Cobalt Strike é uma ferramenta favorita tanto de criminosos patrocinados pelo estado quanto de criminosos, devido à sua relativa facilidade de uso e ampla funcionalidade, além de sua ampla disponibilidade, versões “crackeadas” do software licenciado comercialmente são prontamente compradas em fóruns clandestinos.

E o software fornece aos atores um kit de ferramentas pronto para exploração, movimento lateral e muitas das outras tarefas necessárias para roubar dados, aumentar o comprometimento e lançar ataques de ransomware sem exigir malware específico.

Embora esse ataque tenha acontecido rapidamente, a persistência dos ataques após a falha inicial do Ryuk em criptografar os dados demonstra que os atores do Ryuk, como muitos atacantes de ransomware, são lentos para destravar suas mandíbulas e podem persistir por longos períodos de tempo depois de movido lateralmente dentro da rede e pode estabelecer backdoors adicionais.

O ataque também mostra que o protocolo Remote Desktop pode ser perigoso mesmo quando está dentro do firewall.

Conheça mais sobre a solução que bloqueou esse ataque ransomware Ryuk

Traduzido do original da News Sophos.

 

Leia também:

8 práticas recomendadas de firewall para bloquear Ransomware

O estado do ransomware 2020





Comentários



Adicionar Comentário