Они вернулись: новые атаки Ryuk Ransomware

отредактировано 11 ноя Раздел: Шифровирусы шумной толпою
Операторы Ryuk вернулись к делу. Выявлена новая рассылка спама - часть новой волны атак. В конце сентября Sophos помогла организации смягчить атаку Ryuk, получив при этом представление о развитии инструментов, методов и практик Ryuk.

Ryuk впервые был обнаружен в августе 2018 года.

С начала истории COVID-19 наблюдалось затишье.

Новая атака примечательна тем, что следует быстрый переход от взлома к развертыванию программы-вымогателя. В течение трех с половиной часов после того, как цель открыла фишинговое вложение электронной почты, злоумышленники уже проводили сетевую разведку. В течение дня они получили доступ к контроллеру домена и находились на ранних этапах попытки развернуть шифратор.

Попытки запустить атаку не увенчались успехом, но в течение следующей недели участники Ryuk попытались установить новое вредоносное ПО и шифратор.

Ryuk-attack-1.png?resize=768,708

Нападение началось во второй половине дня. 22 сентября. (2020u) Несколько сотрудников целевой компании получили целевые фишинговые письма.


Ссылка, передаваемая службой доставки почты Sendgrid, перенаправляла на вредоносный документ, размещенный на docs.google.com. Электронное письмо было помечено почтовым ПО компании с предупреждениями внешнего отправителя. Были обнаружены и заблокированы несколько экземпляров вредоносного вложения.

Но вскоре один из сотрудников нажал на ссылку в электронном письме. Пользователь открыл документ и включил его содержимое, разрешив документу выполнить print_document.exe - вредоносный исполняемый файл, идентифицированный как Buer Loader. Buer Loader - это модульный загрузчик вредоносных программ, представляемый на подпольных форумах для продажи с августа 2019 года. Он предоставляет услугу распространения вредоносных программ, управляемую веб-панелью; каждая сборка загрузчика продается за 350 долларов.

В этом случае при запуске вредоносная программа Buer Loader сбрасывала qoipozincyusury.exe, «маяк» Cobalt Strike, вместе с другими вредоносными файлами. Маяк Cobalt Strike представляет собой модульный инструмент атаки, который может выполнять широкий спектр задач, обеспечивая доступ к функциям операционной системы и устанавливая скрытый канал управления и контроля в скомпрометированной сети.

В течение следующих полутора часов на изначально взломанной системе были обнаружены дополнительные маяки Cobalt Strike. Затем злоумышленники смогли успешно закрепиться на целевой рабочей станции для разведки и поиска учетных данных.

Несколько часов спустя актеры Ryuk начали разведку сети. На изначально зараженной системе были выполнены следующие команды:
C: \ WINDOWS \ system32 \ cmd.exe / C whoami / groups (список доступа к группам AD, в которых находится локальный пользователь)
C: \ WINDOWS \ system32 \ cmd.exe / C nltest / domain_trusts / all_trusts (возвращает список всех доверенных доменов)
C: \ WINDOWS \ system32 \ cmd.exe / C net group “enterprise admins” /domain (возвращает список членов группы «администраторы предприятия» для домена)
C: \ WINDOWS \ system32 \ net1 group “domain admins” /domain
C: \ WINDOWS \ system32 \ cmd.exe / C net localgroup administrators
C: \ WINDOWS \ system32 \ cmd.exe / C ipconfig
C: \ WINDOWS \ system32 \ cmd.exe / C nltest / dclist: [доменное имя целевой компании] (возвращает имена контроллеров домена для доменного имени компании)
C: \ WINDOWS \ system32 \ cmd.exe / C nltest / dclist: [название целевой компании] (то же самое, но проверка контроллеров домена с использованием названия компании в качестве имени домена)

Используя эти данные, к утру среды участники получили учетные данные администратора и подключились к контроллеру домена, где выполнили дамп данных с деталями Active Directory. Скорее всего, это было достигнуто за счет использования SharpHound, инструмента для сбора данных на основе Microsoft C # для BloodHound (инструмент анализа Active Directory с открытым исходным кодом, используемый для определения путей атаки в среде AD).

Еще один исполняемый файл Cobalt Strike был загружен и запущен через несколько часов. Сразу после этого на контроллере домена была установлена ​​служба Cobalt Strike с использованием ранее полученных учетных данных администратора домена. Служба представляла собой связанный прослушиватель Server Message Block, позволяющий передавать команды Cobalt Strike на сервер и другие компьютеры в сети.

Вскоре другие вредоносные службы были созданы на двух других серверах с использованием тех же учетных данных администратора и с использованием инструментария управления Windows с первоначально скомпрометированного ПК. Одна из настроенных служб была закодированной командой PowerShell, создающей еще один канал связи Cobalt.

Актеры продолжали вести разведку с первоначально зараженного рабочего стола, выполняя команды, пытаясь определить потенциальные цели для дальнейшего бокового движения. Многие из них повторяли предыдущие команды.

Ryuk-attack-2.png?resize=768,523

Поздно вечером в среду - менее чем через день после того, как жертва нажала на фишинг, - актеры Ryuk начали подготовку к запуску своей программы-вымогателя. Используя плацдарм на изначально взломанном ПК, злоумышленники использовали RDP для подключения к контроллеру домена с учетными данными администратора, полученными накануне. Папка с именем C: \ Perflogs \ grub.info.test2 - копия была сброшена на контроллер домена - имя соответствует набору инструментов, примененных в предыдущих атаках Ryuk. Спустя несколько часов злоумышленники запустили закодированную команду PowerShell, которая, получив доступ к данным Active Directory, сгенерировала файл дампа с именем ALLWindows.csv, содержащий данные входа, контроллера домена и операционной системы для компьютеров Windows в сети.

Затем вредоносный прокси-сервер SystemBC был развернут на контроллере домена. SystemBC - это прокси-сервер SOCKS5, используемый для сокрытия трафика вредоносных программ, который использует код и криминалистические маркеры совместно с другими вредоносными программами из семейства Trickbot. Вредоносная программа установила себя (как itvs.exe) и создала запланированное задание для вредоносной программы, используя старый формат планировщика задач Windows в файле с именем itvs.job - для сохранения устойчивости.

Затем был выполнен сценарий PowerShell, загруженный в папку grub.info.test на контроллере домена. Этот сценарий, Get.DataInfo.ps1, сканирует сеть и предоставляет выходные данные о том, какие системы активны. Он также проверяет, какой AV запущен в системе.

Утром в четверг нападавшие распространились и запустили Ryuk. В этой версии Ryuk не было существенных изменений по сравнению с предыдущими версиями, но разработчики Ryuk добавили в код больше обфускации, чтобы избежать обнаружения вредоносного ПО на основе памяти.

атем они развернули GMER, инструмент для обнаружения руткитов. GMER часто используется злоумышленниками для поиска и завершения скрытых процессов, а также для отключения антивирусного программного обеспечения, защищающего сервер.

Ryuk-Attack-Kill-Chain.png

Тактика Ryuk в этой атаке демонстрирует уверенный отход от вредоносного ПО, которое было основой большинства атак Ryuk в прошлом году (Emotet и Trickbot). Команда Ryuk перешла от одного поставщика вредоносных программ как услуги (Emotet) к другому (Buer Loader) и, по-видимому, заменила Trickbot дополнительными инструментами для эксплуатации на клавиатуре, среди которых Cobalt Strike, Bloodhound и GMER - а также встроенные средства сценариев и администрирования Windows для горизонтального перемещения в сети.

https://news.sophos.com/en-us/2020/10/14/inside-a-new-ryuk-ransomware-attack
Войдите или Зарегистрируйтесь чтобы комментировать.