Специалисты представили подробное описание всех этапов атаки с использованием вымогательского ПО Ryuk.
Как сообщают специалисты проекта DFIR Report, атака с использованием вымогательского ПО Ryuk занимает 29 часов – начиная от отправки жертве электронного письма и заканчивая полной компрометацией среды и шифрованием систем.
Впервые об атаках Ryuk стало известно в 2018 году. Тогда предполагалось, что вымогательская программа – дело рук северокорейских хакеров из-за его сходства с вымогательской программой Hermes. Однако затем специалисты связали Ryuk с российскими хакерами.
В течение двух последних лет Ryuk использовался в огромном количестве кибератак на серьезные организации , в том числе на медицинские учреждения во время пандемии коронавируса. В случае с атаками, изученными специалистами DFIR Report, все начинается с вредоносного письма с ссылкой на загрузчик Bazar/Kegtap, внедряющийся во множество процессов и проводящий разведку зараженной системы с помощью утилит Windows, таких как nltest и net group, и стороннего инструмента AdFind.
Затем в течение дня вредонос не проявляет никакой активности, после чего снова проводит разведку с помощью тех же инструментов и Rubeus. Полученные данные отправляются на подконтрольный злоумышленникам сервер, а атакующие начинают боковое перемещение по сети.
Для компрометации дополнительных систем в сети злоумышленники используют различные методы, в том числе WMI, удаленное выполнение служб PowerShell и компонент Cobalt Strike, загружаемый по SMB. Далее этот компонент использовался как поворотный момент.
Затем в среде устанавливаются дополнительные компоненты, и с помощью PowerShell отключается Защитник Windows. Через минуту после передачи по SMB выполняется Ryuk и начинается шифрования (серверы с резервными копиями шифруются в первую очередь).
Согласно отчету DFIR Report с подробным описанием всех этапов атаки, Ryuk также передается остальным хостам в сети через SMB, а затем выполняется через RDP-соединение с контроллера домена.
«В общей сложности кампания длилась 29 часов – от первоначального запуска Bazar до выполнения вымогательского ПО», – отмечается в отчете DFIR Report.
После шифрования вымогатель потребовал выкуп в размере порядка 600 биткойнов (около $6 млн). Впрочем, операторы Ryuk готовы торговаться.
Ладно, не доказали. Но мы работаем над этим