Ryuk勒索软件完全报告

虽然圣诞节前夕全家在一起聚餐很快乐,但还是有很多企业在此期间陷入了困境。

没有任何防备,对于Tribune出版社和Data Resolution的人来说,一场悄无声息的攻击正在通过他们的网络慢慢传播——加密数据和终止操作。而这次攻击来自一个相当新的名为Ryuk的勒索软件家族。

Ryuk于2018年8月首次亮相,与我们分析的许多其他勒索软件家族不同,不是因为功能,而是它感染系统的方式很新颖。

让我们来看看这个难以捉摸的新威胁。什么是Ryuk?是什么让它与其他勒索软件攻击不同?企业如何在未来阻止它以及类似威胁?

一、何为Ryuk?

Ryuk首次出现于2018年8月(August 2018),虽然在全球范围内并不是非常活跃,但至少有三个机构在其头两个月的行动中被感染,使得攻击者获得了大约64万美元的赎金。

感染成功后,Ryuk拥有其他一些现代勒索软件家族中可以看到的常见功能,包括识别和加密网络驱动器和资源以及删除终端上卷影副本。通过这样做,攻击者可以禁用Windows系统还原选项,因此使用户无法在没有外部备份的情况下从攻击中恢复数据。

Ryuk“有礼貌”的赎金票据

该勒索软件一个有趣的方面是它在系统上释放了多个赎票。第二个赎票用礼貌的语气写成,类似于BitPaymer勒索软件释放的赎票,增加了些许神秘感。

Ryuk“不那么礼貌”的赎金票据

二、与Hermes的相似之处

Checkpoint的研究人员已经对此威胁进行了深入的分析(deep analysis),他们的一个发现是Ryuk与另一个勒索软件家族Hermes有许多相似之处。

在Ryuk和Hermes的内部,有许多类似或相同代码段的实例。此外,在两个单独的案例中,已发现Ryuk内的几个字符串引用自Hermes。

启动时,Ryuk将首先查找插入每个加密文件的Hermes标记。这是一种识别文件或系统是否已被攻击和/或加密的方法。

另一种情况涉及列入白名单的文件夹,虽然不像第一种情况那样严重,但两个勒索软件家庭将某些文件夹名列入白名单,这是两个家族可能共享发起人的另一条线索。例如,Ryuk和Hermes都将一个名为“Ahnlab”的文件夹列入白名单,这是一个在韩国很受欢迎的安全软件。

如果了解恶意软件,可能还记得Hermes归于与朝鲜国家行动有关的Lazarus组织。这导致许多分析人士和记者推测朝鲜支持了此次攻击。

我们对此不太确定。

三、值得注意的攻击

过去的几个月,在美国发生了多起有名的Ryuk攻击,勒索软件感染了大量终端并要求比通常碰到的更高的赎金(15到50比特币)。

2018年10月15日,Onslow供水和下水道管理局(OWASA)发生了一起此类攻击事件,导致该机构暂时不能使用他们的计算机。虽然水和污水处理服务以及客户数据没有受到勒索软件攻击的影响,但它仍然对该机构的网络造成了重大损害,导致许多数据库和系统必须从头开始重建。

四、感染方法

根据Checkpoint和其他多位分析人士和研究人员的说法,Ryuk通过僵尸网络(如TrickBot 和Emotet)作为二级有效载荷进行传播。

这是运行流程:Emotet在终端上进行初始感染。它有能力在网络中横向传播,并从受感染的端点发起malspam活动,向相同或不同网络上的其他用户发送其他恶意软件。

在过去六个月中我们看到Emotet释放的最常见的有效载荷是TrickBot。此恶意软件具有窃取凭据的能力,还能够在网络内横向移动并以其他方式传播。

TrickBot和Emotet都被用作信息窃取程序、下载程序,甚至是蠕虫(基于其最新功能)。

出于某些原因(我们将在本文稍后探讨),TrickBot在系统上下载并释放Ryuk勒索软件,如果受感染的网络是攻击者想要勒索的目标。由于通过产品遥测数据我们只能看到Emotet和TrickBot中的一小部分Ryuk,由此我们可以假设这不是后续使用Ryuk感染系统的默认标准操作,而是由幕后的攻击者手工触发。

五、统计数据

让我们来看看从8月到现在的Emote、Ryuk和TrickBot的统计数据,看看我们能否确认其趋势。

Malwarebytes于2018年8月1日至2019年1月2日的检测结果

蓝线代表Emotet,2018年最大的信息窃取木马。虽然这张图只显示我们8月份的统计情况,但请放心,在一年中的大部分时间里,Emotet都在地图上。然而随着进入2018年第四季度,它成为了一个更大的问题。

橙线代表TrickBot。由于Emotet通常是主要的有效载荷,因此预计这些检测将低于Emotet。这意味着,为了检测TrickBot,它必须直接传送到终端,或者由安全软件未检测到的Emotet感染释放,或者在没有安全软件的系统上部署。此外,TrickBot一年中并非都是Emotet的默认有效载荷,因为特洛伊木马不断变换有效载荷,具体取决于一年中的时间和机会。

基于此,要受到Ryuk的打击(至少在我们弄清楚其真实意图之前),需要禁用、未安装或不更新安全软件。需要避免进行常规扫描以识别TrickBot或Emotet。需要提供未打补丁的终端点或弱口令,以便TrickBot和Emotet在整个网络中横向移动。最后,需要成为其感兴趣的目标。

话虽如此,虽然我们对Ryuk的检测与此图表上的其他家族相比较小,但这可能是因为我们在攻击的早期阶段发现了感染,并且Ryuk攻击的情况需要恰到好处 。令人惊讶的是,很多机构已经为这些威胁茁壮成长创造了完美的环境。这也可能是支付巨额赎金的原因。

六、圣诞攻击

在今年早些活跃期间,Ryuk并没有成为头条新闻。而在圣诞节期间发生的两起大的感染事件,使Ryuk圣诞攻击登上了头条。

下图显示了从12月初到现在我们对Ryuk的检测统计数据,其中两个感染峰值用星号表示。

Malwarebytes的Ryuk检测结果:2018年12月5日 – 2019年1月2日

这些峰值表明12月24日和12月27日发生了重大攻击事件。

七、Dataresolution攻击

第一次攻击发生在圣诞节前夕,目标为云托管服务提供商Dataresolution.net。从上面可以看出,它是我们在过去一个月中发现Ryuk最多的一天。

根据Dataresolution的说法,Ryuk通过使用被黑的登录帐户感染系统。此后恶意软件将公司的数据中心域控制权交给攻击者,直至整个网络被Dataresolution关闭。

该公司向客户保证没有用户数据被泄露,攻击的目的是劫持,而不是窃取。知道恶意软件如何首次进入终端是一个很好的迹象,表明Dataresolution可能丢失了一些信息。

八、Tribune Publishing 攻击

我们的第二颗星代表了12月27日的攻击事件,当时Tribute Publishing旗下的多个新闻组织(现在或最近)被Ryuk勒索软件击中,基本上使这些组织无法打印自己的文章。

星期四晚上,当圣地亚哥联合论坛报的一位编辑无法将完成的页面发送给印刷机时,发现了这次攻击。目前这些问题已全部解决。

九、原理

我们相信Ryuk正在通过Emotet和TrickBot分发勒索软件来感染系统。然而,目前尚不清楚的是,为什么犯罪分子会在成功感染后使用该勒索软件。

在此情形之下,我们实际上可以从Hermes中窥见一斑。在台湾,我们目睹了个Hermes覆盖网络上已有恶意软件家族的手段。Ryuk是否以同样的方式使用?

由于Emotet和TrickBot不是国家背景的恶意软件,并且它们通常会被自动发送给潜在的受害者(而不是识别目标并手动启动),因此仅在少数情况下使用Ryuk隐藏感染似乎很奇怪。所以也许我们可以把这个理论排除在外。

第二个更可能的理论是,Ryuk作为最后的手段,从已有收获的目标中敲诈更多的价值。

让我们来看看,Emotet和TrickBot背后的攻击者让他们的bot将网络映射出来以识别目标机构。如果目标具有足够多的Emotet / TrickBot感染传播,或者如果其操作非常重要或有价值,以至于破坏会引发支付赎金的倾向,这就可能会使它们成为Ryuk感染的完美目标。

此时只能推测使用此恶意软件的真正意图。然而,无论是隐藏其他恶意软件的踪迹,还是只是想在窃取所有相关数据后赚取更多现金的方法,企业都应该谨慎对待这一点。

事实是,目前全世界仍有成千上万活跃的Emotet和TrickBot感染。任何处理这些威胁的机构都需要认真对待它们,因为信息窃取程序可能随时变成讨厌的勒索软件。这是就是现今威胁形势的真相。

十、溯源

如前所述,许多分析人士和记者已经认定朝鲜是最有可能分发Ryuk的攻击者。虽然不能完全排除这一点,但我们也不能完全确定。

Ryuk在很多方面与Hermes相匹配。基于找到的字符串,它可能建立在Hermes之上,或者是Hermes的修改版本。攻击者如何获得源代码是未知的,但是,我们观察到犯罪分子在黑客论坛上销售Hermes的情况。

这就引入了源代码落入其他攻击者手中的另一个潜在原因。

根据两个家族之间的相似性来识别这种攻击的归属,其中一个与已知的国家攻击组织(Lazarus)有关,这是一个逻辑上的谬误,正如Robert M. Lee在最近的一篇文章(Attribution is not Transitive – Tribute Publishing Cyber Attack as a Case Study)中所描述的那样。该文深入探讨了基于脆弱证据的归因溯源错误。我们提醒读者,记者和其他分析人士从相关性中得出结论。

十一、保护

既然知道了Ryuk如何以及为什么攻击企业,那么我们如何防范这种恶意软件和其他类似恶意软件?

让我们专注于已证明可有效抵御此威胁的特定技术和操作。

反漏洞利用技术

多年来,在感染和横向移动中漏洞利用的使用一直在增加。目前,Emotet的主要感染方法是通过垃圾邮件中的Office文档附件加载恶意脚本。

这些恶意脚本是宏,一旦用户点击“启用宏”(通常通过某种社交工程技巧),将启动其他脚本从而造成破坏。我们最常见的是JavaScript和PowerShell脚本,PowerShell很快就成为了感染用户的首选脚本语言。

虽然可以通过培训用户识别社交工程或使用识别恶意垃圾邮件的电子邮件保护平台来阻止这些威胁,但使用反漏洞利用技术还可以阻止这些恶意脚本在系统上安装恶意软件。

此外,使用反勒索等防护技术可以增加对勒索软件感染的大量保护,在它们造成严重损害之前将其停止。

经常性更新恶意软件

这是一个经常被忽略的规则,所以值得一提。为了获得有效的安全解决方案,需要经常使用和更新它们,以识别和阻止最新的威胁。

在一个案例中,一个机构的IT团队在更新安全软件之前甚至不知道他们对Emotet感染的防护很糟糕。他们对安全解决方案缺乏信心,而安全解决方案并未完全配备阻止威胁的工具。因此,他们的问题很严重。

网络分段

这是我们多年来一直在推荐的策略,特别是在防范勒索软件方面。为确保在单个端点受感染时不丢失映射或网络上的驱动器和资源,最好将访问权限分段划分。

有两种方法可以对网络分段并减少勒索软件攻击造成的损害。首先,根据角色要求限制对某些映射驱动器的访问。其次,使用单独的或第三方系统来存储共享文件和文件夹,例如Box或Dropbox。

十二、不断演变的威胁

过去的一年,Ryuk带来了一些在工作场所造成破坏的新方法。虽然勒索软件是2017、2018年及以后企业中最致命的恶意软件,但攻击者有可能会在一个攻击链中部署多个恶意软件。

更重要的是,像Emotet和TrickBot这样的家族继续发展他们的战术、技术和能力,使每一代都更加危险。今天,我们可能会担心Emotet释放Ryuk,明天Emotet自己可能会演变成勒索软件。企业和安全专业人员需要掌握新出现的威胁,无论它们看起来多么微不足道,因为这经常会表明未来形势的变化。