Ryuk hè una di l'opzioni ransomware più famose in l'ultimi anni. Dapoi a prima apparizione in l'estiu di 2018, hà cullatu , in particulare in l'ambiente cummerciale, chì hè u scopu principale di i so attacchi.
1. Informazioni generale
Stu documentu cuntene un analisi di a variante di Ryuk ransomware, è ancu di u caricatore rispunsevule per carricà u malware in u sistema.
U ransomware Ryuk hè apparsu per a prima volta in l'estiu di 2018. Una di e differenze trà Ryuk è altri ransomware hè chì hè destinatu à attaccà l'ambienti corporativi.
A mità di 2019, i gruppi cibercriminali anu attaccatu un gran numaru di cumpagnie spagnole chì utilizanu stu ransomware.
Risu. 1: Estratto da El Confidencial in quantu à l'attaccu di ransomware Ryuk [1]
Risu. 2: Estratto da El País nantu à un attaccu realizatu cù u ransomware Ryuk [2]
Quist'annu, Ryuk hà attaccatu un gran numaru di cumpagnie in parechji paesi. Comu pudete vede in i figuri quì sottu, Germania, Cina, Algeria è India eranu i più colpiti.
Paragunendu u numeru di attacchi cibernetici, pudemu vede chì Ryuk hà affettatu milioni d'utilizatori è cumprumissu una quantità enorme di dati, risultatu in una perdita ecunomica severa.
Risu. 3: Illustrazione di l'attività glubale di Ryuk.
Risu. 4: 16 paesi più affettati da Ryuk
Risu. 5: Numero di utilizatori attaccati da Ryuk ransomware (in milioni)
Sicondu u principiu di u funziunamentu abituale di tali minacce, stu ransomware, dopu chì a criptografia hè cumpleta, mostra à a vittima una notificazione di riscattu chì deve esse pagata in bitcoins à l'indirizzu specificatu per restaurà l'accessu à i schedarii criptati.
Stu malware hà cambiatu da quandu hè statu introduttu prima.
A variante di sta minaccia analizata in stu documentu hè stata scuperta durante un tentativu di attaccu in ghjennaghju 2020.
Per via di a so cumplessità, stu malware hè spessu attribuitu à i gruppi cibercriminali organizzati, cunnisciuti ancu com'è gruppi APT.
Parte di u codice Ryuk hà una sumiglianza notevuli à u codice è a struttura di un altru ransomware ben cunnisciutu, Hermes, cù quale sparte una quantità di funzioni idèntica. Hè per quessa chì Ryuk era inizialmente ligatu à u gruppu nordcoreanu Lazarus, chì à l'epica era suspettatu d'esse daretu à u ransomware Hermes.
U serviziu Falcon X di CrowdStrike hà noteu dopu chì Ryuk hè statu in fattu creatu da u gruppu WIZARD SPIDER [4].
Ci hè qualchì evidenza per sustene sta supposizione. Prima, stu ransomware hè statu annunziatu nantu à u situ web exploit.in, chì hè un famosu mercatu di malware russu è hè statu prima assuciatu cù certi gruppi APT russi.
Stu fattu esclude a teoria chì Ryuk puderia esse sviluppatu da u gruppu Lazarus APT, perchè ùn hè micca adattatu cù a manera di u gruppu opera.
Inoltre, Ryuk hè statu annunziatu cum'è un ransomware chì ùn hà micca travagliatu in i sistemi russi, ucraini è bielorussi. Stu cumpurtamentu hè determinatu da una funzione truvata in alcune versioni di Ryuk, induve cuntrolla a lingua di u sistema nantu à quale u ransomware hè in esecuzione è impedisce di correre se u sistema hà una lingua russa, ucraina o bielorussa. Infine, un analisi espertu di a macchina chì hè stata piratata da a squadra WIZARD SPIDER hà revelatu parechji "artefatti" chì sò stati presuntamente utilizati in u sviluppu di Ryuk cum'è una variante di u ransomware Hermes.
Per d 'altra banda, l'esperti Gabriela Nicolao è Luciano Martins suggerenu chì u ransomware pò esse statu sviluppatu da u gruppu APT CryptoTech [5].
Questu segue da u fattu chì parechji mesi prima di l'apparizione di Ryuk, stu gruppu hà publicatu infurmazioni nantu à u foru di u stessu situ chì avianu sviluppatu una nova versione di u ransomware Hermes.
Diversi utenti di u foru dumandavanu se CryptoTech hà veramente creatu Ryuk. Allora u gruppu si difende è hà dichjaratu ch'ellu avia evidenza chì anu sviluppatu u 100% di u ransomware.
2. Caratteristichi
Cuminciamu cù u bootloader, chì u so travagliu hè di identificà u sistema chì hè in modu chì a versione "corretta" di u Ryuk ransomware pò esse lanciata.
L'hash di bootloader hè u seguente:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Una di e funziunalità di stu downloader hè chì ùn cuntene alcuna metadata, vale à dì. I creatori di stu malware ùn anu micca inclusu alcuna infurmazione in questu.
A volte includenu dati erronei per ingannà l'utilizatore per pensà chì stanu eseguendu una applicazione legittima. In ogni casu, cum'è vedemu dopu, se l'infezzione ùn implica micca l'interazzione di l'utilizatori (cum'è u casu cù stu ransomware), l'attaccanti ùn anu micca cunsideratu necessariu di utilizà metadata.
Risu. 6: Sample Meta Data
L'esempiu hè statu compilatu in formatu 32-bit in modu chì pò eseguisce in i sistemi 32-bit è 64-bit.
3. Vettore di penetrazione
A mostra chì scarica è esegui Ryuk hà intrutu in u nostru sistema per una cunnessione remota, è i paràmetri d'accessu sò stati ottenuti per un attaccu RDP preliminare.
Risu. 7: Attaccu Registru
L'attaccante hà sappiutu accede à u sistema remotamente. Dopu questu, hà creatu un schedariu eseguibile cù u nostru sample.
Stu schedariu eseguibile hè statu bluccatu da una suluzione antivirus prima di correre.
Risu. 8: Serratura di mudellu
Risu. 9: Serratura di mudellu
Quandu u schedariu maliziusu hè stata bluccata, l'attaccante hà pruvatu à scaricà una versione criptata di u schedariu eseguibile, chì era ancu bluccatu.
Risu. 10: Inseme di campioni chì l'attaccante hà pruvatu à eseguisce
Infine, hà pruvatu à scaricà un altru schedariu maliziusu attraversu a cunsola criptata
PowerShell per evità a prutezzione antivirus. Ma era ancu bluccatu.
Risu. 11: PowerShell cù cuntenutu maliziusu bluccatu
Risu. 12: PowerShell cù cuntenutu maliziusu bluccatu
4. Loader
Quandu eseguisce, scrive un schedariu ReadMe in u cartulare % temp%, chì hè tipicu per Ryuk. Stu schedariu hè una nota di riscattu chì cuntene un indirizzu email in u duminiu di protonmail, chì hè abbastanza cumuni in questa famiglia di malware: [email prutettu]
Risu. 13: Richiesta di riscattu
Mentre u bootloader hè in esecuzione, pudete vede chì lancia parechji fugliali eseguibili cù nomi aleatorii. Sò guardati in un cartulare oculatu PUBLICU, ma se l'opzione ùn hè micca attiva in u sistema operatore "Mostra i fugliali è i cartulare nascosti", tandu fermanu ammucciati. Inoltre, questi schedari sò 64-bit, à u cuntrariu di u schedariu parent, chì hè 32-bit.
Risu. 14: File eseguibili lanciati da u sample
Comu pudete vede in l'imaghjini sopra, Ryuk lancia icacls.exe, chì serà utilizatu per mudificà tutte l'ACL (listi di cuntrollu di l'accessu), assicurendu cusì l'accessu è a mudificazione di bandiere.
Ci hè un accessu cumpletu sottu tutti l'utilizatori à tutti i schedari nant'à u dispusitivu (/T) a priscinniri di l'errori (/C) è senza mustrà ogni missaghji (/Q).
Risu. 15: Parametri di esecuzione di icacls.exe lanciata da u sample
Hè impurtante di nutà chì Ryuk verifica a versione di Windows chì site in esecuzione. Per questu ellu
esegue una verificazione di versione utilizendu GetVersionExW, in quale verifica u valore di a bandiera lpVersionInformationindicà se a versione attuale di Windows hè più nova Windows XP.
Sicondu s'ellu avete una versione più tardi di Windows XP, u boot loader scriverà à u cartulare di l'utilizatori lucali - in questu casu à u cartulare. % Public%.
Risu. 17: Verificate a versione di u sistema operatore
U schedariu chì hè scrittu hè Ryuk. Dopu u corre, passendu u so propiu indirizzu cum'è paràmetru.
Risu. 18: Eseguite Ryuk via ShellExecute
A prima cosa chì Ryuk faci hè di riceve i paràmetri di input. Sta volta ci sò dui paràmetri di input (l'eseguibile stessu è l'indirizzu dropper) chì sò usati per sguassà e so tracce.
Risu. 19: Crià un Prucessu
Puderete ancu vede chì una volta chì hà eseguitu i so eseguibili, si sguassate, ùn lascendu micca traccia di a so propria presenza in u cartulare induve hè stata eseguita.
Risu. 20: Eliminazione di un schedariu
5. RYUK
5.1 Presenza
Ryuk, cum'è altri malware, prova di stà nantu à u sistema per u più longu pussibule. Cum'è mostratu sopra, una manera di ottene stu scopu hè di creà in sicretu è eseguisce i fugliali eseguibili. Per fà questu, a pratica più cumuna hè di cambià a chjave di u registru CurrentVersionRun.
In questu casu, pudete vede chì per questu scopu u primu schedariu per esse lanciatu VWjRF.exe
(u nome di u schedariu hè generatu aleatoriamente) lancia cmd.exe.
Risu. 21: Esecuzione di VWjRF.exe
Allora entre u cumandamentu RUN Cù nome "svchos". Cusì, sè vo vulete verificà e chjave di u registru in ogni mumentu, pudete facilmente miss stu cambiamentu, datu a similitudine di stu nome cù svchost. Grazie à questa chjave, Ryuk assicura a so prisenza in u sistema. Se u sistema ùn hà micca. ma hè statu infettatu, allora quandu riavviate u sistema, l'eseguibile pruverà di novu.
Risu. 22: A mostra assicura a presenza in a chjave di u registru
Pudemu ancu vede chì questu eseguibile ferma dui servizii:
"audioendpointbuilder", chì, cum'è u so nome suggerisce, currisponde à l'audio di u sistema,
Risu. 23: Sample ferma u serviziu audio di u sistema
и Samss, chì hè un serviziu di gestione di contu. Stopping sti dui servizii hè una caratteristica di Ryuk. In questu casu, se u sistema hè cunnessu à un sistema SIEM, u ransomware prova di piantà di mandà à ogni avvirtimentu. In questu modu, prutege i so prossimi passi postu chì certi servizii SAM ùn puderanu micca inizià u so travagliu currettamente dopu à eseguisce Ryuk.
Risu. 24: Sample ferma u serviziu Samss
5.2 Privilegi
In generale, Ryuk principia per movendu lateralmente in a reta o hè lanciatu da un altru malware cum'è o , chì, in l'eventu di l'escalation di privilegi, trasfiriu questi diritti elevati à u ransomware.
Prima, cum'è un prelude à u prucessu di implementazione, u vedemu realizà u prucessu Impersonate Self, chì significa chì u cuntenutu di sicurità di u token d'accessu serà passatu à u flussu, induve serà immediatamente recuperatu cù Get Current Thread.
Risu. 25: Chjamate ImpersonateSelf
Allora vedemu chì assocerà un token d'accessu à un filu. Videmu ancu chì una di e bandiere hè L'accessu desideratu, chì pò esse usatu per cuntrullà l'accessu chì u filu avarà. In questu casu, u valore chì edx riceverà deve esse TOKEN_ALL_ACESS o altrimenti - TOKEN_WRITE.
Risu. 26: Crià un Token di flussu
Allora ellu aduprà SeDebugPrivilege è farà una chjama per ottene permessi di Debug nantu à u filu, risultatu in PROCESS_ALL_ACCESS, hà da pudè accede à qualsiasi prucessu necessariu. Avà, datu chì l'encryptor hà digià un flussu preparatu, tuttu ciò chì resta hè di passà à a tappa finale.
Risu. 27: Chjamate SeDebugPrivilege è Funzione di Escalation di Privilege
Da una banda, avemu LookupPrivilegeValueW, chì ci furnisce l'infurmazioni necessarii nantu à i privilegi chì vulemu aumentà.
Risu. 28: Richiede infurmazione nantu à i privilegii per l'escalazione di privilegi
Per d 'altra banda, avemu AdjustTokenPrivileges, chì ci permette di ottene i diritti necessarii à u nostru flussu. In questu casu, u più impurtante hè NewState, chì a so bandiera darà privilegi.
Risu. 29: Configurazione di permessi per un token
5.3 Implementazione
In questa sezione, mostreremu cumu u campione esegue u prucessu di implementazione citatu prima in stu rapportu.
U scopu principale di u prucessu di implementazione, cum'è l'escalation, hè di accede à copie d'ombra. Per fà questu, hà bisognu di travaglià cù un filu cù diritti più altu ch'è quelli di l'utilizatori lucali. Una volta guadagna tali diritti elevati, sguasserà e copie è fà cambiamenti à l'altri prucessi per rende impussibile di vultà à un puntu di restaurazione prima in u sistema operatore.
Comu hè tipicu cù stu tipu di malware, usa CreateToolHelp32Snapshotcusì piglia una snapshot di i prucessi attualmente in esecuzione è prova à accede à quelli prucessi chì utilizanu OpenProcess. Una volta accede à u prucessu, apre ancu un token cù e so informazioni per ottene i paràmetri di u prucessu.
Risu. 30: Recuperazione di prucessi da un urdinatore
Pudemu vede dinamicamente cumu ottene a lista di prucessi in esecuzione in a rutina 140002D9C usendu CreateToolhelp32Snapshot. Dopu avè ricivutu, passa per a lista, pruvatu à apre i prucessi unu per unu cù OpenProcess finu à chì riesce. In questu casu, u primu prucessu chì hà sappiutu apre era "taskhost.exe".
Risu. 31: Eseguite dinamicamente una prucedura per uttene un prucessu
Pudemu vede chì dopu leghje l'infurmazioni di u token di prucessu, cusì chjama OpenProcessToken cù u paràmetru "20008"
Risu. 32: Leghjite l'infurmazioni di u token di prucessu
Hè ancu verificatu chì u prucessu in cui sarà injected ùn hè micca csrss.exe, explorer.exe, lsaas.exe o ch'ellu hà un inseme di diritti autorità NT.
Risu. 33: Processi esclusi
Pudemu vede dinamicamente cumu prima eseguisce a verificazione utilizendu l'infurmazioni di u token di prucessu in 140002D9C per sapè s'ellu u contu chì i diritti sò stati utilizati per eseguisce un prucessu hè un contu AUTORITÀ NT.
Risu. 34: NT AUTHORITY verificate
È dopu, fora di a prucedura, verifica chì questu ùn hè micca csrss.exe, explorer.exe o lsaas.exe.
Risu. 35: NT AUTHORITY verificate
Una volta hà pigliatu una snapshot di i prucessi, hà apertu i prucessi, è verificatu chì nimu d'elli sò esclusi, hè prontu à scrive in memoria i prucessi chì saranu injected.
Per fà questu, prima riserva una zona in memoria (VirtualAllocEx), ci scrive (Scrive Processmemory) è crea un filu (Crea RemoteThread). Per travaglià cù queste funzioni, usa i PID di i prucessi selezziunati, chì hà ottenutu prima utilizendu CreateToolhelp32Snapshot.
Risu. 36: Incrustà u codice
Quì pudemu osservà dinamicamente cumu si usa u prucessu PID per chjamà a funzione VirtualAllocEx.
Risu. 37: Chjamate VirtualAllocEx
5.4 Encryption
In questa sezione, guardemu a parte di criptografia di questa mostra. In a stampa seguente pudete vede duie subrutine chjamate "LoadLibrary_EncodeString"è"Encode_Func", chì sò rispunsevuli di eseguisce a prucedura di criptografia.
Risu. 38: Prucedure di criptografia
À u principiu pudemu vede cumu si carica una stringa chì dopu serà utilizata per deobfuscate tuttu ciò chì hè necessariu: impurtazioni, DLL, cumandamenti, schedari è CSP.
Risu. 39: Circuitu di deobfuscazione
A figura seguente mostra a prima importazione chì deobfuscate in u registru R4. LoadLibrary. Questu serà utilizatu più tardi per carricà i DLL necessarii. Pudemu ancu vede una altra linea in u registru R12, chì hè aduprata cù a linea precedente per eseguisce a deobfuscazione.
Risu. 40: Deobfuscazione dinamica
Cuntinueghja à scaricà cumandamenti chì eseguirà più tardi per disattivà e copie di salvezza, risturà punti, è modi di boot sicuri.
Risu. 41: Carica cumandamenti
Allora carica u locu induve abbandunà 3 schedari: Windows.bat, run.sct и principià.bat.
Risu. 42: Locazioni di u schedariu
Questi 3 schedari sò usati per verificà i privilegi chì ogni locu hà. Se i privilegi necessarii ùn sò micca dispunibili, Ryuk ferma l'esekzione.
Si cuntinueghja à carica i linii currispundenti à i trè schedari. Primu, DECRYPT_INFORMATION.html, cuntene l'infurmazioni necessarii per ricuperà i fugliali. Sicondu, PUBLICU, cuntene a chjave publica RSA.
Risu. 43: Linea DECRYPT INFORMATION.html
Terzu, UNIQUE_ID_DO_NOT_REMOVE, cuntene a chjave criptata chì serà usata in a prossima rutina per realizà a criptografia.
Risu. 44: Linea ID UNICA NON RIMUOVERE
Infine, scarica e librerie necessarie cù l'importazioni è i CSP necessarii (Microsoft Enhanced RSA и Fornitore di criptografia AES).
Risu. 45: Caricà e librerie
Dopu tuttu u deobfuscamentu hè cumpletu, procede à eseguisce l'azzioni necessarii per l'encryption: enumerating all drives logical, executing what was loaded in a rutina precedente, rinfurzà a prisenza in u sistema, scaccià u schedariu RyukReadMe.html, encryption, enumerating all network drives. , transizione à i dispositi rilevati è a so criptografia.
Tuttu principia cù a carica "cmd.exe" è i registri di chjave publica RSA.
Risu. 46: Preparazione per a criptografia
Allora uttene tutte e unità logiche chì utilizanu GetLogicalDrives è disattiva tutte e backups, punti di risturà è modi di boot sicuru.
Risu. 47: Disattivà i strumenti di ricuperazione
Dopu quì, rinforza a so prisenza in u sistema, cum'è avemu vistu sopra, è scrive u primu schedariu RyukReadMe.html в TEMP.
Risu. 48: Publicà un avvisu di riscattu
In a seguente stampa pudete vede cumu crea un schedariu, scaricate u cuntenutu è u scrive:
Risu. 49: Caricà è scrive u cuntenutu di u schedariu
Per esse in gradu di fà u listessu azzione nant'à tutti i dispusitivi, si usa
"icacls.exe", cum'è avemu dimustratu sopra.
Risu. 50: Utilizà icalcls.exe
È infine, principia a criptografia di i fugliali eccettu per i fugliali "*.exe", "*.dll", i schedarii di sistema è altri lochi specificati in forma di una lista bianca cifrata. Per fà questu, usa impurtazioni: CryptAcquireContextW (induve l'usu di AES è RSA hè specificatu), CryptDeriveKey, CryptGenKey, CryptDestroyKey ecc. Tenta ancu di allargà a so portata à i dispositi di rete scuperti chì utilizanu WNetEnumResourceW è poi cifri.
Risu. 51: Criptà i schedari di u sistema
6. Importazioni è bandiere currispundenti
Quì sottu hè una tavula chì lista l'importazioni è i bandieri più pertinenti utilizati da u sample:
7. CIO
referenze
- utilizatoriPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Un rapportu tecnicu nantu à u ransomware Ryuk hè statu compilatu da esperti di u laboratoriu antivirus PandaLabs.
8. Ligami
1. "Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas." https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicata u 04/11/2019.
2. "Un virus de l'origine russa ataca à importantes empresas españolas." https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicata u 04/11/2019.
3. "Paper VB2019: a vendetta di Shinigami: a longa cuda di u malware Ryuk." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. "Big Game Hunting with Ryuk: Another LucrativebTargeted Ransomware." https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicatu u 10/01/2019.
5. "Paper VB2019: a vendetta di Shinigami: a longa cuda di u malware Ryuk." https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Source: www.habr.com