Ryuk é unha das opcións de ransomware máis famosas dos últimos anos. Desde que apareceu por primeira vez no verán de 2018, coleccionou , especialmente no ámbito empresarial, que é o principal obxectivo dos seus ataques.
1. Información xeral
Este documento contén unha análise da variante do ransomware Ryuk, así como do cargador responsable de cargar o malware no sistema.
O ransomware Ryuk apareceu por primeira vez no verán de 2018. Unha das diferenzas entre Ryuk e outros ransomware é que está destinado a atacar ambientes corporativos.
A mediados de 2019, grupos cibercriminais atacaron a un gran número de empresas españolas utilizando este ransomware.
Arroz. 1: Fragmento de El Confidencial sobre o ataque de ransomware Ryuk [1]
Arroz. 2: Fragmento de El País sobre un ataque levado a cabo mediante o ransomware Ryuk [2]
Este ano, Ryuk atacou un gran número de empresas en varios países. Como podes ver nas cifras seguintes, Alemaña, China, Alxeria e India foron os máis afectados.
Ao comparar o número de ciberataques, podemos ver que Ryuk afectou a millóns de usuarios e comprometeu unha enorme cantidade de datos, o que provocou unha grave perda económica.
Arroz. 3: Ilustración da actividade global de Ryuk.
Arroz. 4: 16 países máis afectados por Ryuk
Arroz. 5: Número de usuarios atacados polo ransomware Ryuk (en millóns)
Segundo o principio de funcionamento habitual de tales ameazas, este ransomware, despois de completar o cifrado, mostra á vítima unha notificación de rescate que debe pagarse en bitcoins ao enderezo especificado para restaurar o acceso aos ficheiros cifrados.
Este malware cambiou desde que se introduciu por primeira vez.
A variante desta ameaza analizada neste documento foi descuberta durante un intento de ataque en xaneiro de 2020.
Debido á súa complexidade, este malware atribúese a miúdo a grupos cibercriminais organizados, tamén coñecidos como grupos APT.
Parte do código Ryuk ten unha notable semellanza co código e a estrutura doutro ransomware coñecido, Hermes, co que comparten unha serie de funcións idénticas. É por iso que Ryuk estivo inicialmente vinculado ao grupo norcoreano Lazarus, que naquel momento era sospeitoso de estar detrás do ransomware Hermes.
O servizo Falcon X de CrowdStrike observou posteriormente que Ryuk foi creado polo grupo WIZARD SPIDER [4].
Hai algunha evidencia que apoia esta suposición. En primeiro lugar, este ransomware publicouse no sitio web exploit.in, que é un coñecido mercado de malware ruso e que xa estivo asociado con algúns grupos rusos de APT.
Este feito descarta a teoría de que Ryuk puidera ser desenvolvido polo grupo Lazarus APT, porque non encaixa coa forma de funcionamento do grupo.
Ademais, Ryuk anunciouse como un ransomware que non funcionará en sistemas rusos, ucraínos e bielorrusos. Este comportamento está determinado por unha característica que se atopa nalgunhas versións de Ryuk, onde verifica o idioma do sistema no que se está a executar o ransomware e impide que se execute se o sistema ten unha lingua rusa, ucraína ou bielorrusa. Finalmente, unha análise experta da máquina que foi pirateada polo equipo WIZARD SPIDER revelou varios "artefactos" que supostamente foron utilizados no desenvolvemento de Ryuk como unha variante do ransomware Hermes.
Por outra banda, os expertos Gabriela Nicolao e Luciano Martins suxeriron que o ransomware puido ser desenvolvido polo grupo APT CryptoTech [5].
Isto débese ao feito de que varios meses antes da aparición de Ryuk, este grupo publicou información no foro do mesmo sitio de que desenvolveran unha nova versión do ransomware Hermes.
Varios usuarios do foro cuestionaron se CryptoTech realmente creou Ryuk. O grupo defendeuse entón e afirmou que tiña probas de que desenvolveran o 100% do ransomware.
2. Características
Comezamos polo cargador de arranque, cuxo traballo é identificar o sistema no que se atopa para que se poida lanzar a versión "correcta" do ransomware Ryuk.
O hash do cargador de arranque é o seguinte:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Unha das características deste descargador é que non contén ningún metadato, é dicir. Os creadores deste malware non incluíron ningunha información nel.
Ás veces inclúen datos erróneos para enganar ao usuario para que pense que está a executar unha aplicación lexítima. Non obstante, como veremos máis adiante, se a infección non implica a interacción do usuario (como é o caso deste ransomware), os atacantes non consideran necesario utilizar metadatos.
Arroz. 6: Metadatos de mostra
A mostra foi compilada en formato de 32 bits para que poida executarse en sistemas de 32 e 64 bits.
3. Vector de penetración
A mostra que descarga e executa Ryuk entrou no noso sistema a través dunha conexión remota e os parámetros de acceso obtivéronse mediante un ataque RDP preliminar.
Arroz. 7: Rexistro de ataques
O atacante conseguiu iniciar sesión no sistema de forma remota. Despois diso, creou un ficheiro executable coa nosa mostra.
Este ficheiro executable foi bloqueado por unha solución antivirus antes de executalo.
Arroz. 8: bloqueo do patrón
Arroz. 9: bloqueo do patrón
Cando se bloqueou o ficheiro malicioso, o atacante intentou descargar unha versión cifrada do ficheiro executable, que tamén se bloqueou.
Arroz. 10: Conxunto de mostras que o atacante intentou executar
Finalmente, intentou descargar outro ficheiro malicioso a través da consola cifrada
PowerShell para evitar a protección antivirus. Pero tamén estaba bloqueado.
Arroz. 11: PowerShell con contido malicioso bloqueado
Arroz. 12: PowerShell con contido malicioso bloqueado
4. Cargador
Cando se executa, escribe un ficheiro ReadMe no cartafol % temp%, que é típico de Ryuk. Este ficheiro é unha nota de rescate que contén un enderezo de correo electrónico no dominio protonmail, que é bastante común nesta familia de malware: [protexido por correo electrónico]
Arroz. 13: Demanda de rescate
Mentres se executa o cargador de arranque, podes ver que lanza varios ficheiros executables con nomes aleatorios. Gárdanse nun cartafol oculto PÚBLICO, pero se a opción non está activa no sistema operativo "Mostrar ficheiros e cartafoles ocultos", entón permanecerán ocultos. Ademais, estes ficheiros son de 64 bits, a diferenza do ficheiro principal, que é de 32 bits.
Arroz. 14: ficheiros executables iniciados pola mostra
Como podes ver na imaxe superior, Ryuk lanza icacls.exe, que servirá para modificar todas as ACL (listas de control de acceso), garantindo así o acceso e modificación das bandeiras.
Obtén acceso total de todos os usuarios a todos os ficheiros do dispositivo (/T) independentemente dos erros (/C) e sen mostrar ningunha mensaxe (/Q).
Arroz. 15: parámetros de execución de icacls.exe iniciados pola mostra
É importante ter en conta que Ryuk verifica que versión de Windows está a executar. Para iso el
realiza unha comprobación de versión usando GetVersionExW, no que verifica o valor da bandeira lpVersionInformationindicando se a versión actual de Windows é máis recente que Windows XP.
Dependendo de se está a executar unha versión posterior a Windows XP, o cargador de arranque escribirá no cartafol do usuario local, neste caso no cartafol. %Público%.
Arroz. 17: Comprobando a versión do sistema operativo
O ficheiro que se está a escribir é Ryuk. Despois execútao, pasando o seu propio enderezo como parámetro.
Arroz. 18: Executar Ryuk a través de ShellExecute
O primeiro que fai Ryuk é recibir os parámetros de entrada. Nesta ocasión hai dous parámetros de entrada (o propio executable e o enderezo do contagotas) que se utilizan para eliminar os seus propios rastros.
Arroz. 19: Creación dun proceso
Tamén podes ver que unha vez que executou os seus executables, elimínase por si mesmo, sen deixar rastro da súa propia presenza no cartafol onde foi executado.
Arroz. 20: Eliminar un ficheiro
5. RYUK
5.1 Presenza
Ryuk, como outros programas maliciosos, tenta permanecer no sistema o maior tempo posible. Como se mostra arriba, unha forma de acadar este obxectivo é crear e executar en segredo ficheiros executables. Para iso, a práctica máis común é cambiar a clave de rexistro CurrentVersionRun.
Neste caso, podes ver que para este fin o primeiro ficheiro que se lanzará VWjRF.exe
(o nome do ficheiro xérase aleatoriamente). cmd.exe.
Arroz. 21: Execución de VWjRF.exe
A continuación, introduza o comando RUN Co nome "svchos". Así, se queres comprobar as claves de rexistro en calquera momento, podes perder facilmente este cambio, dada a semellanza deste nome con svchost. Grazas a esta chave, Ryuk asegura a súa presenza no sistema. Se o sistema non ten aínda estivo infectado, entón cando reinicie o sistema, o executable tentarao de novo.
Arroz. 22: A mostra garante a presenza na clave de rexistro
Tamén podemos ver que este executable detén dous servizos:
"audioendpointbuilder", que, como o seu nome indica, corresponde ao audio do sistema,
Arroz. 23: A mostra detén o servizo de audio do sistema
и Samss, que é un servizo de xestión de contas. Deter estes dous servizos é unha característica de Ryuk. Neste caso, se o sistema está conectado a un sistema SIEM, o ransomware tenta deter o envío a calquera aviso. Deste xeito, protexe os seus próximos pasos xa que algúns servizos SAM non poderán comezar o seu traballo correctamente despois de executar Ryuk.
Arroz. 24: A mostra detén o servizo Samss
5.2 Privilexios
En xeral, Ryuk comeza movéndose lateralmente dentro da rede ou é lanzado por outro malware como ou , que, en caso de escalada de privilexios, transfiren estes dereitos elevados ao ransomware.
Antes, como paso previo ao proceso de implantación, vémolo realizando o proceso Suplantar a si mesmo, o que significa que o contido de seguranza do token de acceso pasará ao fluxo, onde se recuperará inmediatamente usando GetCurrentThread.
Arroz. 25: Chama a ImpersonateSelf
Despois vemos que asociará un token de acceso a un fío. Tamén vemos que unha das bandeiras é Acceso desexado, que se pode utilizar para controlar o acceso que terá o fío. Neste caso, o valor que recibirá edx debería ser TOKEN_ALL_ACESS ou doutro xeito - TOKEN_WRITE.
Arroz. 26: Creación dun token de fluxo
Despois usará SeDebugPrivilege e fará unha chamada para obter permisos de depuración no fío, dando como resultado PROCESS_ALL_ACCESS, poderá acceder a calquera proceso requirido. Agora, dado que o cifrador xa ten un fluxo preparado, só queda pasar á fase final.
Arroz. 27: chamando á función de escalada de privilexios e a SeDebugPrivilege
Por unha banda, temos LookupPrivilegeValueW, que nos proporciona a información necesaria sobre os privilexios que queremos aumentar.
Arroz. 28: Solicite información sobre privilexios para a escalada de privilexios
Por outra banda, temos AdjustTokenPrivileges, o que nos permite obter os dereitos necesarios para o noso fluxo. Neste caso, o máis importante é Estado Novo, cuxa bandeira outorgará privilexios.
Arroz. 29: Configuración de permisos para un token
5.3 Implementación
Neste apartado, mostraremos como a mostra realiza o proceso de implantación mencionado anteriormente neste informe.
O obxectivo principal do proceso de implementación, así como a escalada, é acceder a copias de sombra. Para iso, necesita traballar cun fío con dereitos superiores aos do usuario local. Unha vez que obteña tales dereitos elevados, eliminará copias e fará cambios noutros procesos para que sexa imposible volver a un punto de restauración anterior no sistema operativo.
Como é típico con este tipo de malware, usa CreateToolHelp32Instantáneapolo que toma unha instantánea dos procesos en execución e tenta acceder a eses procesos usando OpenProcess. Unha vez que accede ao proceso, tamén abre un token coa súa información para obter os parámetros do proceso.
Arroz. 30: Recuperación de procesos desde un ordenador
Podemos ver de forma dinámica como obtén a lista de procesos en execución na rutina 140002D9C usando CreateToolhelp32Snapshot. Despois de recibilos, pasa pola lista, intentando abrir procesos un por un usando OpenProcess ata que o consegue. Neste caso, o primeiro proceso que puido abrir foi "taskhost.exe".
Arroz. 31: Executar dinámicamente un procedemento para obter un proceso
Podemos ver que posteriormente le a información do token de proceso, polo que chama OpenProcessToken co parámetro "20008"
Arroz. 32: Ler a información do token de proceso
Tamén comproba que o proceso no que se inxectará non o é csrss.exe, explorer.exe, lsaas.exe ou que ten un conxunto de dereitos autoridade NT.
Arroz. 33: Procesos excluídos
Podemos ver dinámicamente como realiza primeiro a comprobación usando a información do token de proceso 140002D9C para saber se a conta cuxos dereitos se están a utilizar para executar un proceso é unha conta AUTORIDADE NT.
Arroz. 34: comprobación da AUTORIDADE NT
E posteriormente, fóra do procedemento, comproba que non é así csrss.exe, explorer.exe ou lsaas.exe.
Arroz. 35: comprobación da AUTORIDADE NT
Unha vez que fixo unha instantánea dos procesos, abriu os procesos e comprobou que ningún deles está excluído, está preparado para escribir na memoria os procesos que se inxectarán.
Para iso, primeiro reserva unha área na memoria (VirtualAlocEx), escribe nel (WriteProcessmemory) e crea un fío (CreateRemoteThread). Para traballar con estas funcións, utiliza os PID dos procesos seleccionados, que previamente obtivo utilizando CreateToolhelp32Snapshot.
Arroz. 36: código incorporado
Aquí podemos observar dinámicamente como usa o proceso PID para chamar á función VirtualAlocEx.
Arroz. 37: Chamar a VirtualAllocEx
5.4 Cifrado
Nesta sección, analizaremos a parte de cifrado desta mostra. Na seguinte imaxe podes ver dúas subrutinas chamadas "LoadLibrary_EncodeString"E"Codificar_Func", que se encargan de realizar o procedemento de cifrado.
Arroz. 38: Procedementos de cifrado
Ao principio podemos ver como carga unha cadea que posteriormente servirá para desofuscar todo o que sexa necesario: importacións, DLL, comandos, ficheiros e CSP.
Arroz. 39: Circuíto de desofuscación
A seguinte figura mostra a primeira importación que desofusca no rexistro R4. Cargar biblioteca. Isto empregarase máis tarde para cargar os DLL necesarios. Tamén podemos ver outra liña no rexistro R12, que se usa xunto coa liña anterior para realizar a desofuscación.
Arroz. 40: Desofuscación dinámica
Continúa descargando comandos que executará máis tarde para desactivar as copias de seguridade, os puntos de restauración e os modos de inicio seguro.
Arroz. 41: Cargando comandos
A continuación, carga o lugar onde soltará 3 ficheiros: Windows.bat, run.sct и comezar.bat.
Arroz. 42: Localizacións dos ficheiros
Estes 3 ficheiros úsanse para comprobar os privilexios que ten cada localización. Se os privilexios necesarios non están dispoñibles, Ryuk detén a execución.
Continúa cargando as liñas correspondentes aos tres ficheiros. Primeira, DECRYPT_INFORMATION.html, contén información necesaria para recuperar ficheiros. Segundo, PÚBLICO, contén a clave pública RSA.
Arroz. 43: Liña DECIFRAR INFORMACIÓN.html
Terceiro, UNIQUE_ID_DO_NOT_REMOVE, contén a clave cifrada que se utilizará na seguinte rutina para realizar o cifrado.
Arroz. 44: Liña ID ÚNICO NON QUITAR
Finalmente, descarga as bibliotecas necesarias xunto coas importacións e CSP necesarios (Microsoft Enhanced RSA и Proveedor de criptografía AES).
Arroz. 45: Cargando bibliotecas
Despois de completar toda a desofuscación, procede a realizar as accións necesarias para o cifrado: enumerar todas as unidades lóxicas, executar o que se cargaba na rutina anterior, reforzar a presenza no sistema, lanzar o ficheiro RyukReadMe.html, cifrar, enumerar todas as unidades de rede. , transición aos dispositivos detectados e o seu cifrado.
Todo comeza coa carga"cmd.exe" e rexistros de clave pública RSA.
Arroz. 46: Preparación para o cifrado
A continuación, utiliza todas as unidades lóxicas GetLogicalDrives e desactiva todas as copias de seguridade, os puntos de restauración e os modos de arranque seguros.
Arroz. 47: Desactivación de ferramentas de recuperación
Despois diso, reforza a súa presenza no sistema, como vimos anteriormente, e escribe o primeiro ficheiro RyukReadMe.html в Temp.
Arroz. 48: Publicación dun aviso de rescate
Na seguinte imaxe podes ver como crea un ficheiro, descarga o contido e o escribe:
Arroz. 49: Carga e escritura de contidos do ficheiro
Para poder realizar as mesmas accións en todos os dispositivos, usa
"icacls.exe", como mostramos anteriormente.
Arroz. 50: Usando icalcls.exe
E, finalmente, comeza a cifrar ficheiros excepto os ficheiros "*.exe", "*.dll", ficheiros do sistema e outras localizacións especificadas en forma de lista branca cifrada. Para iso, utiliza importacións: CryptAcquireContextW (onde se especifica o uso de AES e RSA), CryptDeriveKey, CryptGenKey, CryptDestroyKey etc. Tamén tenta estender o seu alcance aos dispositivos de rede descubertos usando WNetEnumResourceW e despois cifralos.
Arroz. 51: Cifrar ficheiros do sistema
6. Importacións e bandeiras correspondentes
A continuación móstrase unha táboa que enumera as importacións e as bandeiras máis relevantes utilizadas pola mostra:
7. COI
referencias
- usuariosPublicrun.sct
- Menú InicioProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Un informe técnico sobre o ransomware Ryuk foi elaborado por expertos do laboratorio antivirus PandaLabs.
8. Ligazóns
1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra os seus sistemas.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada o 04/11/2019.
2. “Un virus de origen ruso ataca a importantes empresas españolas.” https: //elpais.com/ tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada o 04/11/2019.
3. "VB2019 paper: Shinigami's revenge: the long tail of the Ryuk malware." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada o 11 /12/2019
4. "Big Game Hunting with Ryuk: Another LucrativebTargeted Ransomware." https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada o 10/01/2019.
5. "Papel VB2019: a vinganza de Shinigami: a longa cola do malware Ryuk." https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Fonte: www.habr.com