Ryuk ass eng vun de bekanntste Ransomware Optiounen an de leschte Joren. Zënter datt et fir d'éischt am Summer 2018 opgetaucht ass, huet et gesammelt , besonnesch am Geschäftsëmfeld, wat d'Haaptziel vun hiren Attacken ass.
1. Allgemeng Informatiounen
Dëst Dokument enthält eng Analyse vun der Ryuk Ransomware Variant, souwéi de Loader verantwortlech fir d'Malware an de System ze lueden.
D'Ryuk Ransomware erschéngt fir d'éischt am Summer 2018. Ee vun den Ënnerscheeder tëscht Ryuk an aner Ransomware ass datt et zielt fir Firmenëmfeld z'attackéieren.
Mëtt 2019 hunn Cyberkriminelle Gruppen eng grouss Zuel vu spuenesche Firmen attackéiert déi dës Ransomware benotzen.
Reis. 1: Auszuch aus El Confidencial iwwer de Ryuk Ransomware Attack [1]
Reis. 2: Auszuch aus El País iwwer en Attack duerchgefouert mat der Ryuk Ransomware [2]
Dëst Joer huet Ryuk eng grouss Zuel vu Firmen a verschiddene Länner attackéiert. Wéi Dir an de Figuren hei ënnen gesitt, waren Däitschland, China, Algerien an Indien am haardsten getraff.
Andeems Dir d'Zuel vun Cyberattacken vergläicht, kënne mir gesinn datt Ryuk Millioune Benotzer beaflosst huet an eng rieseg Quantitéit un Daten kompromittéiert huet, wat zu engem schwéiere wirtschaftleche Verloscht resultéiert.
Reis. 3: Illustratioun vum Ryuk senger globaler Aktivitéit.
Reis. 4: 16 Länner am meeschte betraff vum Ryuk
Reis. 5: Zuel vun de Benotzer attackéiert vun Ryuk Ransomware (a Millioune)
Laut dem gewéinleche Betribsprinzip vun esou Geforen, weist dës Ransomware, nodeems d'Verschlësselung ofgeschloss ass, dem Affer eng Ransom Notifikatioun, déi a Bitcoins op déi spezifizéiert Adress bezuelt muss ginn fir den Zougang zu de verschlësselte Dateien ze restauréieren.
Dës Malware huet geännert zënter datt et fir d'éischt agefouert gouf.
D'Variant vun dëser Bedrohung, déi an dësem Dokument analyséiert gouf, gouf während engem Attackeversuch am Januar 2020 entdeckt.
Wéinst senger Komplexitéit gëtt dës Malware dacks un organiséierte Cyberkriminelle Gruppen zougeschriwwen, och bekannt als APT Gruppen.
En Deel vum Ryuk Code huet eng merkbar Ähnlechkeet zum Code a Struktur vun enger anerer bekannter Ransomware, Hermes, mat där se eng Rei identesch Funktiounen deelen. Dofir war Ryuk ufanks mat der nordkoreanescher Grupp Lazarus verbonnen, déi deemools verdächtegt gouf hannert der Hermes Ransomware ze sinn.
CrowdStrike's Falcon X Service huet duerno festgestallt datt Ryuk tatsächlech vun der WIZARD SPIDER Grupp erstallt gouf [4].
Et gëtt e puer Beweiser fir dës Virgab z'ënnerstëtzen. Als éischt gouf dës Ransomware op der Websäit exploit.in ugekënnegt, wat e bekannte russesche Malware Maartplaz ass a virdru mat e puer russesche APT Gruppen verbonne war.
Dës Tatsaach Regelen aus der Theorie datt Ryuk vun der Lazarus APT Grupp entwéckelt ginn hätt, well et passt net mat der Aart a Weis wéi de Grupp funktionnéiert.
Zousätzlech gouf Ryuk als Ransomware ugekënnegt, déi net op russesch, ukrainesch a wäissrussesch Systemer funktionnéiert. Dëst Verhalen gëtt vun enger Feature festgeluecht, déi an e puer Versioune vu Ryuk fonnt gëtt, wou et d'Sprooch vum System iwwerpréift, op deem d'Ransomware leeft, a stoppt se ze lafen, wann de System eng russesch, ukrainesch oder wäissrussesch Sprooch huet. Schlussendlech huet eng Expertanalyse vun der Maschinn, déi vum WIZARD SPIDER Team gehackt gouf, verschidde "Artefakte" opgedeckt, déi angeblech an der Entwécklung vu Ryuk als Variant vun der Hermes Ransomware benotzt goufen.
Op der anerer Säit hunn d'Experten Gabriela Nicolao a Luciano Martins virgeschloen datt d'Ransomware vun der APT Grupp CryptoTech entwéckelt gouf [5].
Dëst folgt vun der Tatsaach, datt e puer Méint virun der Erscheinung vu Ryuk dës Grupp Informatioun um Forum vum selwechte Site gepost huet, datt se eng nei Versioun vun der Hermes Ransomware entwéckelt hunn.
Verschidde Forum Benotzer gefrot ob CryptoTech eigentlech Ryuk erstallt. D'Grupp huet sech dunn verteidegt an erkläert datt et Beweiser huet datt se 100% vun der Ransomware entwéckelt hunn.
2. Charakteristiken
Mir starten mam Bootloader, deem seng Aarbecht ass de System z'identifizéieren deen et ass, sou datt déi "korrekt" Versioun vun der Ryuk Ransomware lancéiert ka ginn.
De Bootloader Hash ass wéi follegt:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Ee vun de Feature vun dësem Downloader ass datt et keng Metadaten enthält, d.h. D'Creatoren vun dëser Malware hunn keng Informatioun dran abegraff.
Heiansdo enthalen se falsch Donnéeën fir de Benotzer ze tricken ze denken datt se eng legitim Applikatioun lafen. Wéi och ëmmer, wéi mir spéider gesinn, wann d'Infektioun keng Benotzerinteraktioun involvéiert (wéi et de Fall ass mat dëser Ransomware), da betruechten Ugräifer et net néideg fir Metadaten ze benotzen.
Reis. 6: Prouf Meta Daten
D'Probe gouf am 32-Bit Format kompiléiert sou datt et op 32-Bit a 64-Bit Systemer lafen kann.
3. Pénétratioun Vecteure
D'Probe, déi de Ryuk eroflueden a leeft, ass an eise System iwwer eng Fernverbindung erakomm, an d'Zougangsparameter goufen duerch e virleefeg RDP-Attack kritt.
Reis. 7: Attack Register
Den Ugräifer huet et fäerdeg bruecht op de System op afstand anzeloggen. Duerno huet hien eng ausführbar Datei mat eisem Probe erstallt.
Dës ausführbar Datei gouf vun enger Antivirus-Léisung blockéiert ier se lafen.
Reis. 8: Muster Spär
Reis. 9: Muster Spär
Wann déi béiswëlleg Datei gespaart gouf, huet den Ugräifer probéiert eng verschlësselte Versioun vun der ausführbarer Datei erofzelueden, déi och gespaart gouf.
Reis. 10: Set vu Proben déi den Ugräifer probéiert huet ze lafen
Schlussendlech huet hien probéiert eng aner béiswëlleg Datei duerch déi verschlësselte Konsol erofzelueden
PowerShell fir den Antivirus Schutz ëmzegoen. Mä hie gouf och blockéiert.
Reis. 11: PowerShell mat béiswëllegen Inhalt blockéiert
Reis. 12: PowerShell mat béiswëllegen Inhalt blockéiert
4. Loader
Wann et ausféiert, schreift et eng ReadMe Datei an den Dossier % Temp%, wat typesch fir Ryuk ass. Dëse Fichier ass eng Léisegeld Notiz mat enger E-Mailadress am Protonmail Domain, wat zimlech heefeg ass an dëser Malwarefamill: [Email geschützt]
Reis. 13: Ransom Demande
Wärend de Bootloader leeft, kënnt Dir gesinn datt et e puer ausführbar Dateie mat zoufälleg Nimm lancéiert. Si sinn an engem verstoppte Dossier gespäichert Ëffentlech, awer wann d'Optioun net am Betribssystem aktiv ass "Weist verstoppte Dateien an Ordner", da bleiwen se verstoppt. Ausserdeem sinn dës Dateien 64-Bit, am Géigesaz zu der Elterendatei, déi 32-Bit ass.
Reis. 14: Ausféierbar Dateien lancéiert vun der Probe
Wéi Dir am Bild hei uewen kënnt gesinn, lancéiert Ryuk icacls.exe, déi benotzt gëtt fir all ACLs (Access Control Lists) z'änneren, sou datt den Zougang an d'Ännerung vu Fändelen assuréiert.
Et kritt voll Zougang ënner all Benotzer op all Dateien um Apparat (/T) onofhängeg vu Feeler (/C) an ouni Messagen ze weisen (/Q).
Reis. 15: Ausféierungsparameter vun icacls.exe vun der Probe lancéiert
Et ass wichteg ze notéieren datt Ryuk kontrolléiert wéi eng Versioun vu Windows Dir leeft. Fir dëst hien
mécht eng Versioun Kontroll mat GetVersionExW, an deem et de Wäert vum Fändel kontrolléiert lpVersionInformationuginn ob déi aktuell Versioun vu Windows méi nei ass wéi Windows Politik.
Ofhängeg dovun ob Dir eng Versioun méi spéit wéi Windows XP leeft, schreift de Bootloader an de lokalen Benotzer Dossier - an dësem Fall an den Dossier %Public%.
Reis. 17: D'Versioun vum Betribssystem kontrolléieren
De Fichier deen geschriwwe gëtt ass Ryuk. Et leeft et dann, passéiert seng eege Adress als Parameter.
Reis. 18: Ryuk iwwer ShellExecute ausféieren
Dat éischt wat de Ryuk mécht ass d'Inputparameter ze kréien. Dës Kéier ginn et zwee Inputparameter (den Ausféierbar selwer an d'Dropperadress) déi benotzt gi fir seng eege Spuren ze läschen.
Reis. 19: Erstellt e Prozess
Dir kënnt och gesinn datt wann et seng Ausféierbaren ausgeführt huet, se selwer läscht, also keng Spuer vu senger eegener Präsenz am Dossier hannerloosst wou se ausgefouert gouf.
Reis. 20: E Fichier läschen
5. RYUK
5.1 Präsenz
Ryuk, wéi aner Malware, probéiert sou laang wéi méiglech um System ze bleiwen. Wéi uewen gewisen, ass ee Wee fir dëst Zil z'erreechen ass geheim ausführbar Dateien ze kreéieren an ze lafen. Fir dëst ze maachen, ass déi allgemeng Praxis de Registry Schlëssel z'änneren CurrentVersionRun.
An dësem Fall kënnt Dir gesinn datt fir dësen Zweck déi éischt Datei lancéiert gëtt VWjRF.exe
(Datei Numm ass zoufälleg generéiert) lancéiert cmd.exe.
Reis. 21: VWjRF.exe ausféieren
Da gitt de Kommando RENN Mam Numm "svchos". Also, wann Dir d'Registrierungsschlësselen zu all Moment kontrolléiere wëllt, kënnt Dir dës Ännerung ganz einfach verpassen, well d'Ähnlechkeet vun dësem Numm mat svchost. Dank dësem Schlëssel garantéiert Ryuk seng Präsenz am System. Wann de System net huet nach infizéiert , dann wann Dir de System nei start, probéiert d'Ausféierbar nach eng Kéier.
Reis. 22: D'Probe garantéiert d'Präsenz am Registry Key
Mir kënnen och gesinn datt dëst ausführbar zwee Servicer stoppt:
"audioendpointbuilder", deen, wéi säin Numm et scho seet, dem System Audio entsprécht,
Reis. 23: Sample stoppt de System Audio Service
и Samss, deen e Kontomanagementservice ass. Dës zwee Servicer stoppen ass e Charakteristik vu Ryuk. An dësem Fall, wann de System mat engem SIEM System verbonne ass, probéiert d'Ransomware opzehalen ze schécken all Warnungen. Op dës Manéier schützt hien seng nächst Schrëtt, well e puer SAM-Servicer net fäeg sinn hir Aarbecht richteg ze starten nodeems de Ryuk ausgefouert gouf.
Reis. 24: Prouf hält Samss Service
5.2 Privilegien
Am Allgemengen, Ryuk fänkt un mat der Säit am Netz ze beweegen oder et gëtt vun enger anerer Malware gestart wéi z oder , déi, am Fall vun der Privileg Eskalatioun, dës erhéicht Rechter op d'Ransomware iwwerdroen.
Virdrun, als Optakt vum Ëmsetzungsprozess, gesi mir hien de Prozess duerchféieren ImpersonateSelf, dat heescht datt d'Sécherheetsinhalt vum Zougangstoken un de Stream weidergeleet gëtt, wou se direkt mat Hëllef vun GetCurrentThread.
Reis. 25: Call ImpersonateSelf
Mir gesinn dann datt et en Zougangstoken mat engem Fuedem assoziéiert. Mir gesinn och, datt ee vun de Fändelen ass Wonsch Zougang, déi benotzt ka ginn fir den Zougang ze kontrolléieren deen de Fuedem wäert hunn. An dësem Fall sollt de Wäert deen edx kritt TOKEN_ALL_ACCESS oder soss - TOKEN_SCHREIWEN.
Reis. 26: Erstellt e Flow Token
Da wäert hien benotzen SeDebugPrivilege a wäert en Uruff maachen fir Debug Permissiounen op de Fuedem ze kréien, wat resultéiert PROCESS_ALL_ZOUGANG, hie wäert fäheg sinn all néideg Prozess ze Zougang. Elo, well de Verschlësselungsapparat schonn e preparéierten Stream huet, bleift et just weider op d'Finale Etapp.
Reis. 27: Opruff SeDebugPrivilege a Privileg Eskalatioun Funktioun
Engersäits hu mir LookupPrivilegeValueW, déi eis déi néideg Informatioune gëtt iwwer d'Privilegien déi mir wëllen erhéijen.
Reis. 28: Ufro Informatiounen iwwer Privilegien fir Privileg Eskalatioun
Op der anerer Säit hu mir AdjustTokenPrivileges, wat eis erlaabt déi néideg Rechter op eise Stream ze kréien. An dësem Fall ass déi wichtegst Saach Neie Staat, deem säi Fändel Privilegien gëtt.
Reis. 29: Astelle Permissiounen fir en Token
5.3 Ëmsetzung
An dëser Sektioun wäerte mir weisen wéi d'Probe den Ëmsetzungsprozess ausféiert, dee virdru an dësem Bericht ernimmt gouf.
D'Haaptziel vum Ëmsetzungsprozess, souwéi Eskalatioun, ass Zougang zu Schattenkopien. Fir dëst ze maachen, muss hien mat engem Fuedem schaffen mat Rechter méi héich wéi déi vum lokalen Benotzer. Wann et sou erhiefte Rechter kritt, wäert et Kopien läschen an Ännerunge fir aner Prozesser maachen fir et onméiglech ze maachen zréck op e fréiere Restauratiounspunkt am Betribssystem.
Wéi typesch mat dëser Zort vu Malware, benotzt se CreateToolHelp32Snapshotalso hëlt et e Schnappschëss vun den aktuell lafende Prozesser a probéiert dës Prozesser ze benotzen OpenProcess. Wann et Zougang zum Prozess kritt, mécht et och en Token mat senger Informatioun op fir d'Prozessparameter ze kréien.
Reis. 30: Recuperéieren Prozesser vun engem Computer
Mir kënnen dynamesch gesinn wéi et d'Lëscht vun de lafende Prozesser an der Routine 140002D9C kritt mat CreateToolhelp32Snapshot. Nodeems hien se kritt huet, geet hien duerch d'Lëscht, probéiert d'Prozesser een nom aneren opzemaachen mat OpenProcess bis hien et fäerdeg bréngt. An dësem Fall war den éischte Prozess deen hie konnt opmaachen "taskhost.exe".
Reis. 31: Dynamesch eng Prozedur ausféieren fir e Prozess ze kréien
Mir kënne gesinn datt et duerno d'Prozess Token Informatioun liest, sou datt et rifft OpenProcessToken mam Parameter "20008"
Reis. 32: Liesen Prozess Token Informatiounen
Et kontrolléiert och datt de Prozess an deem et injizéiert gëtt net ass csrss.exe, explorer.exe, lsaas.exe oder datt hien eng Rei vu Rechter huet NT Autoritéit.
Reis. 33: Ausgeschloss Prozesser
Mir kënnen dynamesch gesinn wéi et fir d'éischt de Scheck ausféiert mat der Prozess Token Informatioun an Spezifikatioune vun 140002D9C fir erauszefannen ob de Kont deem seng Rechter benotzt gi fir e Prozess auszeféieren e Kont ass NT Autoritéit.
Reis. 34: NT Autoritéit kontrolléieren
A spéider, ausserhalb vun der Prozedur, kontrolléiert hien, datt dat net ass csrss.exe, explorer.exe oder lsaas.exe.
Reis. 35: NT Autoritéit kontrolléieren
Wann hien e Snapshot vun de Prozesser gemaach huet, d'Prozesser opgemaach huet a verifizéiert huet datt kee vun hinnen ausgeschloss ass, ass hien bereet d'Prozesser an d'Erënnerung ze schreiwen déi injizéiert ginn.
Fir dëst ze maachen, reservéiert als éischt e Gebitt an Erënnerung (VirtualAllocEx), schreift dran (WriteProcessmemory) a erstellt e Fuedem (CreateRemoteThread). Fir mat dëse Funktiounen ze schaffen, benotzt se d'PIDs vun de gewielte Prozesser, déi et virdru kritt huet CreateToolhelp32Snapshot.
Reis. 36: Embed Code
Hei kënne mir dynamesch beobachten wéi et de Prozess PID benotzt fir d'Funktioun ze ruffen VirtualAllocEx.
Reis. 37: Call VirtualAllocEx
5.4 Verschlësselung
An dëser Sektioun wäerte mir de Verschlësselungsdeel vun dëser Probe kucken. Op der folgender Foto kënnt Dir zwee Subroutine gesinn genannt "LoadLibrary_EncodeString"и"Encode_Func", déi verantwortlech sinn fir d'Verschlësselungsprozedur auszeféieren.
Reis. 38: Verschlësselung Prozeduren
Am Ufank kënne mir gesinn wéi et eng String lued, déi spéider benotzt gëtt fir alles ze deobfuscate wat néideg ass: Importer, DLLs, Kommandoen, Dateien an CSPs.
Reis. 39: Deobfuscatioun Circuit
Déi folgend Figur weist den éischten Import et deobfuscates am Register R4. LoadLibrary. Dëst gëtt spéider benotzt fir déi erfuerderlech DLLs ze lueden. Mir kënnen och eng aner Linn am Register R12 gesinn, déi zesumme mat der viregter Linn benotzt gëtt fir Deobfuscatioun ze maachen.
Reis. 40: Dynamesch Deobfuscatioun
Et geet weider Kommandoen erofzelueden, déi et méi spéit lafen fir Backups auszeschalten, Restauratiounspunkten a sécher Bootmodi.
Reis. 41: Luede Kommandoen
Da lued et d'Plaz wou et 3 Dateien falen: Windows.bat, run.sct и ufänken.bat.
Reis. 42: Fichier Plaze
Dës 3 Dateie gi benotzt fir d'Privilegien ze kontrolléieren déi all Standuert huet. Wann déi erfuerderlech Privilegien net verfügbar sinn, stoppt Ryuk d'Ausféierung.
Et geet weider fir d'Linnen ze lueden, déi den dräi Dateien entspriechen. Éischten, DECRYPT_INFORMATION.html, enthält Informatioun déi néideg ass fir Dateien ze recuperéieren. Zweeten, Ëffentlech, enthält den RSA ëffentleche Schlëssel.
Reis. 43: Linn DECRYPT INFORMATION.html
Drëtten, UNIQUE_ID_DO_NOT_REMOVE, enthält de verschlësselte Schlëssel deen an der nächster Routine benotzt gëtt fir d'Verschlësselung auszeféieren.
Reis. 44: Linn Eenzegaarteg ID NET Ewechmaachen
Schlussendlech luet et déi erfuerderlech Bibliothéiken erof zesumme mat den erfuerderlechen Importer an CSPs (Microsoft Enhanced RSA и AES Kryptografesche Provider).
Reis. 45: Luede Bibliothéiken
Nodeems all Deobfuscatioun ofgeschloss ass, geet et weider fir d'Aktiounen auszeféieren, déi fir d'Verschlësselung erfuerderlech sinn: all logesch Fuerderen opzielen, auszeféieren wat an der viregter Routine gelueden ass, d'Präsenz am System stäerken, d'RyukReadMe.html Datei erofsetzen, Verschlësselung, opzielen all Netzwierkfuerer , Iwwergank op entdeckt Apparater an hir Verschlësselung.
Et fänkt alles mam Luede un"cmd.exe" an RSA ëffentlech Schlëssel records.
Reis. 46: Virbereeden fir Verschlësselung
Da kritt et all logesch fiert benotzt GetLogicalDrives an deaktivéiert all Backups, Restauratiounspunkten a sécher Bootmodi.
Reis. 47: Erhuelung Tools deaktivéieren
Duerno stäerkt et seng Präsenz am System, wéi mir uewen gesinn, a schreift déi éischt Datei RyukReadMe.html в TEMP.
Reis. 48: Verëffentlechung vun engem Ransom Notiz
Op der folgender Foto kënnt Dir gesinn wéi et eng Datei erstellt, den Inhalt erofluet a schreift et:
Reis. 49: Lueden a schreiwen Dateiinhalter
Fir déi selwecht Aktiounen op all Apparater auszeféieren, benotzt hien
"icacls.exe", wéi mir uewen gewisen.
Reis. 50: Benotzt icalcls.exe
A schliisslech fänkt et un d'Verschlësselung vun Dateien ausser "*.exe", "*.dll" Dateien, Systemdateien an aner Plazen, déi a Form vun enger verschlësselter wäisser Lëscht spezifizéiert sinn. Fir dëst ze maachen, benotzt et Importer: CryptAcquireContextW (wou d'Benotzung vun AES an RSA spezifizéiert ass), CryptDeriveKey, CryptGenKey, CryptDestroyKey etc. Et probéiert och seng Erreeche op entdeckt Netzwierkapparater mat WNetEnumResourceW ze verlängeren an se dann ze verschlësselen.
Reis. 51: Systemdateien verschlësselen
6. Importer an entspriechend Fändelen
Drënner ass eng Tabell déi déi relevantst Importer a Fändelen vun der Probe benotzt:
7. IOC
Referenze
- usersPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
En technesche Bericht iwwer d'Ryuk Ransomware gouf vun Experten aus dem Antivirus Laboratoire PandaLabs zesummegesat.
8. Referenze
1. "Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas." https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. "Un virus de origen ruso ataca a importantes empresas españolas." https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. "VB2019 Pabeier: Shinigami's Revanche: de laange Schwanz vun der Ryuk Malware." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. "Grouss Spill Juegd mat Ryuk: Eng aner lukrativ bTargeted Ransomware." https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Verëffentlechung vum 10/01/2019.
5. "VB2019 Pabeier: Shinigami's Revanche: de laange Schwanz vun der Ryuk Malware." https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Source: will.com