虽然家庭聚集在圣诞节前夕的食物和欢乐,但大多数企业都沉睡了。没有什么在搅拌,甚至没有鼠标 - 左右他们想。

然而,对于论坛出版公司和数据解决公司的员工来说,一场无声的攻击正在他们的网络中慢慢蔓延,加密数据和暂停操作。这次袭击是从一个相当新的勒索制造器家庭叫ryuk。

Ryuk于2018年8月首次亮相,它与我们分析过的其他许多勒索软件家族不同,不是因为它的功能,而是因为它感染系统的新方式。

让我们来看看这个难以捉摸的新威胁。琉克是什么?是什么让它与其他勒索软件攻击不同?业务如何阻止它和未来类似的威胁?

琉克是什么?

ryuk.首先出现在2018年8月虽然Ryuk在全球范围内并不是特别活跃,但在其运作的头两个月里,至少有三个组织受到了Ryuk病毒的感染,最终导致了袭击者的死亡赎金约640,000美元为了他们的努力。

尽管发生了成功的感染,Ryuk本身具有功能性你会在其他一些现代勒索软件家族中看到。这包括识别和加密网络驱动器和资源,以及删除端点上的影子副本的能力。通过这样做,攻击者可以为用户禁用Windows系统恢复选项,因此不可能在没有外部备份的情况下从攻击中恢复。

Ryuk“礼貌”赎金券

这个勒索软件的一个有趣方面是它在系统上丢弃了多个注释。第二个音符是以礼貌的语气写的,类似于BitPaymer Ransomware丢弃的音符,它会增加谜团。

Ryuk“Not-So-Said”赎金券

与爱马仕的相似之处

检查站的研究人员已经进行了深度分析他们的发现之一是Ryuk与另一个勒索软件家族有许多相似之处:爱马仕

在ryuk和hermes的内部,有许多类似或相同的代码段的情况。此外,已发现Ryuk内的若干字符串是指在两个单独的情况下的Hermes。

启动时,Ryuk将首先查找插入每个加密文件中的Hermes标记。这是一种识别文件或系统是否已被攻击和/或加密的方法。

另一个案例涉及白名单文件夹,虽然不像第一个那么诅咒,但勒索软件家庭白名单的某些文件夹名称是两个家庭可能分享发起者的另一个线索。例如,Ryuk和Hermes白名单是一个名为“Ahnlab”的文件夹,它是流行的韩国安全软件的名称。

如果您了解您的恶意软件,您可能会记得Hermes归功于Lazarus集团,他与涉嫌朝鲜民族行动相关联。这使许多分析师和记者推测朝鲜落后于此袭击。

我们对此不太确定。

值得注意的攻击

在过去几个月主要在美国的次数发生了多个值得注意的Ryuk攻击,其中勒索软件感染了大量的终点,并且要求更高的赎金,而不是我们通常看到的(15到50位比特币)。

一次这样的攻击发生在Onslow水和下水道权威(Owasa)这使得该组织在一段时间内无法使用他们的电脑。虽然供水和污水处理服务以及客户数据都没有受到勒索软件的攻击,但它仍然对该组织的网络造成了重大破坏,并导致大量数据库和系统从头开始重建。

感染的方法

根据检查站和多个分析师和研究人员,Ryuk通过僵尸网络传播为次要有效载荷,例如TrickBot情绪化

这是运行理论:肌动机对终点进行初始感染。它有自己的能力横向传播整个网络,以及启动自己的网络马尔帕姆从受感染的端点发起攻击,向同一或不同网络上的其他用户发送额外的恶意软件。

从那里,我们看到的最常见的有效载荷过去六个月的情感下降一直是涓涓细流的.这种恶意软件有能力窃取凭证,也可以在网络上横向移动,并以其他方式传播。

基于它们最新的功能,TrickBot和Emotet都被用作信息窃取者、下载者,甚至蠕虫。

在某些时候,出于理由我们将在此帖子后面探讨,TrickBot将在系统上下载并丢弃Ryuk Ransomware,假设受感染的网络是攻击者想要赎金的东西。Since we don’t see even a fraction of the number of Ryuk detections as we see of Emotet and TrickBot through our product telemetry, we can assume that it’s not the default standard operation to infect systems with Ryuk after a time, but rather something that is triggered by a human attacker behind the scenes.

统计数据

让我们来看看来自八月直到当天的八月的愚蠢,ryuk和涓涓细胞统计,看看我们是否无法识别趋势。

必威平台APPMalwarebytes'2018年8月1日起检测 - 2019年1月2日

蓝线代表Modet,2018年最大的信息窃取木马。虽然这个图表仅向我们展示了美国,但请放心,在一年中的大部分时间里,情绪在地图上。然而,正如我们在2018年第四季度航行,它成为一个更大的问题。

橙色线代表涓tipot。这些检测预计将低于MODET,因为MODET通常是主要有效载荷。这意味着为了检测到涓滴,它必须将其直接传递给端点或被安全软件未被发现的肌动态感染或部署在没有它的系统上。此外,由于特洛伊木马连续交换有效载荷,TrickBot并未成为情感的默认有效载荷,这取决于一年和机会的时间。

基于此,要使用Ryuk(至少在我们弄清楚这里的真正意图之前),您需要禁用,未安装或未更新安全软件。您需要避免进行常规扫描来识别TrickBot或Modet。您需要在整个网络中横向移动,因此需要具有未分割的端点或弱凭证,以便在整个网络中横向移动,然后,您需要成为目标。

That being said, while our detections of Ryuk are small compared to the other families on this chart, that’s likely because we caught the infection during an earlier stage of the attack, and the circumstances for a Ryuk attack need to be just right—like Goldilocks’ porridge. Surprisingly enough, organizations have created the perfect environment for these threats to thrive. This may also be the reason behind the huge ransom payment, as fewer infections lead to fewer payouts.

圣诞节竞选

虽然在今年早些时候早期,Ryuk并没有成为在Christmastime围绕Christmastime发生的两组最大的ryuk感染套装的头条新闻。

下图表显示了我们从12月初到现在的Ryuk的检测统计数据,两种感染尖峰指出星星。

必威平台APPMalwarebytes'Ryuk检测到2018年12月5日 - 2019年1月2日

这些峰值表明,12月24日和27日发生了重大袭击。

数据分辨率攻击

首先攻击对象是Dataresolution.net云托管提供者,在圣诞节前夕。正如您从上个月在上个月在一天中检测到的最多的Ryuk是最多的。

根据数据分辨率,Ryuk能够通过使用受损的登录帐户来感染系统。从那里,恶意软件将组织的数据中心域控制到攻击者,直到整个网络通过数据分辨率关闭。

该公司确保客户没有损害用户数据,并且攻击的意图是劫持,而不是偷窃。虽然,了解这个恶意软件在第一名的一个终点点是一个好兆头,它们可能丢失了至少一些信息。

论坛报告攻击

我们的第二颗星代表12月27日袭击在致敬出版伞下的多个新闻纸组织(现在或在最近的过去)与Ryuk赎金软件打击,基本上禁用这些组织打印自己的论文的能力。

袭击是在周四深夜被发现的,当时《圣地亚哥联合论坛报》(San Diego Union-Tribune)的一名编辑无法将完成的稿件发送给印刷厂。这些问题已经得到解决。

理论

我们认为Ryuk正在使用ModeTet和Trickbot传染系统来分配赎金软件。但是,目前尚不清楚是为什么犯罪分子在已经成功的感染后将使用这个赎金。

在这种情况下,我们可以借鉴Hermes的做法。我们目睹了在台湾使用的爱马仕作为一种涵盖已经在网络上的另一个恶意软件系列的轨道的方法。ryuk是否以同样使用?

由于ImpleTex和Trickbot不是国家赞助的恶意软件,并且它们通常会自动向遗嘱受害者推出(而不是识别目标并手动启动),似乎奇怪的是在少数情况下将用于ryuk隐藏感染。所以也许我们可以统治这个理论。

第二种可能性更大的理论是,《Ryuk》的目的是作为从已经有利可图的目标身上榨取更多价值的最后一招。

让我们说,攻击者背后的攻击者和Trickbot背后的攻击者将映射到识别目标组织。如果目标具有足够的感染传播,而且/或如果其运作至关重要或有价值,那么中断会引发支付赎金的倾向,那么可能使他们成为Ryuk感染的完美目标。

使用此恶意软件的真实意图只能在此时推测。但是,无论是隐藏其他恶意软件的曲目还是只要寻找窃取他们所能的所有相关数据后,就会寻找更多现金的方法,企业应该谨慎态度。

事实仍然是现在存在成千上万的活跃的情感和涓饰感染。处理这些威胁的任何组织都需要认真对待他们,因为信息偷窃师可能会随时进入令人讨厌的赎金软件。这是我们现代威胁景观的真相。

归因

正如之前提到的,许多分析人士和记者认为,北韩是最有可能散布“琉球”的攻击者。虽然我们不能完全排除这种可能性,但我们也不能完全确定它的准确性。

Ryuk以多种方式匹配爱马仕。基于发现的字符串,它很可能建立在顶部,或者是Hermes的修改版本。攻击者如何获得源代码是未知的,但是,我们观察了犯罪分子在黑客论坛上销售了Hermes版本的情况。

这引入了源代码进入不同演员手中的另一个潜在原因。

根据两个家庭之间的相似性识别此攻击的归属,其中一个与已知的国家攻击组(Lazarus)相关的是一种逻辑谬误,如最近的一篇文章中的罗伯特M. Lee所描述的那样,“归因是不可传递的——贡品发布网络攻击案例研究.” The article takes a deeper dive into the errors of attribution based on flimsy evidence. We caution readers, journalists, and other analysts on drawing conclusions from correlations.

保护

现在我们知道Ryuk攻击业务的如何和潜在潜在的为什么,我们如何防止这种恶意软件和其他人喜欢它?

让我们专注于有效地对这种威胁有效的特定技术和操作。

防爆技术

对于感染和横向运动的利用的使用多年来一直在增加。感染的主要方法Emotet目前是通过带有恶意脚本的附加Office文档的垃圾邮件

这些恶意脚本是宏,一旦用户点击“启用内容”(通常通过某种社交工程技巧),将推出其他脚本以引起严重破坏。我们最常查看JavaScript和PowerShell的脚本,PowerShell迅速成为传染用户的脱象脚本语言。

虽然您可以通过培训用户来识别社交工程尝试或使用识别恶意垃圾邮件的电子邮件保护平台来阻止这些威胁防爆技术还可以阻止那些恶意脚本试图在系统上安装恶意软件。

此外,使用保护技术,如反赎金瓶增加了大量的防止勒索软件感染的保护,在它们造成严重损害之前阻止它们。

定期更新恶意软件扫描

这是一项一般规则,这已经被忽略了足够的时间来在这里值得一提。为了具有有效的安全解决方案,他们需要是用过的并经常更新,以便识别和阻止最新的威胁。

在一个情况下,组织的IT团队甚至不知道他们是在他们更新了安全软件之前,他们会受到情绪感染.他们对安全解决方案有虚假的信心,这些安全解决方案没有完全武装工具来阻止威胁。因此,他们手上有一个严重的问题。

网络市场细分

这是我们多年来推荐的策略,特别是在保护防范赎金书。如果单个端点被感染,确保您不会丢失映射或网络驱动器和资源,这是一个好主意段访问某些服务器和文件。

有两种方法可以分割网络并减少赎金软件攻击的损坏。首先,根据角色要求限制对某些映射驱动器的访问。其次,使用单独的或第三方系统存储共享文件和文件夹,例如框或Dropbox。

不断发展的威胁

去年,这带来了一些新的方法,造成工作场所中断和破坏。虽然Ransomware是2017年,2018年的业务最致命的恶意软件,而且外面将使我必威官网多少们在一个攻击链中携带多个恶意软件。

更重要的是,像爱情和涓涓细胞一样的家庭继续发展他们的策略,技术和能力,使他们对每一代更危险。虽然今天,我们可能会担心情绪摇摆ryuk,明天情绪可以简单地作为赎金软件。这取决于企业和安全专业人士,以避免新兴威胁,然而他们可能会出现未成年人,因为他们经常用信号传染到即将到来的事情的变化。

谢谢阅读和安全冲浪!