Ryuk勒索软件在节日期间攻击企业

当一家人在平安夜欢聚一堂，享受美食和欢乐时，大多数企业都陷入了沉睡。没有什么动静，甚至连一只老鼠也没有——至少他们是这么想的。

然而，对于论坛出版公司和数据解决公司的员工来说，一场无声的攻击正在他们的网络中慢慢蔓延，加密数据和停止操作。这次攻击来自一个相当新的ransomware他的家人叫柳克。

Ryuk于2018年8月首次亮相，它与我们分析过的许多其他勒索病毒家族不同，不是因为它的能力，而是因为它感染系统的新颖方式。

让我们来看看这个难以捉摸的新威胁。Ryuk是什么?它与其他勒索软件攻击有什么不同?企业如何阻止它以及未来的类似威胁?

Ryuk是什么?

琉克最早出现在2018年8月虽然在全球范围内不是非常活跃，但在Ryuk开始运作的头两个月里，至少有三个组织受到了感染，让攻击者得以登陆大约64万美元的赎金感谢他们的努力。

尽管感染试验成功，Ryuk本身具有功能你会在其他一些现代勒索病毒家族中看到。这包括识别和加密网络驱动器和资源的能力，以及删除端点上的影子副本的能力。通过这样做，攻击者可以禁用用户的Windows系统恢复选项，因此在没有外部备份的情况下不可能从攻击中恢复。

这种勒索软件的一个有趣的方面是，它在系统上掉落不止一个音符。第二张纸条是用礼貌的语气写的，类似于BitPaymer勒索软件留下的纸条，这增加了神秘感。

与赫尔墨斯的相似之处

Checkpoint的研究人员已经进行了深入分析他们的发现之一是，Ryuk与另一个勒索病毒家族有许多相似之处:爱马仕．

在Ryuk和Hermes中，都有许多类似或相同代码段的实例。此外，在两个不同的情况下，发现了Ryuk中的几个字符串都指向hermes。

启动后，Ryuk将首先寻找插入到每个加密文件中的Hermes标记。这是一种识别文件或系统是否已经受到攻击和/或加密的方法。

另一种情况涉及白名单文件夹，虽然不像第一种情况那么糟糕，但两个勒索病毒家族都将某些文件夹名称列入白名单的事实是另一个线索，表明两个勒索病毒家族可能共享发起者。例如，Ryuk和Hermes都将一个名为“Ahnlab”的文件夹列入白名单，这是一个流行的韩国安全软件的名字。

如果你了解你的恶意软件，你可能会记得Hermes是由Lazarus组织发起的，该组织涉嫌与朝鲜的民族国家行动有关。这导致许多分析人士和记者猜测，朝鲜是这次攻击的幕后黑手。

我们对此并不确定。

引人注目的袭击

在过去的几个月里，Ryuk发生了多次值得注意的攻击，主要是在美国，勒索软件感染了大量的端点，要求比我们通常看到的(15到50个比特币)更高的赎金。

其中一次袭击发生在安斯洛供水和下水道管理局(OWASA)这使得该组织在一段时间内无法使用他们的电脑。虽然自来水和污水处理服务以及客户数据没有受到勒索软件攻击的影响，但它仍然对该组织的网络造成了重大破坏，导致大量数据库和系统需要从头开始重建。

感染的方法

根据Checkpoint和其他多名分析师和研究人员的说法，Ryuk是通过僵尸网络作为二级有效载荷传播的，比如TrickBot而且Emotet．

运行理论如下:Emotet在端点上进行初始感染。它有自己的能力，可以在整个网络中横向传播，也可以启动自己的网络malspam从受感染终端发起攻击，向同一或不同网络上的其他用户发送额外的恶意软件。

从那里，我们看到的最常见的有效载荷在过去六个月里，表情包掉落的是TrickBot．这种恶意软件有能力窃取证书，也可以在网络中横向移动，并以其他方式传播。

根据它们最新的功能，TrickBot和Emotet都被用作信息窃取器、下载器，甚至是蠕虫。

在某个时刻，出于我们将在本文后面讨论的原因，如果攻击者想要勒索被感染的网络，那么TrickBot将下载并在系统上删除Ryuk勒索软件。由于我们甚至没有看到像Emotet和TrickBot通过产品遥测所看到的Ryuk检测数量的一小部分，我们可以假设，在一段时间后用Ryuk感染系统不是默认的标准操作，而是由人类攻击者在幕后触发的。

统计数据

让我们看看Emotet, Ryuk和TrickBot从8月到现在的数据，看看我们是否能发现一个趋势。

蓝线代表Emotet, 2018年最大的信息窃取木马。虽然这张图只显示了8月份之后的情况，但可以肯定的是，Emotet在这一年的大部分时间里都是在地图上的。然而，随着我们进入2018年第四季度，这成为一个更大的问题。

橙色的线代表戏法机器人。由于Emotet通常是主要的有效载荷，因此这些检测预期要低于Emotet。这意味着，为了让TrickBot被检测到，它必须要么被直接发送到一个端点，要么被安全软件未检测到的Emotet感染丢弃，要么部署在一个没有被安全软件检测到的系统上。此外，TrickBot并不是Emotet全年的默认有效负载，因为木马会根据一年中的时间和机会不断交换有效负载。

基于此，要想被Ryuk攻击(至少在我们弄清楚这里的真正意图之前)，您需要禁用、不安装或不更新您的安全软件。你需要避免进行常规扫描来识别戏法机器人或Emotet。你要么需要有未打补丁的端点，要么需要有较弱的凭据，以便让TrickBot和Emotet在网络中横向移动，然后，最后，你需要成为一个目标。

也就是说，虽然我们检测到的Ryuk与图表上的其他家族相比较少，但这可能是因为我们在攻击的早期阶段感染了这种病毒，而Ryuk攻击的环境需要刚好——就像金发姑娘的粥一样。令人惊讶的是，组织已经为这些威胁创造了完美的环境。这也可能是巨额赎金背后的原因，因为感染的人越少，支付的钱就越少。

圣诞节活动

虽然Ryuk在今年早些时候很活跃，但它并没有像推出“节日活动”时那样登上新闻头条，或者更确切地说，是在圣诞节前后发生的两次最大的Ryuk感染。

下图显示了我们从12月初到现在对Ryuk的检测数据，其中两个感染峰值用星号标出。

这些峰值表明12月24日和12月27日发生了重大攻击。

数据解析攻击

第一个攻击对象是Dataresolution.net，一个云托管提供商，在平安夜。如上图所示，这是上个月我们在一天内检测到的最多的Ryuk。

根据数据分辨率在美国，Ryuk能够通过使用被入侵的登录账户感染系统。从那里开始，恶意软件将该组织的数据中心域的控制权交给了攻击者，直到整个网络被数据解决方案关闭。

该公司向客户保证，没有任何用户数据被泄露，攻击的意图是劫持，而不是窃取。不过，知道这个恶意软件是如何找到到达终端的方式是一个好迹象，说明他们可能至少丢失了一些信息。

论坛出版公司遇袭

第二颗星代表12月27日的袭击，当时贡品出版旗下的多家新闻出版机构(现在或最近)都受到了Ryuk勒索软件的攻击，基本上使这些组织无法打印自己的文件。

攻击是在周四深夜被发现的，当时《圣地亚哥联合论坛报》的一名编辑无法将完成的页面发送到印刷机。这些问题已得到解决。

理论

我们认为柳克正在用Emotet和TrickBot感染系统来传播勒索软件。然而，尚不清楚的是，为什么犯罪分子会在已经成功感染的病毒之后使用这种勒索软件。

在这种情况下，我们实际上可以借鉴爱马仕的做法。我们见证了爱马仕在台湾的使用作为一种手段，以掩盖另一个恶意软件家族已经在网络上的踪迹。Ryuk也在用同样的方式吗?

由于Emotet和TrickBot不是国家支持的恶意软件，而且它们通常会自动向一堆潜在的受害者发起攻击(而不是识别目标并手动发起攻击)，Ryuk只在少数情况下被用于隐藏感染，这似乎很奇怪。所以也许我们可以排除这个理论。

第二种可能性更大的理论是，Ryuk的目的是最后一搏，从一个已经有利可图的目标身上榨取更多的价值。

假设Emotet和TrickBot背后的攻击者让他们的机器人绘制出网络来识别目标组织。如果目标的Emotet/TrickBot感染范围足够大，并且/或者它的操作非常关键或有价值，以至于破坏会引发支付赎金的倾向，那么他们可能会成为Ryuk感染的完美目标。

使用这个恶意软件的真正意图目前只能推测。然而，无论是隐藏其他恶意软件的踪迹，还是仅仅是在窃取所有相关数据后寻找赚取更多现金的方法，企业都应该谨慎对待这种做法。

事实是现在全世界有成千上万的Emotet和TrickBot感染病毒。任何处理这些威胁的组织都需要认真对待它们，因为信息窃取者随时都可能变成可恶的勒索软件。这就是我们现代威胁景观的真相。

归因

如前所述，许多分析人士和记者认为，朝鲜最有可能是散布琉球的攻击者。虽然我们不能完全排除这种可能性，但我们也不能完全确定它的准确性。

Ryuk在很多方面都和Hermes很像。根据找到的字符串，它可能构建在Hermes之上，或者是Hermes的修改版本。攻击者如何获得源代码是未知的，但是我们已经观察到犯罪分子在黑客论坛上出售Hermes版本的实例。

这就引入了另一个潜在的原因，即源代码落入了另一个参与者的手中。

根据两个家族之间的相似性来确定这次攻击的原因，其中一个家族与一个已知的民族国家攻击组织(Lazarus)有关，这是一个逻辑谬误，正如罗伯特·m·李在最近的一篇文章中所描述的那样。”归因不是传递性的- Tribute发布网络攻击作为一个案例研究这篇文章更深入地探讨了基于脆弱证据的归因错误。我们提醒读者、记者和其他分析人士不要从相关性中得出结论。

保护

既然我们知道了Ryuk攻击企业的方式和潜在原因，那么我们该如何防范这种恶意软件和其他类似软件呢?

让我们把重点放在已被证明有效对抗这种威胁的具体技术和操作上。

Anti-exploit技术

利用漏洞进行感染和横向移动的情况多年来一直在增加。主要的感染方法目前的Emotet是通过垃圾邮件，附带带有恶意脚本的Office文档．

这些恶意脚本是一种宏，一旦用户点击“启用内容”(通常通过某种社会工程技巧)，就会启动额外的脚本造成破坏。我们最常看到的是JavaScript和PowerShell脚本，PowerShell很快成为感染用户的事实上的脚本语言。

虽然可以通过训练用户识别社交工程尝试或使用识别恶意垃圾邮件的邮件保护平台来阻止这些威胁，但使用anti-exploit技术还可以阻止那些恶意脚本试图安装恶意软件的系统。

此外，采用保护技术，如anti-ransomware增加大量的保护措施，防止勒索软件感染，在它们造成严重破坏之前阻止它们。

定期更新的恶意软件扫描

这是一个被忽视了很多次的普遍规则，在这里值得一提。为了有有效的安全解决方案，他们需要这样做使用并经常更新，以便识别和阻止最新的威胁。

在一种情况下，一个组织的IT团队甚至不知道他们是直到他们更新了安全软件．他们对一个安全解决方案抱有错误的信心，而这个解决方案并没有完全配备阻止威胁的工具。正因为如此，他们面临着一个严重的问题。

网络市场细分

这是我们多年来一直在推荐的一种策略，尤其是在防范勒索软件时。要确保在单个端点感染时不会丢失映射或网络驱动器和资源，最好这样做分段访问某些服务器和文件。

有两种方法可以分割您的网络并减少勒索软件攻击的损害。首先，根据角色需求限制对某些映射驱动器的访问。其次，使用独立或第三方系统存储共享文件和文件夹，如Box或Dropbox。

不断变化的威胁

在过去的一年里，出现了一些在工作场所造成破坏和破坏的新方法。虽然勒索软件是2017年对企业最致命的恶意软件，但2018年及以后的时间里，我们可能会必威官网多少在单一攻击链中部署多个恶意软件。

更重要的是，像Emotet和TrickBot这样的家族继续进化他们的战术、技术和能力，使他们在新一代中变得更危险。虽然今天我们可能担心Emotet会抛弃Ryuk，但明天Emotet本身可能就会成为勒索软件。企业和安全专业人士要时刻掌握新出现的威胁，无论这些威胁看起来有多微小，因为它们往往预示着未来事物的变化。

感谢阅读和安全冲浪!