。一个名字曾经是一个流行的日本漫画和卡通系列中的虚构角色是一个独一无二的名字现在是一个名字出现在狂热的兰斯沃州的几个名单中,以宽容狂野的网页。

对于一个令人难以置信的年轻菌株 - 仅15个月 -勒索软件获得这样的名声是一项了不起的成就。除非幕后的威胁势力也宣布退出-还记得甘特拉布吗?- 律法执法胶圈雄厚,我们只能期望Ryuk的威胁覆盖大量组织。

首次在2018年8月中旬发现,Ryuk立即转过身扰乱所有论坛报出版报纸的运营在圣诞节假期那年。最初被认为是服务器中断很快就会很清楚那些影响它实际上是恶意软件攻击。它最终被隔离了;但是,Ryuk.重新感染并传播到连接的系统在网络中,因为当技术团队将服务器带回来时,安全补丁无法保持。

与Ryuk Ransomware的大型游戏

在论坛报出版遭到假日攻击之前,Ryuk曾被视为针对全球多家企业组织,要求支付15至50比特币(BTC)不等的赎金。在估值时,这意味着97000美元到320000美元之间。

这种方法专门针对大型组织的批判资产,几乎总是保证犯罪分子高投资回报率被称为“大型游戏狩猎”。由于此类目标攻击还涉及为最佳适用目标的广告系列进行定制,因此涉及到最佳诉讼的定制,并反过来增加其有效性的可能性。这需要更多的工作,而不是一个简单的“喷雾和祈祷”方法,可以捕获众多目标,但可能无法净净化这种有利可图的结果。

对于从事大型狩猎活动的威胁参与者,恶意活动分阶段展开。例如,他们可能从网络钓鱼攻击开始,收集关键凭证,或在组织网络中投放恶意软件,以进行广泛的映射,识别关键资产。然后,他们可能会部署第二和第三阶段的攻击,以进行长期间谍活动、勒索和最终的赎金。

迄今为止,Ryuk勒索软件被誉为同行中成本最高的。根据第一家专门从事勒索软件的事件响应公司Coveware的报告,Ryuk的要价是平均价格的10倍然而,他们还声称赎金是高度可转让的。对手的不同方式努力偿还赎金支付表明,可能有一个以上的犯罪集团可以访问并运营Ryuk赎金软件。

ryuk背后的谁

准确地定位攻击或恶意软件应变的起源至关重要,因为它揭示了攻击活动背后的威胁演员,因为它确实有效载荷本身。在试图发现谁开发这个赎金软件时,有明显的日本关系的名称“Ryuk”的名称并不是一个因素。毕竟,网络犯罪分子的常见做法是根据喜欢的动漫和漫画人物使用手柄。这些天,恶意软件紧张比其名称更多。

相反,代码库,结构,攻击向量和语言中的相似之处可以指向刑事组和恶意软件系列之间的关系。发现检查点的安全研究人员ryuk和hermes ransomware菌株之间的联系早期,由于它们的代码和结构相似,这种关联一直持续到今天。因此,许多人认为Ryuk可能也与拉撒库集团,同样的朝鲜易于过去经营Hermes勒索的集团。

建议阅读:Hermes Ransomware通过最近的闪光零点分发给韩国韩国人

然而,单独的代码相似是支持Ryuk /朝鲜领域叙述的基础。爱马仕是一个经常在地下市场上汇集的赎金套件,使其可用于其他网络犯罪分子在他们的攻击活动中使用。此外,从网络安全专家分开研究群众罢工FireeEye.氪逻辑, 和麦克菲已表示Ryuk背后的帮派实际上可能是俄罗斯起源 - 而不一定是国家 - 州赞助。

截至本文的撰写,Ryuk赎金软件的起源可以归因于(每个网络安全同行的高度信心)到两个犯罪实体:巫师蜘蛛密码技术

前者是俄罗斯众所周知的网络犯罪分组和运营商三角架; 后者是一个讲俄语的组织爱马仕2.1两个月前5850万美元的网络兴趣这是在台湾的远东国际银行(致电)受害。根据报告,这个版本爱马仕被用作诱饵或“伪赎金软件”仅仅是从攻击的真正目标转移注意力。

巫师蜘蛛

最近的调查结果揭示了向导蜘蛛升级Ryuk,包括唤醒局域网(WOL)实用程序和其阿森纳的ARP Ping扫描仪。WOL是一种网络标准,允许计算设备连接到网络 - 无论它们如何在休眠模式下关闭时都会导通,在睡眠模式下或休眠时,它们都会远程打开。

另一方面,ARP ping是一种在网络中发现端点的方法在线网络。根据Crowdstrike的说法,这些新增的含量揭示了向导蜘蛛的尝试,因为他们的目标是最多的目标的终点,展示了持续的重点和动力,越来越多地将受害者加密数据货币化。

密码技术

两个月前,加布里埃拉尼古拉(@ Rove4ever)还有卢西亚诺·马丁斯(@clucianomartins.),两位德勤阿根廷公司的研究人员都将Ryuk勒索软件归因于CryptoTech,这是一个鲜为人知的网络犯罪集团,2017年8月在一个地下论坛上被观察到兜售Hermes 2.1。研究人员说,Hermes 2.1就是Ryuk勒索软件。

2017年8月在黑暗网络上发布的关于Hermes 2.1版的CryptoTech帖子(由McAfee提供)

在病毒公告中会议论文演示题为Shinigami的复仇:Ryuk赎金瓶的长尾,Nicolao和Martins向本索赔提供了证据:2018年6月,Ryuk在Ryuk第一次公开外表之前,一个地下论坛海报对Cryptotech成为Hermes 2.1的作者表示怀疑,他们兜售了近一年的赎金瓶工具包那个时间。Cryptotech的回应很有趣,尼古拉德和马丁斯在下面的截图中捕获和注释。

Cryptotech:是的,我们从头开始开发了爱马仕。

德勤的研究人员还注意到,Ryuk出现后,CryptoTech陷入了沉默。

CrowdStrike估计,从Ryuk部署到今年1月,其运营商总共净赚了705.80 BTC,截至发稿时相当于500万美元。

Ryuk赎金软件感染载体

ryuk赎金软件到达干净系统以造成严重破坏的时间。但在野外观察到的新菌株现在属于涉及的多攻击运动情绪化三角架。因此,Ryuk Variants到达了预先感染的系统的系统 - A“三重威胁”攻击方法。

情绪如何,涓涓细流和ryuk三重威胁攻击作品(由Cyber​​eason提供)

攻击的第一阶段从武器化的Microsoft Office文档文件介绍开始,它包含恶意宏代码 - 附加到a网络钓鱼电子邮件。用户打开它后,恶意宏将运行cmd.并执行PowerShell命令。此命令尝试下载情绪化

一旦肌力执行,它通常会检索并执行另一个恶意有效载荷 - 通常三角架- 收集受影响系统的信息。它通过从预先配置的远程恶意主机达到和下载来启动TrickBot的下载和执行。

一旦感染涓涓细压,威胁演员然后检查系统是否是他们瞄准的扇区的一部分。如果是,他们下载了一个额外的有效载荷并使用ickbot窃取的管理员凭据执行横向运动以实现他们希望感染的资产。

然后,威胁演员通过a检查并建立与目标的实时服务器的连接远程桌面协议(RDP)。从那里,他们放弃了ryuk。

Ryuk感染的症状

用Ryuk Ransomware感染的系统显示以下症状:

赎金瓶的存在。ryuk下降了赎金券,ryukreadme.html.要么ryukreadme.txt.,在每个有加密文件的文件夹中。

您可以从上面的屏幕截图看,HTML文件包含两个受影响方可以用于联系威胁演员的私人电子邮件地址,要么了解他们需要支付多少,以便回到加密文件或启动谈判过程。

另一方面,TXT赎金说明包含(1)针对受影响方提供的明确指令读取和遵守,(2)两个私人电子邮件地址受影响方可以联系,(3)比特币钱包地址。虽然电子邮件地址可能会有所不同,但有人指出,它们是Protonmail或Tutanota的所有帐户。还有注意那一天在未密封后的一天两个赎金瓶运营商的起诉书,Ryuk运算符从赎金说明中删除了比特币地址,指出,一旦通过电子邮件联系,它将被给予受影响的人。

文本赎金通知通常有两种版本:一种是礼貌版本,过去的研究称,由于某些类似的措辞,该版本与BitPaymer的版本相当;还有一个不那么礼貌的版本。

Ryuk赎金笔记。左:礼貌版本;右:Not-So-Privite版本
BitPaymer赎金说明:礼貌版(由Coveware提供)
BitPaymer赎金注意:Not-So-Powlite版本(由Symantec提供)

使用附加到扩展名的Ryk字符串加密文件。Ryuk使用对称的组合(通过使用AES)和不对称(通过使用RSA.)加密要编码文件。需要一个私钥,只需要使用威胁演员可以提供,以正确解密文件。

加密文件将包含到文件名的.ryk文件扩展名。例如,加密的sample.pdf示例1.mp4文件将有sample.pdf.ryk.Sample.mp4.ryk.文件名。

该方案是有效的,假设每个Ryuk菌株都针对其目标组织量身定制。

Ryuk加密受影响系统上的文件时,避免使用扩展名为.exe、.dll和.hrmlog(与Hermes关联的文件类型)的文件。Ryuk还避免加密以下文件夹中的文件:

  • Ahnlab.
  • 微软
  • Mozilla.
  • 再循环
  • 视窗

保护您的系统免受Ryuk攻击

必威平台APPMalwarebytes继续跟踪Ryuk Ransomware活动,保护我们的业务用户使用实时防恶意软件和反赎金软件技术,以及无特征检测,它在链中稍前停止攻击。此外,我们通过阻止ImpleT或Trickbot下载,防止针对三重威胁攻击作为最终有效载荷来实现Ryuk。

我们建议IT管理员采取以下行动来保护和缓解Ryuk Ransomware攻击:

  • 教育组织中的每个员工,包括高管,如何正确处理可疑电子邮件
  • 限制特权帐户的使用只能在组织中选择少数。
  • 避免使用rdps.没有正确终止会话。
  • 实施使用密码管理器和公司相关账户的单一登录服务。脱离其他不安全的密码管理实践。
  • 部署适用于公司的身份验证过程。
  • 禁用不必要的共享文件夹,以便在Ryuk勒索软件攻击的情况下,防止恶意软件在网络中横向移动。
  • 确保在端点和服务器上安装的所有软件都是最新的和所有漏洞都已修补。特别注意修补CVE-2017-0144,远程执行代码执行漏洞。这将防止涓涓细胞和其他恶意软件利用这种弱点传播。
  • 将附件过滤应用于电子邮件。
  • 禁用环境中的宏。

对于已发现对Ryuk赎金软件攻击有效的技术和操作列表,您可以去这里

妥协指标(IOC)

请注意,专业网络罪犯将Ryuk卖给黑市上的其他罪犯,作为威胁参与者构建自己勒索软件的工具包。因此,人们不应该对在野外肆虐的Ryuk变种的数量感到惊讶。下面是我们迄今为止看到的文件哈希列表:

  • CB0C1248D3899358A375888BB4E8F3FE.
  • D4A7C85F23438DE8EBB5F8D6E04E55FC
  • 3895a370b0c69c7e23ebb5ca1598525d
  • 567407D941D99ABEFF20A1B836570D30
  • c0d6a263181a04e9039df3372afb8016

始终保持安全,每个人!