Nuevos servidores website Ryuk Ransomware SampleTargets


Resumen ejecutivo

Ryuk es un ransomware que cifra los archivos de una víctima y solicita el pago en criptomoneda Bitcoin para liberar las claves utilizadas para el cifrado. Ryuk se utiliza exclusivamente en ataques de ransomware dirigidos.

Ryuk se observó por primera vez en agosto de 2018 durante una campaña dirigida a varias empresas. El análisis de las versiones iniciales del ransomware reveló similitudes y código fuente compartido con el ransomware Hermes. Hermes ransomware es un malware básico que se vende en foros clandestinos y ha sido utilizado por múltiples actores de amenazas.

Para cifrar archivos, Ryuk utiliza una combinación de cifrado AES simétrico (256 bits) y cifrado RSA asimétrico (2048 bits o 4096 bits). La clave simétrica se utiliza para cifrar el contenido del archivo, mientras que la clave pública asimétrica se utiliza para cifrar la clave simétrica. Tras el pago del rescate, se libera la clave privada asimétrica correspondiente, lo que permite descifrar los archivos cifrados.

Debido a la naturaleza dirigida de las infecciones por Ryuk, los vectores de infección iniciales se adaptan a la víctima. Los vectores iniciales que se ven a menudo son los correos electrónicos de phishing, la explotación de credenciales comprometidas para los sistemas de acceso remoto y el uso de infecciones de malware de productos básicos anteriores. Como ejemplo de lo último, la combinación de Emotet y TrickBot, se ha observado con frecuencia en los ataques de Ryuk.

Asesoramiento sobre cobertura y protección

Ryuk se detecta como Ransom-Ryuk! (Hash parcial).

Los defensores deben estar atentos a los rastros y comportamientos que se correlacionen con herramientas de prueba de código abierto como winPEAS, Lazagne, Bloodhound y Sharp Hound, o marcos de piratería como Cobalt Strike, Metasploit, Empire o Covenant, así como con el comportamiento anormal de no- herramientas maliciosas que tienen un doble uso. Estas herramientas aparentemente legítimas (por ejemplo, ADfind, PSExec, PowerShell, etcetera.) se pueden usar para cosas como enumeración y ejecución. Posteriormente, esté atento al uso anormal de Instrumental de administración de Windows WMIC (T1047). Aconsejamos a todos que consulten los siguientes blogs sobre indicadores de evidencia de un ataque de ransomware dirigido (Parte 1, Parte 2).

  • Al observar otras familias similares de ransomware como servicio, hemos visto que ciertos vectores de entrada son bastante comunes entre los delincuentes de ransomware:
  • E-mailSpearphishing (T1566.001) se utiliza a menudo para participar directamente y / o ganar un punto de apoyo inicial. El correo electrónico de phishing inicial también se puede vincular a una cepa de malware diferente, que actúa como cargador y punto de entrada para que los atacantes continúen comprometiendo por completo la crimson de la víctima. Hemos observado esto en el pasado con personas como Trickbot & Ryuk o Qakbot & Prolock, and many others.
  • Exploit Public-Going through Application (T1190) es otro vector de entrada común, dado que los ciberdelincuentes suelen ser consumidores ávidos de noticias de seguridad y siempre están buscando un buen exploit. Por lo tanto, alentamos a las organizaciones a que sean rápidas y diligentes cuando se trata de aplicar parches. En el pasado, existen numerosos ejemplos en los que las vulnerabilidades relativas al software de acceso remoto, los servidores world-wide-web, los equipos de borde de la purple y los firewalls se han utilizado como punto de entrada.
  • El uso de cuentas válidas (T1078) es y ha sido un método probado para que los ciberdelincuentes se afiancen. Después de todo, ¿por qué derribar la puerta si ya tienes las llaves? El acceso RDP débilmente protegido es un excelente ejemplo de este método de entrada. Para obtener los mejores consejos sobre seguridad RDP, consulte nuestro bloque que explica la seguridad RDP.
  • Las cuentas válidas también se pueden obtener a través de malware de productos básicos, como los ladrones de información, que están diseñados para robar credenciales de la computadora de una víctima. Los delincuentes de ransomware pueden comprar infostealerlogs que contienen miles de credenciales para buscar VPN e inicios de sesión corporativos. Para las organizaciones, tener una sólida gestión de credenciales y MFA en las cuentas de usuario es una necesidad absoluta.

Cuando se trata del actualransomwarebinary, recomendamos encarecidamente actualizar y actualizar la protección de puntos de referencia, así como habilitar opciones como la protección contra manipulaciones y la reversión. Lea nuestro web site sobre cómo configurar mejor ENS 10.7 para protegerse contra ransomware para obtener más detalles.

Resumen de la amenaza

Ryuk ransomware se utiliza exclusivamente en ataques dirigidos

La última muestra ahora está dirigida a servidores net

La nueva nota de rescate solicita a las víctimas que instalen el navegador Tor para facilitar el contacto con los actores

Después del cifrado de archivos, el ransomware imprimirá 50 copias de la nota de rescate en la impresora predeterminada.

Obtenga más información sobre el ransomware Ryuk, incluidos los indicadores de compromiso, las técnicas Mitre ATT & CK y la regla de Yara, leyendo nuestro análisis técnico detallado.





Enlace a la noticia original