Ryuk. Вымогатели с большой буквы

Marat_1162

Стаж на ФС с 2014 г
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
25/3/16
Сообщения
4.649
Репутация
9.166
Реакции
22.743
RUB
0
Депозит
3 500 рублей
Сделок через гаранта
4
bc4287570fce721d9c6df.gif

Недавние атаки операторов вымогателей Ryuk показывают, что у хакеров есть новые предпочтения, когда дело доходит до получения первоначального доступа к сети жертвы.

Сегодня мы расскажем как работают эти парни и как они подняли 150 миллионов долларов на вымогательстве.

Тенденция, наблюдаемая в атаках в этом году, показывает склонность к нацеливанию на хосты с подключениями к удаленным рабочим столам, открытыми в общедоступном Интернете.
Кроме того, использование целевых фишинговых писем для доставки вредоносного софта по-прежнему является предпочтительным начальным вектором заражения жертвы.

Новая тенденция к первичному заражению​

Безопасники заметили, что атаки вымогателей Ryuk в этом году чаще основывались на компрометации открытых RDP-соединений, чтобы получить первоначальную точку опоры в целевой сети.
Кибербандиты запускали “крупномасштабные атаки грубой силы и распыления паролей против открытых хостов RDP”, чтобы скомпрометировать учетные данные пользователей.
Другим вектором был фишинг копья и использование кампании BazaCall для распространения вредоносных программ через вредоносные колл-центры, которые нацеливались на корпоративных пользователей и направляли их к вооруженным документам Excel.
Безопасники говорят, что нападавшие Рюук провели разведку у жертвы в два этапа. Один раз, чтобы определить ценные ресурсы на скомпрометированном домене (сетевые ресурсы, пользователи, организационные единицы Active Directory).
Во второй раз цель состоит в том, чтобы найти информацию о доходах компании, чтобы установить сумму выкупа, которую жертва может позволить себе заплатить, чтобы восстановить системы.
Чтобы перечислить информацию Active directory, операторы программ-вымогателей Ryuk полагаются на проверенный и проверенный инструмент AdFind (AD query tool) и инструмент постэксплуатации Bloodhound, который исследует отношения в домене Active Directory (AD) для поиска путей атаки.
RyukRDP-breach_AdvIntel.jpg

источник: AdvIntel
Получение финансовой информации о жертве опирается на данные из открытых источников. Безопасники говорят, что хакеры ищут в таких сервисах, как ZoomInfo, информацию о недавних слияниях и поглощениях компании и другие детали, которые могут увеличить прибыльность атаки.
Дополнительная разведка проводится с помощью инструмента Cobalt Strike post-exploitation, который стал стандартом в большинстве операций с вымогателями и сканирований, которые выявляют продукты безопасности, такие как антивирус и endpoint detection response (EDR), защищающие сеть.

Новые методы​

Безопасники говорят, что хакеры привлекают других кибербандитов, чтобы узнать о защите в сети, которую они атакуют, чтобы найти способ отключить их.
Среди новых методов, которые безопасники увидели использование KeeThief, инструмента с открытым исходным кодом для извлечения учетных данных из KeePass password manager.
KeeThief работает путем извлечения ключевого материала (например, мастер-пароля, ключевого файла) из памяти запущенного процесса KeePass с разблокированной базой данных.
Злоумышленники использовали KeeThief для обхода EDR и других средств защиты, похитив учетные данные локального ИТ-администратора, имеющего доступ к программному обеспечению EDR.
Другая тактика заключалась в развертывании портативной версии Notepad++ для запуска сценариев PowerShell в системах с ограничением выполнения PowerShell, говорит Кремез.
По данным безопасников, атаки вымогателей Ryuk в этом году используют две уязвимости, чтобы увеличить свои разрешения на скомпрометированной машине. Оба недостатка старше и для них доступны патчи:
  • CVE-2018-8453 - эскалация привилегий высокой степени серьезности (7.8/10) в Windows 7-10 и Windows Server 2008-2016, позволяющая запускать произвольное ядро с разрешениями на чтение и запись, поскольку компонент Win32k не может должным образом обрабатывать объекты в памяти
  • CVE-2019-1069 - повышение привилегий высокой степени серьезности (7.8/10) в Windows 10, Windows Server 2016 и 2019 из-за того, как Служба планировщика задач проверяет определенные файловые операции, что позволяет атаковать жесткую ссылку
Еще одно наблюдение заключается в том, что недавняя атака вымогателей Ryuk использовала инструмент проникновения CrackMapExec с открытым исходным кодом для извлечения учетных данных администратора и перемещения в сторону сети жертвы.
Как только субъекты успешно скомпрометировали локальную учетную запись или учетную запись администратора домена, они распространяют полезную нагрузку Ryuk через объекты групповой политики, сеансы PsExec с контроллера домена или с помощью элемента запуска в общей папке SYSVOL.
Ryuk уже давно занимаются вымогательством и известны как жесткие переговорщики. Подсчитано, что они собрали по меньшей мере 150 миллионов долларов выкупа, причем одна жертва в конечном итоге заплатила 34 миллиона долларов за восстановление своих систем.
Учитывая эти цифры, вполне логично, что кибербандиты переключились на новую тактику, методы и процедуры, чтобы оставаться впереди игры и поддерживать прибыльный "бизнес".

Как бороться?​

Безопасники рекомендуют следующие шаги по снижению рисков:
  • обнаружение использования Mimikatz и выполнения PsExec в сети
  • оповещения о присутствии в сети AdFind, Bloodhound и LaZagne
  • убедитесь, что операционные системы и программное обеспечение имеют последние исправления безопасности
  • реализовать многофакторную аутентификацию для доступа RDP
  • сегментация сети и элементы управления для проверки SMB и NTLM трафика
  • используйте принцип наименьших привилегий и рутинные проверки разрешений учетной записи
  • рутинная проверка разрешений учетной записи Рутинная проверка разрешений учетной записи для предотвращения ползучести привилегий и поддержания принципа наименьших привилегий
  • регулярный просмотр объектов групповой политики и сценариев входа в систему
  • патч-системы против CVE-2018-8453 и CVE-2019-1069
 
Сверху Снизу