Ryuk Ransomware: ahora con autopropagación de gusanos - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Ryuk Ransomware: ahora con autopropagación de gusanos

Hola otra vez. En el teclado Eduardo Arroyo y hoy te voy a hablar sobre Ryuk Ransomware: ahora con autopropagación de gusanos

Ryuk Ransomware: ahora con autopropagación de gusanos

El flagelo de Ryuk tiene un nuevo truco en su arsenal: la autorreplicación a través de recursos compartidos SMB y escaneo de puertos.

Los investigadores descubrieron que una nueva versión del ransomware Ryuk es capaz de autopropagarse como un gusano dentro de una red local.

La variante apareció por primera vez en campañas centradas en Windows a principios de 2021, según la Agencia Nacional de Seguridad de los Sistemas de Información de Francia (ANSSI). La agencia dijo que logra la autorreplicación escaneando los recursos compartidos de la red y luego copiando una versión única del ejecutable ransomware (con el nombre de archivo rep.exe o lan.exe) en cada uno tan pronto como se encuentran.

“Ryuk busca recursos compartidos de red en la infraestructura de TI de la víctima. Para hacer esto, se escanean algunos rangos de IP privados: 10.0.0.0/8; 172.16.0.0/16; y 192.168.0.0/16 «, según un informe ANSSI reciente. «Una vez iniciado, se extenderá a todas las máquinas accesibles en las que sea posible acceder a las llamadas a procedimientos remotos de Windows».

La nueva versión de Ryuk también lee las tablas ARP (Protocolo de resolución de direcciones) de los dispositivos infectados, que almacenan las direcciones IP y MAC de cualquier dispositivo de red con el que se comunican las máquinas. Luego, según ANSSI, envía un paquete «Wake-On-LAN» a cada host para reactivar las computadoras que están apagadas.

«Genere todas las direcciones IP posibles en las redes locales y envíe un ping ICMP a cada una», según ANSSI. «Enumere las direcciones IP de la caché ARP local y envíeles un archivo [wake-up] paquete.»

Para cada host identificado, Ryuk intentará montar posibles recursos compartidos de red utilizando SMB o Server Message Block, según el informe. SMB es una función de Windows que permite compartir, abrir o modificar archivos con / en computadoras y servidores remotos.

Una vez que se han identificado o creado todos los recursos compartidos de red disponibles, la carga útil se instala en los nuevos objetivos y se ejecuta automáticamente mediante una tarea programada, lo que permite a Ryuk cifrar el contenido de los objetivos y eliminar las instantáneas del volumen para evitar que se descarguen archivos. restaurado.

«La tarea programada se crea mediante una llamada a la herramienta del sistema schtasks.exe, una herramienta nativa de Windows», explicó ANSSI.

Los archivos se cifran utilizando Microsoft CryptoAPI con el algoritmo AES256, utilizando una clave AES única que se genera para cada archivo. La clave AES también está incluida con una clave pública RSA almacenada en código binario, según el análisis.

El malware también detiene varios programas codificados basados ​​en listas, incluida una lista de 41 tareas para eliminar y una lista de 64 servicios para detener, encontró ANSSI.

En lo que respecta a la prevención de infecciones, el ransomware Ryuk generalmente se carga con un malware inicial «dropper» que actúa como punta de lanza en cualquier ataque; estos incluyen Emotet, TrickBot, Qakbot y Zloader, entre otros. A partir de ahí, los atacantes intentan aumentar los privilegios para prepararse para el movimiento lateral.

Por tanto, una defensa eficaz debería implicar el desarrollo de contramedidas que eviten ese punto de apoyo inicial.

Una vez infectado, las cosas se complican más. En la campaña de 2021 observada por los investigadores de ANSSI, el punto de infección inicial es una cuenta de dominio privilegiado. Y el análisis muestra que la propagación parecida a un gusano de esta versión de Ryuk no se puede contrarrestar sofocando este punto de infección inicial.

«Se utiliza una cuenta de dominio privilegiado para la propagación de malware», según el informe. «Si se cambia la contraseña de este usuario, la replicación continuará hasta que los tickets de Kerberos [authentication keys] no han expirado. Si la cuenta de usuario está deshabilitada, el problema seguirá siendo el mismo. «

Y además de las funciones de autopropagación, esta versión de Ryuk también carece de mecanismos de exclusión, lo que significa que no hay nada que evite las infecciones de la misma máquina una y otra vez, lo que dificulta la fumigación.

Las versiones anteriores del malware usaban Objeto de Exclusión Mutua (MUTEX) para garantizar que un host determinado solo tuviera acceso a un proceso Ryuk a la vez.

«Dado que el malware no comprueba si una máquina ya ha sido infectada, no es posible crear un objeto de sistema simple que pueda prevenir la infección», según el informe de ANSSI.

Una forma de lidiar con una infección activa, recomendada por ANSSI, sería cambiar la contraseña o deshabilitar la cuenta para el usuario privilegiado, luego proceder a forzar un cambio de contraseña de dominio a través de KRBTGT. KRBTGT es una cuenta local predeterminada que se encuentra en Active Directory y que actúa como una cuenta de servicio para el servicio del Centro de distribución de claves (KDC) para la autenticación Kerberos.

«Esto induciría muchas perturbaciones en el dominio, y lo más probable es que requiera muchos reinicios, pero también contendría la propagación de inmediato», según ANSSI.

El ransomware Ryuk se observó por primera vez en agosto de 2018, como una variante del ransomware Hermes 2.1. Pero a diferencia de Hermes, no se vende en mercados clandestinos como el foro Exploit.

«Sigue habiendo una duda sobre los orígenes de Ryuk», según el informe de ANSSI. «La aparición de Ryuk puede … ser el resultado de que otro grupo de atacantes adquirió el código fuente de Hermes 2.1, que pudo haber desarrollado Ryuk desde este punto de partida».

Los investigadores de Deloitte teorizaron esto Ryuk se vende como un juego de herramientas a grupos de atacantes, que lo utilizan para desarrollar sus propias «versiones» del ransomware. Por tanto, podría haber tantas variantes como grupos de atacantes que compren el código.

A principios de 2021, se estimó que los operadores de Ryuk habían reunido al menos 150 millones de dólares, según una revisión de las operaciones de lavado de dinero del malware.

.

Puedes compartir en una historia de tu Instagram para que tus colegas lo disfruten

??? ? ? ???

Comparte