Mientras las familias se reunían para la comida y la alegría en la víspera de Navidad, la mayoría de los negocios dormían. Nada se movía, ni siquiera un ratón, o eso pensaban.

Para aquellos en Tribune Publishing y Data Resolution, sin embargo, un ataque silencioso se extendió lentamente a través de sus redes, cifrando datos y deteniendo las operaciones. Y este ataque fue de una familia de ransomware bastante nueva llamada Ryuk.

Ryuk, que hizo su debut en agosto de 2018, es diferente de muchas otras familias de ransomware que analizamos, no por sus capacidades, sino por la novedosa forma en que infecta los sistemas.

Así que echemos un vistazo a esta nueva amenaza difícil de alcanzar. ¿Qué es Ryuk? ¿Qué lo hace diferente de otros ataques de ransomware? ¿Y cómo pueden las empresas detenerlo y amenazas similares en el futuro?

¿Qué es Ryuk?

Ryuk apareció por primera vez en agosto de 2018 , y aunque no es increíblemente activo en todo el mundo, al menos tres organizaciones se vieron afectadas por las infecciones de Ryuk en el transcurso de los primeros dos meses de sus operaciones, lo que llevó a los atacantes a un rescate de aproximadamente $ 640,000 por sus esfuerzos.

A pesar de una exitosa infección, el propio Ryuk posee una funcionalidad que usted vería en algunas otras familias modernas de ransomware. Esto incluye la capacidad de identificar y cifrar los recursos y unidades de red, así como eliminar las instantáneas en el punto final. Al hacer esto, los atacantes podrían deshabilitar la opción Restaurar sistema de Windows para los usuarios y, por lo tanto, imposibilitar la recuperación del ataque sin copias de seguridad externas.

Un aspecto interesante de este ransomware es que deja caer más de una nota en el sistema. La segunda nota está escrita en un tono cortés, similar a las notas lanzadas por el ransomware BitPaymer, que se suma al misterio.

Similitudes con Hermes

Los investigadores en Checkpoint ya han realizado un análisis profundo de esta amenaza, y uno de sus hallazgos fue que Ryuk comparte muchas similitudes con otra familia de ransomware: Hermes .

Dentro de Ryuk y Hermes, hay numerosos casos de segmentos de código similares o idénticos. Además, se han descubierto varias cadenas dentro de Ryuk que se refieren a Hermes, en dos casos separados.

Cuando se inicie, Ryuk primero buscará el marcador Hermes que se inserta en cada archivo cifrado. Este es un medio para identificar si el archivo o sistema ya ha sido atacado y / o encriptado.

El otro caso involucra carpetas incluidas en la lista blanca, y si bien no es tan condenatoria como la primera, el hecho de que ambas familias de ransomware incluyan en la lista blanca ciertos nombres de carpetas es otra pista de que las dos familias pueden compartir sus creadores. Por ejemplo, tanto Ryuk como Hermes ponen en la lista blanca una carpeta llamada «Ahnlab», que es el nombre de un popular software de seguridad de Corea del Sur.

Si conoce su malware, puede recordar que Hermes fue atribuido al grupo Lazarus, que está asociado con las operaciones sospechosas de los estados nacionales de Corea del Norte. Esto ha llevado a muchos analistas y periodistas a especular que Corea del Norte estaba detrás de este ataque.

No estamos tan seguros de eso.

Ataques notables

En los últimos meses se han producido múltiples ataques de Ryuk notables, principalmente en los Estados Unidos, en los que el ransomware infectó grandes cantidades de puntos finales y exigió rescates más altos de lo que normalmente vemos (15 a 50 Bitcoins).

Uno de estos ataques fue contra la Autoridad de Aguas y Alcantarillados de Onslow (OWASA) el 15 de octubre de 2018, lo que evitó que la organización pudiera usar sus computadoras por un tiempo. Si bien los servicios de agua y alcantarillado, así como los datos de los clientes, no se vieron afectados por el ataque de ransomware, aún causó un daño significativo a la red de la organización y dio lugar a la reconstrucción de numerosas bases de datos y sistemas desde cero.

Metodo de infeccion

Según Checkpoint y muchos otros analistas e investigadores, Ryuk se distribuye como una carga útil secundaria a través de botnets, como TrickBot y Emotet .

Aquí está la teoría de la ejecución: Emotet realiza la infección inicial en el punto final. Tiene sus propias capacidades para propagarse lateralmente a través de la red, así como lanzar su propia campaña malspam desde el punto final infectado, enviando malware adicional a otros usuarios en la misma red o en redes diferentes.

A partir de ahí, la carga útil más común que hemos visto caer a Emotet en los últimos seis meses ha sido TrickBot . Este malware tiene la capacidad de robar credenciales y también de moverse lateralmente por la red y propagarse de otras maneras.

Tanto TrickBot como Emotet se han utilizado como ladrones de información, descargadores e incluso gusanos según su funcionalidad más reciente.

En algún momento, por razones que exploraremos más adelante en esta publicación, TrickBot descargará y descargará Ryuk ransomware en el sistema, asumiendo que la red infectada es algo que los atacantes quieren rescatar. Como no vemos una fracción del número de detecciones de Ryuk como vemos a Emotet y TrickBot a través de la telemetría de nuestro producto, podemos suponer que no es la operación estándar predeterminada para infectar sistemas con Ryuk después de un tiempo, sino algo que Es activado por un atacante humano detrás de las escenas.

Estadísticas

Echemos un vistazo a las estadísticas de Emotet, Ryuk y TrickBot desde agosto hasta el presente y veamos si podemos identificar una tendencia.

La línea azul representa a Emotet, el troyano de información más grande de 2018. Si bien esta tabla solo nos muestra agosto en adelante, puede estar seguro de que durante gran parte del año, Emotet estuvo en el mapa. Sin embargo, a medida que navegábamos hacia el cuarto trimestre de 2018, se convirtió en un problema mucho mayor.

La línea naranja representa TrickBot. Se espera que estas detecciones sean más bajas que Emotet, ya que Emotet suele ser la carga útil primaria. Esto significa que para que TrickBot pueda detectarse, debe haber sido entregado directamente a un punto final o haber sido eliminado por una infección de Emotet que no fue detectada por el software de seguridad o implementado en un sistema sin él. Además, TrickBot no ha sido la carga útil predeterminada para Emotet durante todo el año, ya que el troyano ha intercambiado continuamente las cargas útiles, según la época del año y la oportunidad.

En base a esto, para ser golpeado con Ryuk (al menos hasta que entendamos la verdadera intención aquí), deberá tener desactivado, no instalado o no haber actualizado su software de seguridad. Deberá abstenerse de realizar exploraciones regulares para identificar TrickBot o Emotet. Necesitará tener puntos finales no parcheados o credenciales débiles para que TrickBot y Emotet se muevan lateralmente a través de la red y, finalmente, debe ser un objetivo.

Dicho esto, aunque nuestras detecciones de Ryuk son pequeñas en comparación con las otras familias en esta tabla, es probable que detectemos la infección durante una etapa anterior del ataque, y las circunstancias para un ataque de Ryuk deben ser correctas, como Goldilocks. ‘papilla. Sorprendentemente, las organizaciones han creado el entorno perfecto para que estas amenazas prosperen. Esta también puede ser la razón detrás del gran pago de rescate, ya que menos infecciones conducen a menos pagos.

Campaña de navidad

Mientras estuvo activo a principios de año, Ryuk no hizo tantos titulares como cuando lanzó su «campaña de vacaciones», o más bien los dos grupos más grandes de infecciones de Ryuk, que ocurrieron durante la Navidad.

La tabla a continuación muestra nuestras estadísticas de detección de Ryuk desde principios de diciembre hasta ahora, con los dos picos de infección observados con estrellas.

Estos picos muestran que los ataques significativos ocurrieron el 24 de diciembre y el 27 de diciembre.

Ataque de resolución de datos

El primer  ataque fue en Dataresolution.net , un proveedor de alojamiento en la nube, en la víspera de Navidad. Como puede ver desde arriba, fue la cantidad de Ryuk que detectamos en un solo día en el último mes.

Según la Resolución de datos , Ryuk pudo infectar sistemas utilizando una cuenta de inicio de sesión comprometida. Desde allí, el malware le dio a los atacantes el control del dominio del centro de datos de la organización hasta que la resolución de datos cerró toda la red.

La compañía asegura a los clientes que no se comprometió ningún dato del usuario, y la intención del ataque fue secuestrar, no robar. Aunque, saber en primer lugar cómo este malware encuentra su camino hacia un punto final es una buena señal de que probablemente hayan perdido al menos algo de información.

Tribune Publishing ataque

Nuestra segunda estrella representa el ataque del 27 de diciembre, cuando varias organizaciones de papel de periódico bajo el paraguas de Tribute Publishing (ahora o en el pasado reciente) fueron golpeadas con Ryuk ransomware, lo que deshabilitó la capacidad de estas organizaciones para imprimir sus propios papeles.

El ataque fue descubierto el jueves por la noche, cuando uno de los editores del San Diego Union-Tribune no pudo enviar las páginas completas a la imprenta. Estos problemas se han resuelto desde entonces.

Teorias

Creemos que Ryuk está infectando sistemas que utilizan Emotet y TrickBot para distribuir el ransomware. Sin embargo, lo que no está claro es por qué los criminales usarían este ransomware después de una infección ya exitosa.

En este caso, podemos tomar una página del libro de jugadas de Hermes. Fuimos testigos del uso de Hermes en Taiwán como un medio para cubrir las huellas de otra familia de malware que ya está en la red. ¿Se usa Ryuk de la misma manera?

Dado que Emotet y TrickBot no son programas maliciosos patrocinados por el estado, y generalmente se lanzan automáticamente a un conjunto de posibles víctimas (en lugar de identificar un objetivo y se lanzan manualmente), parece extraño que Ryuk se use solo en unos pocos casos Para ocultar la infección. Entonces tal vez podamos descartar esta teoría.

Una segunda teoría, más probable, es que el propósito de Ryuk es como un último esfuerzo para obtener más valor de un objetivo que ya es jugoso.

Digamos que los atacantes detrás de Emotet y TrickBot hacen que sus robots diseñen redes para identificar una organización objetivo. Si el objetivo tiene una propagación de infección suficientemente grande de Emotet / TrickBot, y / o si sus operaciones son críticas o lo suficientemente valiosas como para que la interrupción provoque una inclinación a pagar el rescate, entonces ese podría ser el objetivo perfecto para una infección de Ryuk.

La verdadera intención de usar este malware solo puede ser especulada en este punto. Sin embargo, ya sea ocultando las pistas de otros programas maliciosos o simplemente buscando formas de ganar más dinero después de robar todos los datos relevantes que puedan, las empresas deben tener cuidado de no escribir esto.

El hecho es que hay miles de infecciones activas de Emotet y TrickBot en todo el mundo en este momento. Cualquiera de las organizaciones que enfrentan estas amenazas debe tomarlas en serio, ya que un ladrón de información puede convertirse en un ransomware desagradable en cualquier momento. Esta es la verdad de nuestro panorama moderno de amenazas.

Atribución

Como se mencionó anteriormente, muchos analistas y periodistas han decidido que Corea del Norte es el atacante más probable para distribuir Ryuk. Si bien no podemos descartarlo por completo, no estamos completamente seguros de que sea correcto.

Ryuk coincide con Hermes de muchas maneras. Sobre la base de las cadenas encontradas, probablemente se construyó sobre, o es una versión modificada de Hermes. La forma en que los atacantes obtuvieron el código fuente es desconocida, sin embargo, hemos observado casos en los que los delincuentes vendían versiones de Hermes en foros de hackers.

Esto introduce otra razón potencial por la que el código fuente llegó a las manos de un actor diferente.

Identificar la atribución de este ataque en base a las similitudes entre dos familias, una de las cuales está asociada con un grupo de ataque de estado-nación conocido (Lázaro) es una falacia lógica, como lo describe Robert M. Lee en un artículo reciente, «La atribución no es Transitivo – Tribute Publishing Cyber ​​Attack como un estudio de caso «. El artículo profundiza más en los errores de atribución basados ​​en evidencia endeble. Advertimos a los lectores, periodistas y otros analistas acerca de sacar conclusiones de las correlaciones.

Proteccion

Ahora que sabemos cómo y potencialmente por qué Ryuk ataca a las empresas, ¿cómo podemos protegernos contra este malware y otros similares?

Centrémonos en tecnologías y operaciones específicas que han demostrado ser eficaces contra esta amenaza.

Tecnología anti-exploit

El uso de exploits tanto para la infección como para el movimiento lateral ha aumentado durante años. El principal método de infección para Emotet en este momento es a través de spam con documentos de Office adjuntos cargados con scripts maliciosos .

Estos scripts maliciosos son macros que, una vez que el usuario hace clic en «Habilitar contenido» (generalmente a través de algún tipo de truco de ingeniería social), lanzarán scripts adicionales para causar estragos. Lo más frecuente es que veamos scripts para JavaScript y PowerShell, y PowerShell se está convirtiendo rápidamente en el lenguaje de scripting de facto para infectar a los usuarios.

Si bien puede detener estas amenazas capacitando a los usuarios para que reconozcan los intentos de ingeniería social o use una plataforma de protección de correo electrónico que reconozca el spam malicioso, el uso  de la tecnología anti-exploit  también puede impedir que esos scripts maliciosos intenten instalar malware en el sistema.

Además, el uso de tecnologías de protección, como el  anti-ransomware, agrega inmensas cantidades de protección contra las infecciones de ransomware, deteniéndolos antes de que puedan causar daños graves.

Escaneos regulares y actualizados de malware

Esta es una regla general que se ha ignorado las veces suficientes como para que valga la pena mencionarla aquí. Para tener soluciones de seguridad efectivas, deben usarse  y actualizarse con frecuencia para que puedan reconocer y bloquear las amenazas más recientes.

En un caso, el equipo de TI de una organización ni siquiera sabía que estaban mal con las infecciones de Emotet hasta que habían actualizado su software de seguridad . Tenían una confianza falsa en una solución de seguridad que no estaba completamente armada con las herramientas para detener las amenazas. Y debido a eso, tenían un serio problema en sus manos.

 

Segmentacion de red

Esta es una táctica que hemos estado recomendando durante años, especialmente cuando se trata de proteger contra el ransomware. Para asegurarse de no perder sus unidades y recursos asignados o conectados en red si se infecta un solo punto final, es una buena idea segmentar el acceso a ciertos servidores  y archivos.

Hay dos formas de segmentar su red y reducir el daño de un ataque de ransomware. Primero, restrinja el acceso a ciertas unidades asignadas según los requisitos del rol. En segundo lugar, use un sistema independiente o de terceros para almacenar archivos y carpetas compartidos, como Box o Dropbox.

Amenazas en desarrollo

Este último año ha traído algunos enfoques novedosos para causar interrupciones y devastación en el lugar de trabajo. Si bien el ransomware fue el malware más letal para las empresas en 2017, 2018 y más allá, nos brindan múltiples malware implementados en una única cadena de ataques.

Además, familias como Emotet y TrickBot continúan evolucionando sus tácticas, técnicas y capacidades, haciéndolas más peligrosas con cada nueva generación. Si bien hoy, podemos estar preocupados por la caída de Ryuk por parte de Emotet, mañana, Emotet podría simplemente actuar como un ransomware. Depende de las empresas y los profesionales de la seguridad mantenerse al tanto de las amenazas emergentes, por pequeñas que sean, ya que a menudo señalan un cambio en la forma de las cosas por venir.

Gracias por leer y navegar con seguridad!

Hemos estado rastreando una prolífica campaña de publicidad maliciosa durante varias semanas y hemos capturado una variedad de cargas útiles, incluidos varios ladrones. Uno que inicialmente identificamos como Arkei resultó ser Vidar, una nueva pieza de malware recientemente analizada en detalle por Fumik0_  en su publicación:  Vamos a profundizar en Vidar: un Arkei Copycat / Forked Stealer (análisis en profundidad) .

En la mitología nórdica,  Víðarr  es un dios e hijo de Odín , cuya muerte se predice que se vengará. Ser referido como «El Silencioso» parece ser adecuado para este ladrón que puede saquear desde los historiales del navegador (incluido el Navegador Tor) y las carteras de criptomoneda, capturar mensajes instantáneos y mucho más.

Fuimos testigos de un actor de amenazas que usaba el kit de exploits Fallout para distribuir Vidar. Pero las víctimas no lo notarán tanto, ya que la carga útil secundaria y más ruidosa que se está empujando es el ransomware GandCrab.

Visión general

Una cadena de publicidad maliciosa nos lleva al kit de explotación de Fallout seguido de lo que pensamos que era un ladrón de Arkei. En una mirada más cercana, mientras que la muestra compartía muchas similitudes con Arkei (incluidos los eventos de la red), en realidad era una pieza de malware más nueva y, en ese momento, aún no descrita públicamente ahora identificada como Vidar.

Más allá de las capacidades del ladrón de Vidar, también notamos una carga útil secundaria que se recuperó del propio servidor de comando y control (C2) de Vidar. La línea de tiempo de la infección mostró que las víctimas se infectaron primero con Vidar, que intentó extraer información confidencial, antes de que finalmente se comprometiera con el ransomware GandCrab.

Malvertising y el kit de exploits de Fallout.

Los sitios de torrent y video streaming generan mucho tráfico, y su publicidad a menudo es agresiva y está mal regulada. Un actor malintencionado que utiliza un dominio de publicidad fraudulento está redirigiendo a estos visitantes del sitio de acuerdo con su geolocalización y procedencia a al menos dos kits de exploits diferentes (Fallout EK y GrandSoft EK), aunque el primero es el más activo.

Los ladrones como AZORult parecen ser la carga útil favorita aquí, pero también notamos que Arkei / Vidar era bastante común. En este caso particular, vimos a Vidar siendo empujado a través del kit de explotación de Fallout.

Vidar

Cabe señalar que Vidar se vende como un producto, y como tal puede ser distribuido por diferentes grupos de amenazas a través de diferentes campañas.

Los clientes de Vidar pueden personalizar el ladrón a través de perfiles, lo que les permite ajustar el tipo de datos que les interesan. Además de los números de tarjetas de crédito habituales y otras contraseñas almacenadas en las aplicaciones, Vidar también puede raspar una impresionante selección de carteras digitales.

Tras la ejecución en el sistema, Vidar buscará los datos especificados en su configuración de perfil y los enviará de inmediato al servidor C2 a través de una solicitud POST de HTTP sin cifrar.

Esto incluye detalles del sistema de alto nivel (especificaciones, procesos en ejecución y aplicaciones instaladas) y estadísticas sobre la víctima (dirección IP, país, ciudad e ISP) almacenadas en un archivo llamado  information.txt . Este archivo se empaqueta junto con otros datos robados y se comprime antes de enviarlo de vuelta al servidor C2.

GandCrab como cargador

Vidar también ofrece descargar malware adicional a través de su servidor de comando y control. Esto se conoce como la función del cargador y, nuevamente, se puede configurar dentro del panel de administración de Vidar agregando una URL directa a la carga útil. Sin embargo, no todas las instancias de Vidar (vinculadas a una ID de perfil) descargarán una carga útil adicional. En ese caso, el servidor enviará una respuesta de «ok» en lugar de una URL.

HTTP / 1.1 200 OK
Fecha: 
Tipo de contenido: texto / html; conjunto de caracteres = UTF-8
Conexión: mantener vivo
Servidor: Pro-Managed
Contenido-Longitud: 51

http: //ovz1.fl1nt1kk.10301.vps.myjino [.] ru / topup.exe;

Aproximadamente un minuto después de la infección inicial con Vidar, los archivos de la víctima se cifrarán y su fondo de pantalla se secuestrará para mostrar la nota de GandCrab versión 5.04.

Ransomware como última carga útil

Si bien el ransomware experimentó una desaceleración en 2018, sigue siendo una de las amenazas más peligrosas. En contraste con muchos otros tipos de malware, el ransomware es visible al instante y requiere una llamada a la acción, ya sea que las víctimas decidan pagar el rescate o no.

Sin embargo, los actores de amenazas pueden usar ransomware por una variedad de razones dentro de su libro de jugadas. Podría ser, por ejemplo, un simple señuelo donde el objetivo real es corromper irreversiblemente los sistemas sin ninguna forma de recuperar datos perdidos. Pero como vemos aquí, se puede combinar con otras amenazas y utilizar como una última carga útil cuando ya se han agotado otros recursos.

Como resultado, las víctimas reciben un doble golpe. No solo se les roba su información financiera y personal, sino que también se les está extorsionando para recuperar los datos ahora encriptados.

Los usuarios de Malwarebytes están protegidos contra esta amenaza en múltiples niveles. Nuestro motor anti-exploit sin signo mitiga los exploits de Internet Explorer y Flash Player entregados por el kit de exploits Fallout. Detectamos al ladrón abandonado como Spyware.Vidar y también frustramos GandCrab a través de nuestro módulo anti-ransomware.