Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

Специалисты представили подробное описание всех этапов атаки ПО Ryuk

13/10/20

hack1-1Как сообщают специалисты проекта DFIR Report, атака с использованием вымогательского ПО Ryuk занимает 29 часов – начиная от отправки жертве электронного письма и заканчивая полной компрометацией среды и шифрованием систем.

Впервые об атаках Ryuk стало известно в 2018 году. Тогда предполагалось, что вымогательская программа – дело рук северокорейских хакеров из-за его сходства с вымогательской программой Hermes. Однако затем специалисты связали Ryuk с российскими хакерами.

В течение двух последних лет Ryuk использовался в огромном количестве кибератак на организации , в том числе на медицинские учреждения. В случае с атаками, изученными специалистами DFIR Report, все начинается с вредоносного письма с ссылкой на загрузчик Bazar/Kegtap, внедряющийся во множество процессов и проводящий разведку зараженной системы с помощью утилит Windows, таких как nltest и net group, и стороннего инструмента AdFind.

Затем в течение дня вредонос не проявляет никакой активности, после чего снова проводит разведку с помощью тех же инструментов и Rubeus. Полученные данные отправляются на подконтрольный злоумышленникам сервер, а атакующие начинают боковое перемещение по сети.

Для компрометации дополнительных систем в сети злоумышленники используют различные методы, в том числе WMI, удаленное выполнение служб PowerShell и компонент Cobalt Strike, загружаемый по SMB. Далее этот компонент использовался как поворотный момент.

Затем в среде устанавливаются дополнительные компоненты, и с помощью PowerShell отключается Защитник Windows. Через минуту после передачи по SMB выполняется Ryuk и начинается шифрования (серверы с резервными копиями шифруются в первую очередь).

Согласно отчету DFIR Report с подробным описанием всех этапов атаки, Ryuk также передается остальным хостам в сети через SMB, а затем выполняется через RDP-соединение с контроллера домена.

«В общей сложности кампания длилась 29 часов – от первоначального запуска Bazar до выполнения вымогательского ПО», – отмечается в отчете DFIR Report.

После шифрования вымогатель потребовал выкуп в размере порядка 600 биткойнов (около $6 млн). Впрочем, операторы Ryuk готовы торговаться.

Темы:ИсследованиеУгрозывымогатели

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
Стать автором

Еще темы...