By Bhabesh Raj Rai, Associate Security Analytics Engineer

Ryuk, første gang opdaget i august 2018, er en art af ransomware som har fået et ry om at være en af de mest modbydelige ransomware familier, der nogensinde har rørt sig i den cyberkriminelle verden. Efter en kortvarig pause har Ryuk lavet et comeback med en ny taktik, som drastisk forkorter tid mellem infiltrering til implementering.

Ryuk er baseret på en ældre ransomware variant kaldet ”Hermes”, som blev solgt på skjulte fora for cyberkriminelle i 2017. Lazarus Group lancerede Hermes i 2017, hvilket ledte forskere til fejlagtigt at tro, at Ryuk havde oprindelse i Nord Korea. Men nu er der generel enighed om at russiske cyberkriminelle grupper fik adgang til Hermes og styrer Ryuk.

Ryuk er en af de første ransomware varianter der har egenskaben til at identificere og kryptere netværk shares og ressourcer, samtidig med at kunne slette shadow kopier på den inficerede enhed. Ifølge adskillige forskere, bliver Ryuk implementeret som det endelige payload gennem TrickBot og Emotet, men det er nu fundet ud af at de bruger Bazar malware. Bazar er fornyligt blevet den fortrukne, skjulte ”malware of choice” for angreb på højt profilerede mål, og at det er en del af TrickBot gruppens arsenal.

Ruyk operatører er berygtede for at kræve højere beløb i løsepenge i forhold til mange andre ransomware grupper. Joel DeCapua afslørede ved RSA konferencen i 2020, at ud af de $144,35 millioner værd af bitcoin betalt til ransomware grupper fra 2013 til 2019, gik $61,26 million til Ryuk operatører. Gerningsmændene går efter organisationer med sensitive data, der er mere villige til at betale, også kaldet ”big game hunting”.

Et typisk Ryuk angreb igangsættes når en bruger åbner et fjendtligt Office dokument vedhæftet i en phishing email, der dropper Emotet. Emotet downloader kort tid efter TrickBot hvilket indleder rekognoscering og indsamler oplysninger, hvilket tillader ”lateral movement” af sårbare data der er forbundet til interne netværk. Ruyk aktører vil derefter tjekke om organisationen er af høj nok værdi og endeligt implementere Ryuk på deres udvalgte mål, dermed fuldende deres ”attack chain”.

Ryuk er tilbage nu efter en lang pause, med helt nye værktøjer og taktikker. Ryuk operatører har ændret deres taktikker, metoder og procedure, for at kunne drastisk forkorte tiden mellem den indledende interaktion og ransomwarens implementering. Med de opdaterede metoder, har de formået at reducere tiden fra uger til nu blot et par dage. Der er selv sager hvor det kun har taget et par timer mellem interaktionen og implementeringen. Nu bruger Ryuk operatører implementerings procedure såsom ADFInd, vsftpd, Cobalt Strike, Rubeus og PowerView for at fuldføre deres mål.

Ryuk aktører bruger også ZeroLogon (CVE-2020-1472) for at eskalere deres privilegier, det betyder at de succesfuldt kan inficere hele virksomheder på 5 timer. Læs mere om detecting the ZeroLogon exploitation with LogPoint SIEM I vores forrige blog.

Sporing af Ryuk ransomware med LogPoint

Ved at bruge MITRE ATT&CK og LogPoint, kan sikkerheds teams opspore Ryuk gennem de forskellige stadier af deres angreb. Søgninger relateret til de forskellige taktikker, metoder og procedure som Ryuk bruger, findes herunder.

MITRE ATTACK dashboard LogPoint SIEM

Ved at bruge MITRE ATT&CK og LogPoint, kan sikkerheds teams opspore Ryuk gennem de forskellige stadier af deres angreb. Søgninger relateret til de forskellige taktikker, metoder og procedure som Ryuk bruger, findes herunder.

Ryuk ransomware’s udførelse

We can look for the initial infection stage by looking at the spawning of command prompt (T1059.003) or PowerShell (T1059.001) from Office products.

norm_id=WinServer event_id=4688 parent_process IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"] "process" IN ["*\cmd.exe", "*\powershell.exe"]

Sometimes, the malicious macro embedded inside the document may directly download and execute the payload. In general, we can look for any suspicious process creations from Office products.

norm_id=WinServer event_id=4688 parent_process IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"]

Usually the payloads are dropped in Temp or ProgramData or C:\Users\Public folders, which we can detect via Sysmon’s file creation logs.

norm_id=WindowsSysmon event_id=11 file=*.exe path IN ["C:\ProgramData*", "*\AppData\Local\*", "*\AppData\Roaming\*", "C:\Users\Public\*"]

Next, we can check for any execution of processes from above the aforementioned paths.

norm_id=WinServer event_id=4688 "process" IN ["C:\ProgramData\*.exe", "*\AppData\Local\*.exe", "*\AppData\Roaming\*.exe", "C:\Users\Public\*"]

Opdagelse

Ryuk operators are known for using legitimate built-in Windows tools for performing reconnaissance and maintaining stealth. As these commands are not used by normal users, the use of the commands in a short time frame can prove to be a valuable indicator of an ongoing reconnaissance activity in the environment.

norm_id=WinServer event_id=4688 "process"="*\cmd.exe" command IN ["*whoami*", "*nltest /domain_trusts*", "*net*group*", "*ipconfig*", "*nltest /dclist*", "*sysinfo*" "*net*view*"] | chart count() by host
| search count() > 4

On the most recent Ryuk infections, the operators used ADFind.exe, which is a third-party tool to collect Active Directory information. The best way to hunt for ADFind.exe execution is by looking for its command-line options rather than the process name because it can easily be renamed.

norm_id=WinServer event_id=4688 "process"="*.exe" command IN ['* -f *objectcategory=*', '* -sc trustdmp*']

Ryuk operators also check for installed antivirus software (T1518.001) on identified endpoints via WMI.

norm_id=WinServer event_id=4688 "process"="*\wmic.exe" command="*SecurityCenter2*AntiVirusProduct*"

Active Directory information collection is performed by using the popular PowerView module. LogPoint provides a POWERSPLOIT_RECON_MODULES list that contains the commonly used PowerView commands such as Get-NetComputer and Find-LocalAdminAccess.

norm_id=WinServer event_id=4104 script_block IN POWERSPLOIT_RECON_MODULES

When the Ryuk actors get access to a domain controller, they use PowerShell’s Active Directory module to discover hostnames, operating systems and last logon dates of all systems connected in the Active Directory.

norm_id=WinServer event_id=4103 command="Import-Module" payload="*ActiveDirectory*"

norm_id=WinServer event_id=4103 command="Get-ADComputer" payload="*DNSHostName*LastLogonDate*"

Forsvars undvigelse

Ryuk aktører forsøger at deaktivere Microsoft Defender (T1564.001) via PowerShell, hvilket sikkerheds teams nemt kan opfange gennem PowerShell’s Script Block logging.

norm_id=WinServer event_id=4104 script_block="Set-MpPreference -DisableRealtimeMonitoring $true"

Ryuk aktører har også forbedret deres strategi ved undvigelse af målets forsvar ved at tilføje ”process hollowing” (T1055.012) til deres TPP’er. Vi kan opspore process hollowing af cmd.exe eller regsvr32.exe ved at kigge på deres child process creations uden nogen kommando-linje argumenter.

norm_id=WindowsSysmon event_id=1 parent_image="*\cmd.exe" image IN ["*\net.exe", "*\net1.exe", "*\nltest.exe", "*\ipconfig.exe"] parent_command="*\cmd.exe"

På samme vis kan vi også opspore process hollowing af svchost.exe ved at kigge efter unormal adfærd, såsom at dens ”parent process” ikke er service.exe eller at dens kommando-linje argumenter ikke består af k-parametre, hvilket er klar mistænkelig adfærd.

norm_id=WinServer event_id=4688 "process"="*\svchost.exe" (-parent_process="*\services.exe" OR -command="* -k *")

Ryuk operatører vil også forsøge at bruge den indbyggede icals.exe (T1222.001) for at give alle fuld adgang til drevets root, samtidig med at forplante nye tilladelser i folder strukturen for at forhindre problemer med adgang og tilladelse i senere krypterings-fase.

norm_id=WinServer event_id=4688 "process"="*\icacls.exe" command="icacls*:*/grant everyone*"

Udholdenhed

Det bør nævnes at nogle versioner af Ryuk har droppet deres udholdenheds egenskaber, hvilket var resultatet af en ny ”Run key entry” i ”the registry” (T1547.001) for at etablere udholdenhed tværs over ”reboots”.

norm_id=WinServer event_id=4688 "process"="*\cmd.exe" command="*reg add*\Windows\CurrentVersion\Run*.exe*"

I forbindelse med den ovenstående udholdenheds metode, opretter Ryuk til tider skemalagte opgaver (T1053.055) i C:\Users. Vi kan overvåge lokationen for at opspore Ryuk i dens tidlige stadier.

norm_id=WinServer label=Schedule label=Task label=Create -user=*$ command IN ["*C:\Users\*", "*C:\Windows\Temp\*"]

Adgang til legitimations-oplysninger

Ryuk aktører er for nyligt begyndt at benytte open-source værktøjet LaZagne, for at samle legitimations-oplysninger for at muliggøre ”lateral movement”, hvilket vi kan opspore via Sysmon’s Process Access event logs.

norm_id=WindowsSysmon event_id=10 call_trace="*C:\Windows\SYSTEM32\ntdll.dll+*|C:\Windows\System32\KERNELBASE.dll+*_ctypes.pyd+*python27.dll+*"

Ryuk aktører prøver også at “Kerberoast” (T1558.003) ved at bruge det populære værktøj Rubeus.

norm_id=WindowsSysmon event_id=7 -source_image="C:\Windows\System32\*" image IN ["*\clr.dll", "*\kerberos.dll", "*\cryptdll.dll", "*\dsparse.dll"] | chart distinct_list(image) as images, distinct_count(image) as dc by source_image
| search dc=4

Lateral Movement

Ryuk burger sommetider WMI (T1047) til at ”laterally eksekvere dynamiske link libraries (DLLs).”

norm_id=WinServer event_id=4688 "process"="*\wmic.exe" command="*/node*process call create*"

Ryuk aktører anvender oftest Remote Desktop Protocol (RDP) (T1021.001) til lateral movement eller for at implementere det endelig Ryuk payload. Ryuk aktører påbegynder for det meste RDP forbindelser fra det inficerede ”domain controller”. Logs fra TerminalServices/RemoteConnectionManager viser source IP-adressen fra hvor aktørerne påbegyndte RDP forbindelsen.

Så vi kan være på udgik efter former for RDP forbindelser fra vilkårlige DC’er til en arbejdsstation.

norm_id=WinServer event_source="Microsoft-Windows-TerminalServices-RemoteConnectionManager" event_id=1149
| rename eventxml.param3 as source_address
| search source_address IN WINDOWS_DC

Yderligere end RDP, dropper Ryuk aktører laterale ondsindede DLL eller EXE in Perflogge lokationer, hvor de senere igangsætter dem via rund1132 (T1218.011) eller regsvr32 (T1217.010).

norm_id=WindowsSysmon event_id=11 file IN ["*.dll", "*.exe"] path="C:\Perflogs"

norm_id=WinServer event_id=4688 "process" IN ["*\rundll32.exe", "*\regsvr32.exe"] command="*C:\Perflogs*.dll*"

Ryuk har også tilføjet en Wake-On-LAN egenskab som kan tænde enheder på netværket.

norm_id=WinServer event_id=4688 "process"="*.exe" command="* 8 LAN*"

Exfiltrering

Ryuk aktører er også kendte for at exfiltrere indsamlet data med ”discovery via FTP” (T1048.003), hvilket vi nemt kan opspore via Sysmon.

norm_id=WindowsSysmon (event_id=1 image="*\ftp.exe") OR (event_id=3 destination_port=21)

Indvirkning

Ryuk operatører bruger en batchfil (hovedsageligt kill.bat) der kaldes taskkill for at udrydde diverse, så at krypteringen kører mere problemfrit.

norm_id=WinServer event_id=4688 parent_process="*\cmd.exe" "process"="*\taskkill.exe"
| chart count() as cnt by host
| search cnt > 2

Ryuk stopper diverse services såsom Security Accounts Manager Service (samss) (T1489) via net kommandoen, hvilket kan opføre sig som en højt pålidelig indikator.

norm_id=WinServer event_id=4688 "process" IN ["*\net.exe", "*\net1.exe"] command IN ["*stop *samss*"]

Ryuk bruger, som mange andre ransomware, WMI eller vssadmin for at slette ”volume shadow copies” for at gøre gendannelse umådelig svært.

norm_id=WinServer event_id=4688 ("process"="*\wmic.exe" command="*shadowcopy delete*") OR ("process"="*\vssadmin.exe" command="*delete shadows*quiet*")

Endeligt vil operatørerne sørge for at gendannelse bliver så besværligt som muligt efter infektion. Ryuk operatører bruger bcedit.exe (Boot Configuration Data Editor) for at deaktivere Windows Automatic Startup Repair feature (T1490), og yderligere for at ændre ”the boot status policy”, så den ignorerer alle fejl.

norm_id=WinServer event_id=4688 "process"="*\cmd.exe" command IN ["*bootstatuspolicy ignoreallfailures*", "*bcdedit /set*recoveryenabled no*"]

At reducere Incident Response time er essentielt

Ryuk har klart et ry for at være voldsomme på ransomware scenen, selv før dens nylige genfødsel. Nu må ”blue teams” yderligere opgradere deres strategier og metoder for at holde sig foran, når det gælder sikkerhed og forsvar for nyere TTPs som Ryuk aktører gør brug af. Siden Ryuk afhænger af droppers og andre malware før den kan implementere sig, er der adskillige muligheder for threat detection på forskellige stadier.

Det er normalt for ransomware at bruge cyberkriminelle grupper, hvilket bliver kaldt ”initial access brokers”. Initial acess broker groups agerer som distributionskæden til kriminelle grupper, ved at give dem adgang til et udvalg af kompromitterede systemer. Ved at bruge systemer der allerede er kompromitterede, muliggører det nem adgang til hele organisationers interne netværk for ransomware grupperne, hvorfra de kan eskalere privilegier, bevæge sig lateralt og endeligt implementere deres ransomware.

Siden at Ryuk operatører nu bevæger sig hurtigere end nogensinde før efter deres oprindelige infektion, for at implementere deres ransomware så hurtigt som muligt, anbefaler vi at ”blue teams” at bruge ”CISA’s alarmer på Ryuk” for at forbedre deres infrastruktur imod Ryuk og andre ransomware, så det ikke er for sent at undgå en katastrofe.

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser