Av Bhabesh Raj Rai, Associate Security Analytics Engineer

Ryuk upptäcktes för första gången i augusti 2018. Det är en stam av utpressningstrojaner som har rykte om sig att vara en av de värsta ransomware-familjerna som någonsin påträffats inom dagens cyberbrottslighet. Efter en kortare bortavaro har nu Ryuk gjort comeback, med en ny taktik som drastiskt förkortar tiden mellan det första intrånget och att dess utpressningstrojaner aktiveras.

Ryuk bygger på en äldre variant av utpressningstrojaner kallad Hermes, som såldes på hemliga cyberbrottsforum under 2017 Lazarus Group släppte Hermes 2017, vilket felaktigt fick forskarna att tro att Ryuk hade sitt ursprung i Nordkorea.. Men nu är man överens om att det var rysktalande cyberkriminella grupperingar som fick tillgång till Hermes och som nu driver Ryuk.

Ryuk är en av de första varianterna av utpressningstrojaner som kan identifiera och kryptera nätverksdelar och resurser, samt radera skuggkopior på den infekterade slutpunkten. Enligt flera forskare används Ryuk som den slutliga lasten via TrickBot och Emotet men nu har det upptäckts att den använder den skadliga programvaran Bazar malware. Bazar har nyligen blivit förstahandsvalet bland skadlig programvara för svårupptäckta, dolda attacker mot värdefulla mål och är en del av verktygsarsenalen inom TrickBot.

Ryuk-operatörer är ökända för att kräva högre lösensummor än många andra cyberkriminella som använder utpressningstrojaner. Joel DeCapua avslöjade vid RSA-konferensen 2020 att av 144,35 miljoner i bitcoin som betalades till ransomware-grupper mellan 2013 och 2019 så skickades 61,26 miljoner till Ryuk-operatörer. De attackerar organisationer som har kritiska tillgångar och som är mer benägna att betala. Detta kallas för ”storviltsjakt”.

En typisk Ryuk-attack initieras när en användare öppnar ett ”minerat” Office-dokument som har bifogats i nätfiskemeddelandet som levererar Emotet. Strax därefter laddar Emotet ned Trickbot, som påbörjar reconnaissance och börjar samla in inloggningsuppgifter, vilket möjliggör lateral movement till kritiska tillgångar som är anslutna till det interna nätverket. Ryuk-aktörer kontrollerar därefter om organisationen har ett högt värde och släpper slutligen lös Ryuk på utvalda mål som fullbordar attackkedjan.

Ryuk återvände nyligen efter en längre tids bortavaro; nu med nya verktyg och ny taktik. Ryuk-operatörerna hade ändrat sin taktik, sina tekniker och sina förfaranden (TTP) för att markant korta ned tiden mellan inledande infektering och aktiveringen av utpressningstrojaner. De har reducerat tidsskillnaden från veckor till bara ett par dagar. Det finns till och med fall på bara ett par timmar mellan inledande infektion och aktivering.. Idag använder Ryuk-operatörer förfaranden som ADFind, vsftpd, Cobalt Strike, Rubeus och PowerView för att nå sina mål.

Ryuk-aktörer ökar också privilegierna med hjälp av ZeroLogon (CVE-2020-1472), vilket innebär att de kan infektera hela företaget på fem timmar.. Läs mer om detektering av ZeroLogon-exploateringen med LogPoint SIEM i vår tidigare blogg.

Upptäck Ryuk utpressningstrojaner med hjälp av LogPoint

Med hjälp av MITRE ATT&CK-ramverket och LogPoint kan säkerhetsteamen upptäcka Ryuk under varje steg i en attack. Här nedan nämns jaktfrågor som rör olika TTP som används av Ryuk.

MITRE ATTACK dashboard LogPoint SIEM

Med hjälp av MITRE ATT&CK-ramverket och LogPoint kan säkerhetsteamen upptäcka Ryuk under varje steg i en attack. Här nedan nämns jaktfrågor som rör olika TTP som används av Ryuk.

Genomförande av Ryuk utpressningstrojaner

Vi kan leta efter det initiala infektionsskedet genom att titta på kommandotolken (T1059.003) eller PowerShell (T1059.001) from Office products.

norm_id=WinServer event_id=4688 parent_process IN [”*\winword.exe”, ”*\excel.exe”, ”*\powerpnt.exe”] ”process” IN [”*\cmd.exe”, ”*\powershell.exe”]

Ibland kan det skadliga makrot som är inbäddat i dokumentet direkt ladda ned och köra sin nyttolast. Rent allmänt så kan vi leta efter misstänkta processer skapade av Office-produkter.

norm_id=WinServer event_id=4688 parent_process IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"]

Vanligtvis släpps nyttolasten i Temp eller ProgramData eller C:\Users\Public folders, som vi kan upptäcka via Sysmons loggar över skapade filer.

norm_id=WindowsSysmon event_id=11 file=*.exe path IN ["C:\ProgramData*", "*\AppData\Local\*", "*\AppData\Roaming\*", "C:\Users\Public\*"]

Därefter kan vi kontrollera om processerna utförs via ovan nämnda sökvägar.

norm_id=WinServer event_id=4688 "process" IN ["C:\ProgramData\*.exe", "*\AppData\Local\*.exe", "*\AppData\Roaming\*.exe", "C:\Users\Public\*"]

Upptäckt

Ryuk-operatörer är kända för att använda legitima inbyggda Windows-verktyg för att utföra reconnaissance och upprätthålla smygläge. Eftersom dessa kommandon inte används av normala användare kan användning av kommandona under kort tid visa sig vara en värdefull indikator på en pågående reconnaissance-aktivitet i datamiljön.

norm_id=WinServer event_id=4688 "process"="*\cmd.exe" command IN ["*whoami*", "*nltest /domain_trusts*", "*net*group*", "*ipconfig*", "*nltest /dclist*", "*sysinfo*" "*net*view*"] | chart count() by host
| search count() > 4

Under de senaste Ryuk-infektionerna använde operatörerna ADFind.exe, som är ett tredjepartsverktyg som samlar in Active Directory-information. Det bästa sättet att jaga attacker via ADFind.exe är att leta efter kommandorader snarare än processnamn, eftersom det är lätt att byta namn på dem.

norm_id=WinServer event_id=4688 "process"="*.exe" command IN ['* -f *objectcategory=*', '* -sc trustdmp*']

Ryuk-operatörer letar även efter installerade antivirusprogram (T1518.001) på identifierade slutpunkter via WMI.

norm_id=WinServer event_id=4688 "process"="*\wmic.exe" command="*SecurityCenter2*AntiVirusProduct*"

Informationsinsamling i Active Directory sker med hjälp av den populära PowerView-modulen. LogPoint tillhandahåller en lista över POWERSPLOIT_RECON_MODULES som innehåller de vanligaste PowerView-kommandona, bl.a. Get-NetComputer och Find-LocalAdminAccess.

norm_id=WinServer event_id=4104 script_block IN POWERSPLOIT_RECON_MODULES

När Ryuk-aktörerna får tillgång till en domänkontroller använder de PowerShells Active Directory-modul för att upptäcka värdnamn, operativsystem och senaste inloggningsdatum för alla system som är anslutna till Active Directory.

norm_id=WinServer event_id=4103 command="Import-Module" payload="*ActiveDirectory*"

norm_id=WinServer event_id=4103 command="Get-ADComputer" payload="*DNSHostName*LastLogonDate*"

Försvarsmanövrer

Ryuk-aktörerna försöker att inaktivera Microsoft Defender (T1562.001) via PowerShell, vilket säkerhetsteam enkelt kan upptäcka genom PowerShells loggning av skriptblock.

norm_id=WinServer event_id=4104 script_block="Set-MpPreference -DisableRealtimeMonitoring $true"

Ryuk-aktörerna har också förfinat sina försvarsmanövrer genom att lägga till ”process hollowing” (T1055.012) till sina TTP. Vi kan upptäcka ”process hollowing” för cmd.exe eller regsvr32.exe genom att titta på skapandeprocesser utan några kommandoradsargument.

norm_id=WindowsSysmon event_id=1 parent_image="*\cmd.exe" image IN ["*\net.exe", "*\net1.exe", "*\nltest.exe", "*\ipconfig.exe"] parent_command="*\cmd.exe"

På samma sätt kan vi upptäcka ”process hollowing” hos svchost.exe baserat på avvikande beteenden, bl.a. att dess överordnade process inte är services.exe eller att kommandoradsargumentet inte innehåller någon ”-k”-parameter, vilket definitivt är misstänkt.

norm_id=WinServer event_id=4688 "process"="*\svchost.exe" (-parent_process="*\services.exe" OR -command="* -k *")

Ryuk-operatörerna fortsätter att använda inbyggda icacls.exe (T1222.001)för att ge ”Alla” full åtkomst till enhetens rot, samtidigt som nya behörigheter sprids nedåt i mappstrukturen för att förhindra eventuella behörighetsproblem som kan uppstå under den senare krypteringsfasen.

norm_id=WinServer event_id=4688 "process"="*\icacls.exe" command="icacls*:*/grant everyone*"

Uthållighet

Det bör noteras att vissa versioner av Ryuk har släppt uthållighetsfunktionen, som var tillägget av en ny Run key-post i registret (T1547.001) för att etablera uthållighet vid omstarter.

norm_id=WinServer event_id=4688 "process"="*\cmd.exe" command="*reg add*\Windows\CurrentVersion\Run*.exe*"

I samband med ovanstående uthållighetsmetod skapar Ryuk ibland även schemalagda uppgifter (T1053.005) i C:\Users. Vi kan övervaka platsen för att i ett tidigt skede kunna upptäcka Ryuk.

norm_id=WinServer label=Schedule label=Task label=Create -user=*$ command IN ["*C:\Users\*", "*C:\Windows\Temp\*"]

Behörighetsåtkomst

Nyligen använder Ryuk-aktörerna LaZagne-verktyget med öppen källkod för att samla in behörigheter för att underlätta lateral movement, vilket vi kan upptäcka via Sysmons händelseloggar för processåtkomst.

norm_id=WindowsSysmon event_id=10 call_trace="*C:\Windows\SYSTEM32\ntdll.dll+*|C:\Windows\System32\KERNELBASE.dll+*_ctypes.pyd+*python27.dll+*"

Ryuk-aktörerna försöker också att använda Kerberoast ((T1558.003) med hjälp av det populära Rubeus tool.

norm_id=WindowsSysmon event_id=7 -source_image="C:\Windows\System32\*" image IN ["*\clr.dll", "*\kerberos.dll", "*\cryptdll.dll", "*\dsparse.dll"]| chart distinct_list(image) as images, distinct_count(image) as dc by source_image
| search dc=4

Lateral Movement

Ibland använder Ryuk WMI (T1047) för att lateralt köra dynamiska länkbibliotek (DLL).

norm_id=WinServer event_id=4688 "process"="*\wmic.exe" command="*/node*process call create*"

Ofta använder Ryuk-aktörerna sig av Remote Desktop Protocol (RDP) (T1021.001) för lateral movement eller aktivering av den slutliga Ryuk-lasten. För det mesta initierar Ryuk-aktörerna RDP-anslutning från den komprometterade domänkontrollern. Loggar från TerminalServices/RemoteConnectionManager anger käll-IP-adressen varifrån aktörerna initierade RDP-anslutningen.

Vi kan alltså hålla utkik efter alla RDP-anslutningar från alla DC till en arbetsstation.

norm_id=WinServer event_source="Microsoft-Windows-TerminalServices-RemoteConnectionManager" event_id=1149
| rename eventxml.param3 as source_address
| search source_address IN WINDOWS_DC

Förutom RDP släpper Ryuk-aktörerna skadliga DLL eller EXE i Perflogs och kör dessa senare via rundll32 (T1218.011) eller regsvr32 (T1218.010).

norm_id=WindowsSysmon event_id=11 file IN ["*.dll", "*.exe"] path="C:\Perflogs"

norm_id=WinServer event_id=4688 "process" IN ["*\rundll32.exe", "*\regsvr32.exe"] command="*C:\Perflogs*.dll*"

Ryuk har också lagt till funktionen Wake-On-LAN för att väcka vilande enheter i nätverket.

norm_id=WinServer event_id=4688 "process"="*.exe" command="* 8 LAN*"

Exfiltration

Ryuk-operatörerna använder en batch-fil (vanligtvis kill.bat) som anropar taskkill för att avbryta olika processer så att krypteringsprocessen går smidigare.(T1048.003), Detta är något vi enkelt kan upptäcka via Sysmon.

norm_id=WindowsSysmon (event_id=1 image="*\ftp.exe") OR (event_id=3 destination_port=21)

Påverkan

Ryuk-operatörerna använder en batch-fil (vanligtvis kill.bat) som anropar taskkill för att avbryta olika processer så att krypteringsprocessen går smidigare.

norm_id=WinServer event_id=4688 parent_process="*\cmd.exe" "process"="*\taskkill.exe"
| chart count() as cnt by host
| search cnt > 2

Ryuk stoppar olika tjänster så som Security Accounts Manager Service (samss) (T1489) via nätkommandot, som kan fungera som en high fidelity-indikator.

norm_id=WinServer event_id=4688 "process" IN ["*\net.exe", "*\net1.exe"] command IN ["*stop *samss*"]

Precis som normen inom utpressningstrojaner använder Ryuk WMI eller vssadmin för att ta bort volymskuggkopior för att försvåra återställningen.

norm_id=WinServer event_id=4688 ("process"="*\wmic.exe" command="*shadowcopy delete*") OR ("process"="*\vssadmin.exe" command="*delete shadows*quiet*")

Slutligen vill operatörerna säkerställa att återställningen efter infektionen blir så svår som möjligt. Ryuk-operatörerna använder bcedit.exe (Boot Configuration Data Editor) för att inaktivera Windows-funktionen automatisk reparation vid uppstart (T1490), samt för att ändra policy för startstatus så att alla fel ignoreras.

norm_id=WinServer event_id=4688 "process"="*\cmd.exe" command IN ["*bootstatuspolicy ignoreallfailures*", "*bcdedit /set*recoveryenabled no*"]

Det är viktigt att minska svarstiden vid incidenter

Redan innan återkomsten hade Ryuk skapat sig ett starkt rykte bland utpressningstrojaner. Nu måste Blue Team verkligen ligga i för att ligga steget före genom att bygga upp försvar mot nyare TTP:er som används av Ryuk-aktörerna. Eftersom Ryuk förlitar sig på ”droppers” och annan skadlig programvara innan placeras ut så finns det flera detekteringsmöjligheter i de olika stadierna.

Det är vanligt att ransomware-grupper inleder samarbete med andra cyberkriminella grupper, även kallat ”initial access brokers”. ”Initial access brokers” fungerar som en leveranskedja för kriminella underjordiska grupper och ger dem tillgång till en rad olika komprometterade system. Genom att använda system som redan är komprometterade kan ransomware-grupperna enkelt få tillgång till organisationens interna nätverk, därifrån kan de sedan eskalera behörigheter, flytta sig lateralt och slutligen aktivera sina utpressningstrojaner.

Ryuk-operatörerna agerar numera snabbare än någonsin efter den första infektionen för att så snabbt som möjligt aktivera sina utpressningstrojaner. Vi råder Blue Team att använda CISA:s larm för Ryuk, för att förstärka sin infrastruktur mot Ryuk och andra utpressningstrojaner. På så sätt kommer det aldrig att vara för sent att undvika katastrofer.

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews