Secondo un articolo di Universal Health Services (UHS), una società (Fortune 500) fornitore di servizi sanitari, ha riferito di aver spento i sistemi nelle strutture negli USA dopo che il ransomware Ryuk ha colpito la sua rete, verso fine 2020.
Cosa è e come agisce il ransomware Ryuk
Ryuk rappresenta una sofisticata minaccia ransomware che prende di mira aziende, ospedali e istituzioni governative di tutto il mondo. A differenza dei principali ransomware che prendono di mira ogni tipo di vittima, Ryuk viene generalmente utilizzato per attacchi personalizzati. Gli attaccanti utilizzano principalmente tecniche di hacking manuale e strumenti open source per effettuare movimenti laterali su una rete privata e ottenere in seguito l’accesso amministrativo.
Ryuk nasce come revisione del ransomware Hermes. Sia Hermes che Ryuk sono noti per l’identificazione e la crittografia dei dispositivi di rete e l’eliminazione delle copie shadow archiviate sugli endpoint. Il riscatto richiesto dagli aggressori è solitamente esorbitante poiché il numero di processi manuali per avviare questo attacco è elevato. Questi processi manuali includono un’ampia mappatura della rete, la raccolta delle credenziali e lo sfruttamento diretto, che hanno luogo prima di ogni operazione.
In che modo il ransomware Ryuk penetra nelle reti?
Le diverse fasi dell’attacco ransomware Ryuk sono: Intrusione, Movimento laterale ed Esfiltrazione dei dati.
Esistono diverse modalità con cui viene avviato un attacco, come ad esempio e-mail di phishing, oppure visitando siti Web non protetti o facendo clic su popup casuali. Ryuk è quasi sempre distribuito tramite bot, come TrickBot o Emotet, che forniscono accesso diretto alla rete della vittima.
In genere, l’implementazione di Ryuk avviene settimane dopo la prima comparsa del bot sulla rete. Questo consente quindi al bot di rubare informazioni sensibili, rendendo l’organizzazione vulnerabile anche prima dell’attacco vero e proprio.
L’attaccante utilizza quindi i dati raccolti dal bot per identificare la potenziale rete in cui Ryuk può essere distribuito: questo completa il ciclo di intrusione. Una volta all’interno della rete, l’aggressore avvia attività di hacking manuali, come la ricognizione della rete e lo spostamento laterale, che aiutano a compromettere i Domain Controller e danno loro accesso al maggior numero possibile di sistemi.
Tecniche utilizzate nell’encryption
Una volta che gli aggressori trovano un sistema adatto, vengono caricati due file all’interno di una sottocartella all’interno della directory. L’attaccante carica quindi due file all’interno della directory. I due file sono: PUBLIC e PUBLIC KEY RSA.
Una volta eseguito il binario Ryuk, l’eseguibile crea una copia di se stesso, da eseguire con l’argomento “8 LAN”. Questa funzione utilizza la tabella ARP del dispositivo per trovare le macchine sulla LAN locale e inviare loro pacchetti Wake-on-Lan, che in caso di successo montano la condivisione C$ sulla macchina e procede alla crittografia dell’unità remota.
Sia il binario originale che la copia rilasciata (ltbyhrc.exe) eseguono le stesse attività: tentano di arrestare i servizi “audioendpointbuilder”, “samss” e “sqlwriter”, quindi tentano di eliminare le copie shadow e creare la persistenza.
Prima della crittografia, il malware utilizza anche icacls.exe – un programma per modificare gli elenchi di controllo degli accessi – per darsi il pieno controllo su tutti i file e le cartelle sulle unità C: e D:. Il binario originale può anche essere visto iniettare in altri processi che Cybereason rileva e contrassegna con sospetti di codice eseguibile mobile.
L’esecuzione corretta crittograferà i file utente e aggiungerà loro un’estensione .RYK. Per evitare di danneggiare il sistema, alcuni file come i file .DLL e .EXE non sono crittografati. Le cartelle attraversate da Ryuk contengono un file “RyukReadMe.html”, che in questo esempio è molto scarno, contiene semplicemente il nome del malware e un indirizzo di posta senza ulteriori istruzioni.
Ryuk è in grado di crittografare i file ad eccezione di quelli con estensioni .dll, .lnk, .hrmlog, .ini e .exe. Sono esclusi anche i file archiviati nelle directory Windows\System32, Chrome, Mozilla, Internet Explorer e Cestino. Questo è probabilmente consentito al fine di consentire alla vittima di utilizzare un browser per pagare il riscatto.
Ryuk utilizza tecniche estremamente robuste di crittografia. I file sono in genere crittografati utilizzando AES-256 e le chiavi dei file sono archiviate in un file con estensione .ryk. Le chiavi AES vengono quindi crittografate con una coppia di chiavi pubbliche private RSA-4096 che è controllata interamente dall’attaccante.
Ryuk è considerato un attacco maligno in quanto implica la crittografia di diverse chiavi con altre chiavi e l’intero processo è fatto su misura per vittime specifiche. Ciò significa che, anche se la chiave privata di una vittima viene pubblicata, non aiuterà a decifrare i file appartenenti a un’altra vittima.
Cosa rende Ryuk così critico?
Attualmente nessuno strumento è stato in grado di decifrare i file Ryuk. Inoltre, la chiave di decrittazione fornita dall’aggressore, anche dopo il pagamento del riscatto, a volte danneggia i file. E, anche dopo il processo di ripristino, l’attaccante può ancora corrompere i file essenziali necessari per le operazioni del sistema.
Come qualsiasi altro programma ransomware, Ryuk tenta di accedere ed eliminare le copie shadow dei dati archiviati nel sistema per evitare il ripristino con mezzi alternativi. Contiene anche uno script kill.bat che disabilita servizi importanti, come i backup di rete e l’antivirus di Windows Defender.
Come mitigare un attacco ransomware tramite Ryuk
Per difendersi con successo dagli attacchi ransomware, è essenziale seguire alcune best practice di base in ambito sicurezza. Sfortunatamente, alcune organizzazioni a volte disabilitano temporaneamente il proprio antivirus o altri controlli di sicurezza per migliorare le prestazioni del proprio sistema. Tuttavia, anche disabilitare i sistemi di sicurezza per un breve periodo offre agli hacker l’opportunità di entrare e interrompere la rete.
Alcuni degli altri punti deboli comunemente sfruttati in una rete sono:
– Mancanza di firewall
– Protezione dell’identità senza autenticazione a più fattori (MFA)
– Avere credenziali di dominio deboli
– Disabilitazione del sistema di prevenzione delle intrusioni
Essendo comunque difficile da mitigare, una volta che questo ransomware si impadronisce di un sistema, quindi il metodo migliore è prevenire l’infezione. Le aziende e le organizzazioni dovrebbero formare regolarmente i dipendenti per identificare potenziali e-mail di phishing contenenti allegati carichi di malware, investire in malware e software antivirus per identificare e bloccare le minacce. Ancora più importante, è fondamentale seguire la strategia 3-2-1 dei backup.
