HACKING

Ryuk ransomware συμμορία:Πώς κέρδισε $ 34 εκατομμύρια από ένα θύμα;

This post was originally published on this site

Μια από τις πιο γνωστές ransomware συμμορίες, που στοχεύει μεγάλες εταιρείες και οργανισμούς, κατάφερε να πάρει 34 εκατομμύρια δολάρια από ένα μόνο θύμα με αντάλλαγμα το κλειδί αποκρυπτογράφησης που “ελευθέρωσε” τους υπολογιστές του από το ransomware. Το επίτευγμα αυτό ανήκει στους hackers πίσω από το Ryuk ransomware.

Οι συγκεκριμένοι hackers καταφέρνουν να παραβιάσουν τα εταιρικά δίκτυα, να εξαπλωθούν σε διαφορετικές συσκευές και να καλύψουν τα ίχνη τους, πριν πυροδοτήσουν το Ryuk ransomware.

Η ομάδα είναι γνωστή και ως group “one” και είναι αδίστακτη με τα θύματά της. Συχνά, χρησιμοποιεί το Trickbot botnet στο πρώτο στάδιο της επίθεσης.

Σύμφωνα με τον Vitali Kremez της Advanced Intelligence, τα πρόσφατα θύματα του Ryuk group “one” περιλαμβάνουν εταιρείες στον τομέα της τεχνολογίας, της υγειονομικής περίθαλψης, της ενέργειας, των χρηματοοικονομικών υπηρεσιών. Επίσης, στόχο αποτελούν και οι κυβερνητικές υπηρεσίες.

Οι οργανισμοί υγειονομικής περίθαλψης και κοινωνικών υπηρεσιών είναι ένας από τους αγαπημένους στόχους της συμμορίας Ryuk (13% των επιθέσεων).

Το Ryuk είναι ένα από τα πιο δημοφιλή ransomware. Σύμφωνα με μια έκθεση της Check Point, η συμμορία πραγματοποιούσε κατά μέσο όρο 20 επιθέσεις την εβδομάδα, κατά το τρίτο τρίμηνο του 2020.

Μερικά από τα πιο πρόσφατα θύματα της συμμορίας είναι: η Universal Health Services (UHS), ηSopra Steria, η δικηγορική εταιρεία Seyfarth Shaw, η εταιρεία κατασκευής επίπλων Steelcase και νοσοκομεία στο Brooklyn και το Vermont.

Ο ερευνητής λέει ότι οι hackers ζητούν κατά μέσο όρο 48 bitcoin (σχεδόν 750.000 $). Λέγεται ότι κατά τη διάρκεια του 2018, οι εγκληματίες κέρδισαν τουλάχιστον 150 εκατομμύρια δολάρια.

Ο Kremez δημοσίευσε μια έκθεση, στην οποία αναφέρει ότι η ρωσική ransomware συμμορία είναι πολύ σκληρή στις διαπραγματεύσεις της και σπάνια δείχνει επιείκεια. Η μεγαλύτερη επιβεβαιωμένη πληρωμή που έλαβε ήταν 2.200 bitcoin, η οποία σήμερα είναι κοντά στα 34 εκατομμύρια δολάρια.

Επίθεση 15 βημάτων

Αναλύοντας τις επιθέσεις, ο Kremez σημειώνει ότι η Ryuk ransomware συμμορία ακολουθεί 15 βήματα για να βρει διαθέσιμους υπολογιστές στο δίκτυο, να κλέψει admin credentials και να αναπτύξει το Ryuk ransomware.

Οι hackers χρησιμοποιούν λογισμικά που χρησιμοποιούνται και από red-teams για τον έλεγχο της ασφάλειας του δικτύου:

  • Mimikatz: post-exploitation εργαλείο για την κλοπή credentials από τη μνήμη
  • PowerShell PowerSploit: μια συλλογή PowerShell scripts
  • LaZagne: παρόμοιο με το Mimikatz, που χρησιμοποιείται για τη συλλογή κωδικών πρόσβασης από τοπικά αποθηκευμένο λογισμικό
  • AdFind: Active Directory query εργαλείο
  • Bloodhound: post-exploitation εργαλείο
  • PsExec: επιτρέπει την εκτέλεση διεργασιών σε συστήματα απομακρυσμένα

Η αλυσίδα επίθεσης ξεκινά με την εκτέλεση της Cobalt Strike “invoke” εντολής για την εκτέλεση του “DACheck.ps1” script. Με αυτόν τον τρόπο, οι hackers ελέγχουν αν ο τρέχων χρήστης είναι μέλος ενός Domain Admin group.

Από εκεί, ανακτώνται οι κωδικοί πρόσβασης μέσω του Mimikatz, το δίκτυο χαρτογραφείται και οι κεντρικοί υπολογιστές αναγνωρίζονται μετά από σάρωση για FTP, SSH, SMB, RDP και VNC πρωτόκολλα.

Ακολουθεί η επίθεση των 15 βημάτων της Ryuk ransomware συμμορίας, σύμφωνα με τον Kremez:

  1. Εξέταση domain admin μέσω του “Invoke-DACheck” script
  2. Συλλογή κωδικών πρόσβασης μέσω του Mimikatz “mimikatz’s sekurlsa :: logonpasswords”
  3. Επαναφορά του token και δημιουργία token για το administrative comment από το Mimikatz command output
  4. Έλεγχος του δικτύου μέσω “net view”
  5. Σάρωση για πρωτόκολλα FTP, SSH, SMB, RDP, VNC
  6. Δημιουργία λίστας για την πρόσβαση στους διαθέσιμους κεντρικούς υπολογιστές
  7. Μεταφόρτωση του “AdFind” kit με το batch script “adf.bat” από το “net view”
  8. Εμφάνιση του ονόματος του antivirus μέσω της εντολής “WMIC”
  9. Μεταφόρτωση του εργαλείου “LaZagne” για σάρωση του κεντρικού υπολογιστή
  10. Αφαίρεση του εργαλείου
  11. Εκτέλεση του ADFind και αποθήκευση των ouputs
  12. Διαγραφή του AdFind και λήψη των ouputs
  13. Παραχώρηση πρόσβασης στο Ryuk ransomware
  14. Μεταφόρτωση του λογισμικού απομακρυσμένης εκτέλεσης “PSExec” και απεγκατάσταση του antivirus
  15. Μεταφόρτωση batch scripts και εκτέλεση του Ryuk ransomware

Πηγή: Bleeping Computer

https://www.secnews.gr/security/feed



%d bloggers like this: