UA-53940618-1 RYUK Ransomware Information
  • atapia73

RYUK Ransomware Information



Ryuk es un ransomware que ganó notoriedad en diciembre de 2018 cuando interrumpió las operaciones de varios periódicos estadounidenses importantes. Un análisis anterior de Checkpoint en agosto de 2018 señaló que Ryuk se estaba utilizando exclusivamente para ataques dirigidos, siendo sus objetivos principales los activos críticos de sus víctimas. Unos meses antes del ataque de diciembre, el ataque de Ryuk logró extorsionar más de $ 600,000 en bitcoins de varias grandes empresas.


Una reciente actualización instantánea del FBI reveló que más de 100 organizaciones en todo el mundo han sufrido ataques de Ryuk desde agosto de 2018. Las víctimas provienen de diferentes industrias, siendo las más comunes las empresas de logística y tecnología, así como los pequeños municipios. La actualización también mencionó que identificar los vectores de infección de Ryuk es difícil dado que el ransomware generalmente eliminará toda evidencia de su cuentagotas como parte de su rutina. Sin embargo, dados los incidentes anteriores, los métodos de entrega para Ryuk pueden ser muy variados; por ejemplo, otro malware como Emotet o Trickbot puede descartarlo. Los atacantes también pueden aprovechar defectos o puntos débiles en el sistema para obtener acceso a la red de una organización.


Comportamiento

Omite productos antivirus

· Mantiene la persistencia en la máquina objetivo.

· Se ejecuta como un proceso legítimo inyectando en el proceso de Windows

· Termina procesos

· Servicios de paradas


Capacidades

· Robo de información

· Cifrado de archivos

· Deshabilitar la capacidad de uso

Rutina de infección



Al igual que Samas y BitPaymer, Ryuk se utiliza específicamente para entornos empresariales de destino. La comparación de códigos entre versiones de Ryuk y Hermes ransomware indica que Ryuk se derivó del código fuente de Hermes y ha estado en constante desarrollo desde su lanzamiento.


Hermes es ransomware de productos básicos que se ha observado para la venta en foros y utilizado por múltiples actores de amenazas.


Sin embargo, Ryuk solo es utilizado por WIZARD SPIDER y, a diferencia de Hermes, Ryuk solo se ha utilizado para entornos empresariales. Desde la aparición de Ryuk en agosto, los actores de amenazas que lo operaron han acumulado más de 705.80 BTC en 52 transacciones por un valor actual total de $ 3,701,893.98 USD.


1. Notas de rescate de Ryuk

La nota de rescate de Ryuk está escrita en un archivo llamado RyukReadMe.txt. Se han observado varias plantillas de notas de rescate diferentes. El cuerpo de la plantilla es estático con la excepción de la dirección de correo electrónico y la dirección de la billetera Bitcoin (BTC), que puede cambiar. Las direcciones de correo electrónico generalmente contienen una dirección en protonmail.com y otra dirección en tutanota.com. Los nombres de correo electrónico generalmente son actores y directores esotéricos, pero también se han observado modelos de Instagram. Curiosamente, la nota de rescate en la Figura 3 es notablemente similar a las notas de rescate de BitPaymer. Al momento de escribir este artículo, no está claro si WIZARD SPIDER está copiando los TTP (tácticas, técnicas y procedimientos) y notas de rescate de BitPaymer, o si los grupos pueden compartir información entre ellos.



Figura 3. Ryuk Ransom Note tiene un gran parecido con BitPaymer

El correo electrónico de rescate utilizado por Ryuk parece ser único para cada ejecutable compilado. Al utilizar la inteligencia de amenazas, nuestro equipo ha observado varias direcciones de correo electrónico diferentes, pero las mismas direcciones BTC en múltiples ejecutables de Ryuk. El 29 de noviembre de 2018, WIZARD SPIDER cambió la forma en que se comunicaban con sus víctimas. Como se vio en la versión anterior de la nota de rescate, WIZARD SPIDER incluía su dirección BTC y direcciones de correo electrónico. Sin embargo, las variantes recientes de Ryuk ya no contienen la dirección BTC, solo las direcciones de correo electrónico. La nota de rescate indica que la víctima recibirá la dirección de BTC como respuesta de WIZARD SPIDER. La nueva nota de rescate se puede ver a continuación.



Figura 4. Ryuk Ransom con la dirección BTC eliminada

Los primeros binarios de Ryuk con la eliminación de la dirección BTC contenían una ruta PDB de C: \ Users \ Admin \ Documents \ Visual Studio 2015 \ Projects \ ConsoleApplication54new intento cifrado para limpiar \ x64 \ Release \ ConsoleApplication54.pdb. Esta ruta de PDB comenzó a aparecer el 29 de noviembre de 2018. La eliminación de las direcciones de BTC se produjo un día después de que el Departamento de Justicia de EE. UU. Revelara las acusaciones para dos personas involucradas en facilitar retiros de direcciones de Samas Bitcoin.




Ryuk contiene la misma lógica, pero ya no genera el par de claves RSA específico de la víctima. En cambio, Ryuk tiene dos claves RSA públicas incrustadas en el ejecutable, y lo que anteriormente era la clave privada RSA de la víctima está encriptada e incrustada en el ejecutable. Debido a que Ryuk no genera un par de claves RSA específicas de la víctima, todos los hosts se pueden descifrar con la misma clave de descifrado. Esto puede parecer un defecto de diseño, pero no lo es, ya que Ryuk tiene una clave única para cada ejecutable.


Si se usa un solo ejecutable para un entorno de una sola víctima, entonces no hay repercusiones si las claves privadas se filtran porque solo descifrará el daño de un solo ejecutable de Ryuk. Por lo tanto, es muy probable que Ryuk genere previamente los pares de claves RSA para cada víctima. Esto es posiblemente más seguro, ya que el sistema de la víctima nunca tendrá acceso a los parámetros del par de claves RSA sin cifrar sin pagar el rescate. Este enfoque es similar al ransomware BitPaymer de INDRIK SPIDER, que genera una muestra específica de la víctima con una clave pública codificada.


4. Funcionalidad Ryuk: un análisis técnico


Hay dos tipos de binarios de Ryuk: un cuentagotas (que no se observa comúnmente) y la carga útil ejecutable de Ryuk. La recuperación de los cuentagotas Ryuk es rara, debido a que la carga útil ejecutable de Ryuk elimina el cuentagotas cuando se ejecuta. Tras la ejecución, el cuentagotas construye una ruta de carpeta de instalación. La ruta de la carpeta se crea llamando a GetWindowsDirectoryW y luego insertando un byte nulo en el cuarto carácter de la ruta. Esto se utiliza para crear una cadena que contiene la ruta de la letra de unidad. Si el sistema operativo del host es Windows XP o anterior, la cadena Documentos y configuraciones \ Usuario predeterminado \ se adjunta a la ruta de la letra de la unidad. Si el host es Windows Vista o más reciente, la cadena de usuarios \ Public \ se agrega a la ruta de la letra de la unidad. Para Windows XP, una ruta de carpeta de ejemplo sería C: \ Documents and Settings \ Default User \, y para Windows Vista o superior, la ruta sería C: \ Users \ Public.


Luego se construye un nombre de archivo ejecutable aleatorio. Se crea llamando a _srand con un valor semilla devuelto al llamar a GetTickCount, luego se llama _rand continuamente hasta que cinco caracteres alfabéticos se concatenan juntos. Luego se agrega la extensión .exe. El cuentagotas comprueba si el host es de 32 bits o de 64 bits llamando a IsWow64Process y escribe uno de los dos ejecutables de carga útil integrados que corresponden a la arquitectura del host. El ejecutable recién escrito se ejecuta llamando a ShellExecuteW. El ejecutable de carga útil de Ryuk escrito por el cuentagotas es el componente de Ryuk que contiene la lógica central para encriptar archivos en el host.


Ryuk está en constante desarrollo. En los últimos meses, los archivos binarios de Ryuk han seguido desviándose más y más del código fuente original de Hermes, con los actores de amenazas agregando y eliminando funcionalidades a menudo. En noviembre de 2018, Falcon Intelligence identificó una nueva funcionalidad agregada a Ryuk que incluía un bucle infinito anti-análisis, una solicitud similar a un ping a una dirección IP una vez que se completó el proceso de encriptación, y la adición de una extensión de archivo adjunta para archivos encriptados. De estas tres nuevas características, solo la extensión del archivo todavía está presente en un ejecutable compilado el 20 de diciembre de 2018.



Recomendaciones:

Para mayor información compartimos algunos indicadores de Compromiso, para que puedan integrarlos en las diferentes capas de Seguridad que tengan de click

64 vistas
  • w-facebook
  • Twitter Clean
  • White Google+ Icon

© 2023 CONSULTORA DE NEGOCIOS. Hecho con  Wix.com

  • Facebook
  • Twitter
  • Icono social LinkedIn
  • YouTube