Ryuk 勒索软件更新后具有“蠕虫般的功能”

多产的Ryuk勒索软件袖手旁观。臭名昭著的加密锁恶意软件背后的开发人员已使攻击代码能够在受感染网络内部的系统之间传播自己。

根据法国政府计算机CERT-FR星期四发布的Ryuk报告，“在2021年初由ANSSI处理的事件响应中，发现了具有蠕虫功能的Ryuk样本-允许其在受感染的网络中自动传播。”属于法国国家网络安全局（ANSSI）的应急准备小组。

具体地说，蠕虫般的行为是通过“使用计划任务”来实现的，通过这种任务，“恶意软件会在Windows域内以机器到机器的方式自我传播，” CERT-FR说。“一旦启动，它将在可能进行Windows RPC访问的每台可访问的计算机上传播。” 远程过程调用是Windows进程相互通信的一种机制。

使用此功能更新Ryuk是值得注意的，因为它是一种人为操作的勒索软件，这意味着攻击者获得对系统的远程访问权限后，他们将对系统进行手动侦察，删除恶意可执行文件并随后触发它们。但是，为勒索软件提供蠕虫般的功能意味着，攻击者似乎正在试图更好地实现其自动化功能，从而可以将恶意软件从最初的受感染系统中快速散布到整个网络中，从而缩短了“入侵感染”的时间。

谁开发Ryuk的人都有能力将网络协议变成他们的优势。2019年11月，网络安全公司CrowdStrike指出，Ryuk已更新，可以扫描受感染系统上的地址解析协议（也称为ARP）表，以获取已知系统及其IP和MAC地址的列表。

然后，对于检测到的属于私有IP地址范围的系统，该恶意软件被编程为使用Windows的LAN唤醒命令，将数据包发送到设备的MAC地址，指示其唤醒，然后恶意软件可以远程加密驱动器。

CrowdStrike将Ryuk与身份不明的俄罗斯网络犯罪行为者联系起来，后者被称为帮派巫师蜘蛛（蜘蛛网），而网络安全公司FireEye将Ryuk称为UNC1878，又名One Group。UNC代表未分类，是指涉及具有不同参与者的多个阶段的攻击。

多产勒索软件

Ryuk行动的攻击规模和获利能力均十分显着。CERT-FR报告称：“ Ryuk勒索软件于2018年8月首次发现，此后已用于大型游戏狩猎活动。”

大型狩猎活动是指专注于较大目标的犯罪团伙。许多帮派发现，只需付出很少的额外努力，他们就可以击落更大的目标并获得更大的回报。

CERT-FR指出，Ryuk团伙以攻击美国医疗保健行业的倾向而出名，该团伙主要针对美国和加拿大的组织。它最明显的明显降价之一是在2020年9月遭到美国主要医院连锁机构Universal Health Services的打击。

CERT-FR说，Ryuk攻击的特征还在于“使用了不同的感染链，并且Bazar-Ryuk链的速度极快，而且没有专门的泄漏站点。” 这种缺席是值得注意的，因为现在许多帮派都有泄漏现场，他们可以在其中泄漏受害者的姓名并使其感到羞耻，并泄漏被盗的数据以试图迫使受害者付款。

起源故事

琉球从哪里来？

当Ryuk于2018年出现时，它是Hermes 2.1版勒索软件的一种变体，似乎是从网络犯罪集团CryptoTech以300美元的价格购买的，该软件声称已经建立了Hermes。

专家表示，目前尚不清楚消失的CryptoTech随后是否成为Ryuk还是一个完全不同的组织突然成立。

CERT-FR指出，Ryuk似乎没有在任何网络犯罪论坛上出售，并且尚不清楚背后是否存在多个团体，尽管一些安全专家认为确实如此。

“大多数Ryuk勒索软件都是由直接放置了RDP端口，利用电子邮件网络钓鱼通过员工的计算机通过网络钓鱼或通过恶意附件，下载，应用程序补丁利用或漏洞获取网络访问权限的黑客直接植入的，勒索软件事件响应公司Coveware说。

如果系统被Ryuk感染，则该恶意软件会强制加密多种类型的文件-通常添加“ .ryk”或“ .rcrypted”扩展名-然后删除原始文件。该恶意软件还针对Windows中的卷影副本，使受害者恢复已删除文件的尝试复杂化。

多产应变

Coveware报告称，根据2020年第四季度调查的数千起案件，Ryuk是勒索软件中第三大流行类型，占9％的时间，紧随其后的是Sodinokibi（又名REvil）和Egregor，后者似乎是继任者迷宫。

考虑到Ryuk以前很安静，尤其是去年4月，5月和6月，Ryuk是勒索软件的第三大常见类型。但是到了第四季度，勒索软件已经重新合并，然后在2020年底再次安静下来，“使多个受害者无法选择恢复他们的数据，” Coveware报道。

今年1月，两名安全研究人员报告说，他们已经能够追踪Ryuk及其分支机构用来处理受害者勒索软件付款的61个比特币地址。Advanced Intelligence的首席执行官Vitali Kremez和安全公司HYAS的首席研究员Brian Carter指出，赎金的支付范围从数千美元到数百万美元不等，其中许多是由中间经纪人处理的。

通过追踪Ryuk的已知地址的比特币交易，研究人员得出结论，“犯罪企业”似乎已经积累了“超过1.5亿美元”的利润。

某些勒索软件操作基于“勒索软件即服务”模型，其中运营商向多个关联公司提供恶意可执行文件，然后在受害者支付赎金时与这些关联公司分享利润。

专家说，尚不清楚Ryuk是否使用这种类型的RaaS模型。安全公司Emsisoft的威胁分析师布雷特·卡洛（Brett Callow）说：“琉球由许多威胁行为者经营，不同的行为者具有非常独特的谈判风格。” “这是否是会员业务尚不清楚。”

Ryuk通常通过MaaS加载程序分发

Ryuk背后的任何人都会利用其他恶意软件即服务产品，例如，将勒索软件安装到受害者的系统上。Ryuk之前还作为涉及Emotet和TrickBot恶意软件即服务产品的三连击的一部分进行分发，这些产品通常会将Bazar加载程序拖放到随后安装Ryuk的系统上 。

去年10月，安全公司Sophos指出，越来越多的Ryuk感染也正在追踪使用Buer loader的攻击者，后者是一种恶意软件即服务工具，旨在将恶意可执行文件丢弃到2019年首次出现的系统上。替代Emotet和Trickbot的Bazar“装载机。

许多装载程序都是通过网络钓鱼攻击传播的，导致Ryuk的感染似乎也不例外。

人类操作勒索软件

专家说，Ryuk最终感染系统与攻击者远程登录，进行侦察，枚举网络并可能发起全面攻击之间可能会有时间差。当然，任何可以检测到此类活动的入侵后迹象的组织，都有机会在攻击者可以使用密码锁定系统之前将其驱逐出去。

“ Ryuk勒索软件通常要等到初次感染后的一段时间（从几天到几个月）才能观察到，这使参与者有时间在受感染的网络内部进行侦察，确定并确定关键网络系统的目标，从而最大程度地利用该漏洞。攻击”，英国国家网络安全中心在Ryuk的2019年6月概述中指出。“但是如果检测到并纠正了最初的感染，它也可能提供减轻勒索软件攻击发生前的潜力。”

NCSC在2019年报告说：“ Ryuk勒索软件本身不具备在网络内横向移动的能力”，这意味着攻击者将首先进行网络侦察，确定要利用的系统，然后运行工具和脚本来传播加密锁定的恶意软件。

根据事件报告，许多（但不是全部）Ryuk攻击似乎与PsExec的使用有关，PsExec是Windows Sysinternals实用程序，可提供类似于telnet的功能，并使管理员能够在系统上远程执行进程。

使用PsExec可帮助攻击者自动化网络内勒索软件分发的某些方面。Sophos在一份报告中说：“攻击者制作了一个脚本，列出了收集的目标计算机，并将它们与PsExec，特权域帐户和勒索软件结合在一起。”

“此脚本先后将勒索软件复制并执行到对等计算机上。根据目标计算机的数量，此过程不到一个小时即可完成。受害人发现正在发生的事情时，为时已晚，因为这些攻击通常会发生在午夜时IT人员正在睡觉。”

通过CERT-FR警告，Ryuk现在具有类似蠕虫的功能，攻击者现在显然已经具有更快地将恶意软件传播到网络内部的能力。

原文来自: FreeBuf