Momok Ryuk memiliki trik baru di gudang senjata: Replikasi diri melalui pembagian SMB dan pemindaian port.
Sebuah versi baru dari ransomware Ryuk mampu menyebarkan diri seperti worm dalam jaringan lokal, para peneliti telah menemukan.
Varian ini pertama kali muncul dalam kampanye yang berfokus pada Windows pada awal 2021, menurut Badan Nasional Prancis untuk Keamanan Sistem Informasi (ANSSI).
Agensi mengatakan bahwa itu mencapai replikasi diri dengan memindai jaringan yang dibagikan, dan kemudian menyalin versi unik dari ransomware yang dapat dieksekusi (dengan nama file rep.exe atau lan.exe) ke masing-masing saat ditemukan.
“Ryuk mencari share jaringan pada infrastruktur IT korban. Untuk melakukannya, beberapa rentang IP pribadi dipindai: 10.0.0.0/8; 172.16.0.0/16; dan 192.168.0.0/16, ”menurut laporan ANSSI terbaru . "Setelah diluncurkan, ini akan menyebar dengan sendirinya di setiap mesin yang dapat dijangkau yang memungkinkan akses Panggilan Prosedur Jarak Jauh Windows."
Versi baru Ryuk juga membaca melalui tabel Address Resolution Protocol (ARP) perangkat yang terinfeksi, yang menyimpan alamat IP dan alamat MAC dari perangkat jaringan apa pun yang berkomunikasi dengan mesin. Kemudian, menurut ANSSI, ia mengirimkan paket "Wake-On-LAN" ke setiap host, untuk membangunkan komputer yang dimatikan.
"Ini menghasilkan setiap kemungkinan alamat IP di jaringan lokal dan mengirimkan ping ICMP ke masing-masing jaringan," menurut ANSSI. “Ini mencantumkan alamat IP dari cache ARP lokal dan mengirimkan mereka paket [bangun].”
Untuk setiap host yang teridentifikasi, Ryuk kemudian akan mencoba untuk me-mount kemungkinan berbagi jaringan menggunakan SMB, atau Server Message Block, menurut laporan tersebut. SMB adalah fungsi Windows yang memungkinkan berbagi, membuka atau mengedit file dengan / di komputer dan server jarak jauh.
Setelah semua bagian jaringan yang tersedia diidentifikasi atau dibuat, payload kemudian diinstal pada target baru dan dijalankan sendiri menggunakan tugas terjadwal, memungkinkan Ryuk untuk mengenkripsi konten target dan menghapus Volume Shadow Copies untuk mencegah pemulihan file. .
"Tugas terjadwal dibuat melalui panggilan ke alat sistem schtasks.exe, alat Windows asli," jelas ANSSI.
File dienkripsi menggunakan Microsoft CryptoAPI dengan algoritma AES256, menggunakan kunci AES unik yang dibuat untuk setiap file. Kunci AES juga dibungkus dengan kunci publik RSA yang disimpan dalam kode biner, menurut analisis.
Malware juga mengganggu beberapa program berdasarkan daftar hardcode, termasuk daftar 41 proses yang akan dimatikan (task kill) dan daftar 64 layanan yang harus dihentikan, ANSSI menemukan.
Cara Mengatasi Infeksi Worm Ryuk
Untuk menghindari infeksi, ransomware Ryuk biasanya dimuat oleh malware "penetes" awal yang bertindak sebagai ujung tombak dalam serangan apa pun; ini termasuk Emotet , TrickBot, Qakbot dan Zloader, antara lain. Dari sana, penyerang ingin meningkatkan hak istimewa untuk mengatur gerakan lateral.
Oleh karena itu, pertahanan yang efektif harus melibatkan pengembangan tindakan pencegahan yang akan mencegah pijakan awal tersebut.
Setelah terinfeksi, segalanya menjadi lebih rumit. Dalam kampanye 2021 yang diamati oleh para peneliti ANSSI, titik infeksi awal adalah akun domain dengan hak istimewa. Dan analisis menunjukkan bahwa penyebaran seperti worm dari versi Ryuk ini tidak dapat digagalkan dengan menghentikan titik infeksi awal ini.
"Akun dengan hak istimewa dari domain digunakan untuk penyebaran malware," menurut laporan itu. “Jika kata sandi pengguna ini diubah, replikasi akan berlanjut selama tiket Kerberos [kunci otentikasi] tidak kedaluwarsa. Jika akun pengguna dinonaktifkan, masalahnya akan tetap sama. ”
Dan di atas fungsi perbanyakan sendiri, versi Ryuk ini juga tidak memiliki mekanisme pengecualian apa pun, yang berarti tidak ada yang mencegah infeksi pada mesin yang sama berulang kali, yang membuat fumigasi lebih sulit.
Malware versi sebelumnya menggunakan Mutual Exclusion Objects (MUTEX) untuk memastikan bahwa setiap host hanya memiliki akses ke satu proses Ryuk pada satu waktu.
"Karena malware tidak memeriksa apakah mesin telah terinfeksi, tidak ada pembuatan objek sistem sederhana yang dapat mencegah infeksi," menurut laporan ANSSI.
Salah satu cara untuk mengatasi infeksi aktif, ANSSI merekomendasikan, adalah dengan mengubah kata sandi atau menonaktifkan akun untuk pengguna yang memiliki hak istimewa, dan kemudian melanjutkan untuk memaksa perubahan kata sandi domain melalui KRBTGT. KRBTGT adalah akun default lokal yang ditemukan di Active Directory yang bertindak sebagai akun layanan untuk layanan Key Distribution Center (KDC) untuk otentikasi Kerberos.
“Ini akan menyebabkan banyak gangguan pada domain - dan kemungkinan besar membutuhkan banyak reboot - tetapi juga akan segera berisi propagasi,” menurut ANSSI.
Ryuk: Binatang Berkepala Banyak
Ransomware Ryuk pertama kali diamati pada Agustus 2018, sebagai varian dari ransomware Hermes 2.1. Tapi tidak seperti Hermes, itu tidak dijajakan di pasar bawah tanah seperti forum Exploit.
“Keraguan… tetap tentang asal-usul Ryuk,” menurut laporan ANSSI. “Kemunculan Ryuk bisa ... merupakan hasil dari akuisisi kode sumber Hermes 2.1 oleh kelompok penyerang lain, yang mungkin telah mengembangkan Ryuk dari titik awal ini.”
Peneliti Deloitte berteori bahwa Ryuk dijual sebagai perangkat untuk kelompok penyerang, yang menggunakannya untuk mengembangkan "rasa" ransomware mereka sendiri. Oleh karena itu, kemungkinan ada banyak varian karena ada kelompok penyerang yang membeli kode tersebut.
Pada awal 2021, diperkirakan operator Ryuk telah meraup setidaknya $ 150 juta, menurut pemeriksaan operasi pencucian uang malware .