Erkennung von Ryuk Ransomware-Angriffen

[post-views]
Oktober 29, 2020 · 5 min zu lesen
Erkennung von Ryuk Ransomware-Angriffen

Auf der Grundlage der gestiegenen Aktivitäten von Ransomware hält die Ryuk-Ransomware den Spitzenplatz, nachdem sie international renommierte Unternehmen ins Visier genommen hat. In den letzten Wochen berichten Forscher von einer Reihe erfolgreicher Ransomware-Angriffe, die ganze Netzwerke getroffen haben. Das weltweit größte Büromöbelunternehmen Steelcase war gezwungen, ihre Systeme herunterzufahren nach dem Angriff, berichten jedoch ihren Aktionären von keinem bekannten Datenverlust durch den Angriff. Die Ryuk-Ransomware legte den Betrieb der Einrichtungen lahm der Universal Health Services und zwang die infizierten Krankenhäuser, ihre Systeme herunterzufahren und ihre Patienten an andere Gesundheitseinrichtungen weiterzuleiten, was zeigt, dass das Gesundheitswesen Ryuk-Betreiber weiterhin anzieht, nach ihrer aggressiven Aktivität zu Beginn der Pandemie. Auch ein IT-Dienstleistungsunternehmen Sopra Steria informierte über den erkannten Angriff. Laut FBI-Informationen übersteigen die Erlöse der Hacker aus Ryuk-Ransomware-Angriffen 61 Millionen Dollar.

Ryuk-Ransomware-Angriffe auf den Gesundheitssektor

Diese Woche wurde bekannt, dass Ryuk-Partner eine große Kampagne vorbereiten, die auf den US-Gesundheitssektor abzielt. Bundesbehörden veröffentlichten eine Sicherheitswarnung, die vor der Kampagne warnt, die von Cyberkriminellen verwendeten Taktiken aufdeckt und einige Indikatoren für Kompromittierung aufzeigt. Mehr als 400 Gesundheitseinrichtungen könnten ins Visier genommen werden, und laut unbestätigten Informationen haben Gegner bereits 30 von ihnen infiziert.

Cyberkriminelle planen, Panik auszulösen und eine große Anzahl von Organisationen zu zwingen, ein Lösegeld zu zahlen, um die Daten zu entschlüsseln. Es ist auch zu beachten, dass Ryuk-Betreiber häufig sensible Daten stehlen, bevor sie Dateien verschlüsseln, um zusätzlichen Druck auf die Opfer auszuüben. Jetzt wird die Situation auch durch bevorstehende Wahlen verschärft.

Für ihre jüngsten Angriffe nutzten Betrüger hinter Ryuk-Angriffen die Schwachstelle von Zerologon und die Fähigkeiten von Malware-Frameworks, um Privilegien-Eskalation zu erreichen. Die Ausnutzung der Schwachstelle ermöglichte es Cyberkriminellen, Domänencontroller innerhalb weniger Stunden zu kapern, nachdem ein einziges System im Netzwerk der Organisation über eine Phishing-E-Mail mit dem BazarLoader infiziert wurde, und Daten sowohl auf Servern, einschließlich Backup-Servern, als auch auf Workstations zu verschlüsseln. Sie können mehr über diese Schwachstelle und den Inhalt erfahren, der im Threat Detection Marketplace verfügbar ist, um ihre Ausnutzung zu erkennen hier.

Die neuen Ryuk-Varianten nutzen verschiedene Techniken, um der Erkennung zu entgehen, und rufen dann eine Funktion auf, die Änderungen an den Ausführungsberechtigungen vornimmt. Im Vergleich zu früheren Ransomware-Varianten zeigen die jüngsten Ryuk-Angriffe eine erheblich verkürzte Zeit bis zur Verschlüsselung, was die Chancen für die betroffenen Unternehmen erheblich verringert, den Angriff rechtzeitig zu erkennen.

Ryuk-Angriffs-Erkennung

In fast jedem Fall verlaufen Angriffe anders, und für jeden Angriff erstellen Angreifer eine einzigartige Ransomware-Variante, sodass inhaltsbasierte IOCs wenig zur rechtzeitigen Erkennung und Verhinderung eines Angriffs beitragen. Unser Team und die Teilnehmer des Threat Bounty-Programms veröffentlichen Bedrohungsjagdregeln, um bei der Identifizierung von Techniken und Verfahren zu helfen, die von BazarLoader und Ryuk-Ransomware genutzt werden.

SINGLEMALT / KEGTAP / Ryuk Techniken und Verfahren Regel von Roman Ranskyi: https://tdm.socprime.com/tdm/info/lf753JGo35D4/4Y32c3UBmo5uvpkjQZWE/

Osman Demir, aktiver Threat Bounty-Entwickler von umsetzbarem Erkennungsinhalt für den Threat Detection Marketplace, veröffentlichte eine Sigma-Regel, die die Erkennung der bei den jüngsten Angriffen verwendeten Ransomware-Variante ermöglicht – Ryuk-Verschlüsselungs- und -Ausweichtechniken

https://tdm.socprime.com/tdm/info/9lnBk5qhd9IV/Nb8mZXUBTwmKwLA9QLI2/

Wir empfehlen auch, dass Sie folgende Regeln im Threat Detection Marketplace beachten:

Persistenz der Ryuk-Ransomware Regel von Emir Erdogan: https://tdm.socprime.com/tdm/info/eWyQLgWZwv3v/EGzmQHUBmo5uvpkju9HX/

Team9/Bazar Batch-Dateimusternamen (via cmdline) Regel von SOC Prime Team: https://tdm.socprime.com/tdm/info/51onXdAhOkLs/sE9tvHIBSh4W_EKGAAjz/

Team9/Bazar geplanter Taskname (via Audit) Regel von SOC Prime Team: https://tdm.socprime.com/tdm/info/efOdljfHf6Qk/3KjlQHUBTwmKwLA94W5a/

Bazar Loader-Erkennung (Sysmon-Erkennung) Regel von Ariel Millahuel: https://tdm.socprime.com/tdm/info/QDvyH85txiBA/w6jmQHUBTwmKwLA9cm-b/

Die Erkennung von Ryuk ist für Chronicle Security und Apache Kafka ksqlDB verfügbar. Die Regeln sind für die folgenden Plattformen übersetzt:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Wirkung, Ausführung, Verteidigungsausweichen, Persistenz, Entdeckung, Privilegieneskalation, laterale Bewegung, Befehl und Kontrolle

Techniken: Daten verschlüsselt zur Wirkung (T1486), Benutzerausführung (1204), BITS-Jobs (T1197), Domänenvertrauens-Entdeckung (T1482), Remote-Dateikopie (T1544), Remotedienste (T1021), Ausführung signierter Binärdateien über Proxy (T1218), Windows-Verwaltungsinstrumentation (T1047), Registrierung ändern (T1112), Prozessinjektion (T1055), Registrierungsabfrage (T1012), Registrierungslauf-Schlüssel / Startordner (T1060), Scripting (T1064)

 

Einige Verhaltensregeln für Ryuk-Ransomware Angriffe:

WMIC LOLBAS Verwendung:

https://tdm.socprime.com/tdm/info/BepoiNiXj8Ut/y8WK1W4BUORkfSQheZnZ/

NTDSUTIL:

https://tdm.socprime.com/tdm/info/SOvxy6p5Cnof/Hp4_n2UBtApo-eN_NyF6/

Ausführung aus Nicht-Ausführungsordner:

https://tdm.socprime.com/tdm/info/RVIFEay7irsd/bW5VKmkBFVBAemBcGlNv/

NTDS Zugriff:

https://tdm.socprime.com/tdm/info/6VhAtbw6rBa2/WTk92W0BLQqskxffCpek/

Mimikatz Regeln:

https://tdm.socprime.com/tdm/info/qoNd4DX79bOa/CzkT2W0BLQqskxffCpcz/

https://tdm.socprime.com/tdm/info/ee3PIzxoFMI6/ncIy2W0BEiSx7l0HIpz0/

https://tdm.socprime.com/tdm/info/QctzDmwqbvco/7MIw0G0BEiSx7l0H9JIj/

https://tdm.socprime.com/tdm/info/es5UmjxJNrQg/FDkd2W0BLQqskxffjZe7/

https://tdm.socprime.com/tdm/info/74llvzojtbi4/PELH6m4ByU4WBiCt6HUg/

PSEXEC Verwendung:

https://tdm.socprime.com/tdm/info/7GxQdQqC8jRl/Q8XMxm4BUORkfSQh5Yyq/

https://tdm.socprime.com/tdm/info/R8d9PuDz6Kqf/B8tD8nABTfY1LRoXMJme/



Bereit, den SOC Prime Threat Detection Marketplace auszuprobieren? Kostenlos registrieren. Oder am Threat Bounty-Programm teilnehmen um eigene Inhalte zu erstellen und sie mit der Threat Detection Marketplace-Community zu teilen.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen