Detección del Ataque de Ransomware Ryuk

[post-views]
octubre 29, 2020 · 5 min de lectura
Detección del Ataque de Ransomware Ryuk

En el repunte de las actividades de ransomware, el ransomware Ryuk ocupa el primer puesto al haber victimizando a empresas de renombre internacional. Durante las últimas semanas, los investigadores están reportando una serie de ataques de ransomware exitosos que afectaron redes enteras. La empresa de muebles de oficina más grande del mundo, Steelcase, se vio obligada a cerrar sus sistemas después del ataque, pero informaron a sus accionistas sobre la no pérdida de datos conocidas causada por el ataque. El ransomware Ryuk dejó fuera de servicio las operaciones en las instalaciones de Universal Health Services y obligó a los hospitales infectados a cerrar sus sistemas y redirigir a sus pacientes a otras instalaciones de salud, lo que demuestra que el sector de la salud aún atrae a los operadores de Ryuk después de su actividad violenta al comienzo de la pandemia. Además, una empresa de servicios de TI, Sopra Steria informó sobre el ataque detectado. Según la información del FBI, las ganancias de los hackers por los ataques de ransomware Ryuk han superado los $61M.

Ataques de ransomware Ryuk en el sector sanitario

Se supo esta semana que los afiliados de Ryuk están preparando una campaña masiva dirigida al sector sanitario de EE. UU. Las agencias federales publicaron una Alerta de Seguridad, que advierte sobre la campaña, revela tácticas utilizadas por los ciberdelincuentes y algunos indicadores de compromiso. Más de 400 instalaciones de salud podrían ser atacadas, y según información no verificada, los adversarios ya han infectado a 30 de ellas. 

Los ciberdelincuentes planean causar pánico y obligar a un gran número de organizaciones a pagar un rescate para descifrar los datos. También es importante mencionar que los afiliados de Ryuk a menudo roban datos sensibles antes de cifrar archivos para tener influencia adicional sobre las víctimas. Ahora la situación también se agrava debido a las próximas elecciones.

En sus recientes ataques, los estafadores detrás de los ataques de Ryuk adoptaron el fallo de Zerologon y capacidades de frameworks de malware para obtener escalamiento de privilegios. La explotación de la vulnerabilidad permitió a los ciberdelincuentes secuestrar controladores de dominio dentro de horas después de que un solo sistema en la red de la organización fue infectado a través de un correo electrónico de phishing con el BazarLoader y cifrar datos tanto en servidores, incluidos servidores de respaldo, como en estaciones de trabajo. Puedes aprender más sobre esta vulnerabilidad y el contenido disponible en Threat Detection Marketplace para detectar su explotación aquí.

Las nuevas variantes de Ryuk utilizan diferentes técnicas para evadir la detección, luego llaman a una función que realiza cambios en los permisos de ejecución. En comparación con variantes anteriores de ransomware, los ataques recientes de Ryuk muestran un tiempo reducido significativamente para el cifrado, disminuyendo así las posibilidades de que las empresas atacadas detecten a tiempo el ataque.

Detección de ataques de Ryuk

En casi todos los casos, los ataques proceden de manera diferente y para cada ataque, los atacantes crean una muestra única de ransomware, por lo que el contenido basado en IOC no es probable que ayude a detectar y detener un ataque a tiempo. Nuestro equipo y los participantes del programa Threat Bounty publican reglas de caza de amenazas para ayudar a identificar técnicas y procedimientos utilizados por BazarLoader y el ransomware Ryuk. 

Regla de Técnicas y Procedimientos de SINGLEMALT / KEGTAP / Ryuk por Roman Ranskyi: https://tdm.socprime.com/tdm/info/lf753JGo35D4/4Y32c3UBmo5uvpkjQZWE/

Osman Demir, desarrollador activo de contenido de detección procesable para Threat Detection Marketplace, publicó una regla Sigma que permite la detección de la cepa de ransomware utilizada en los recientes ataques – Técnicas de cifrado y evasión de Ryuk

https://tdm.socprime.com/tdm/info/9lnBk5qhd9IV/Nb8mZXUBTwmKwLA9QLI2/

También recomendamos que prestes atención a las siguientes reglas disponibles en el Threat Detection Marketplace:

Regla de Persistencia del ransomware Ryuk por Emir Erdogan: https://tdm.socprime.com/tdm/info/eWyQLgWZwv3v/EGzmQHUBmo5uvpkju9HX/

Nombre de archivo por lotes Team9/Bazar (a través de cmdline) regla de SOC Prime Team: https://tdm.socprime.com/tdm/info/51onXdAhOkLs/sE9tvHIBSh4W_EKGAAjz/

Nombre de tarea programada Team9/Bazar (a través de auditoría) regla de SOC Prime Team: https://tdm.socprime.com/tdm/info/efOdljfHf6Qk/3KjlQHUBTwmKwLA94W5a/

Detección de Bazar Loader (detección de Sysmon) regla de Ariel Millahuel: https://tdm.socprime.com/tdm/info/QDvyH85txiBA/w6jmQHUBTwmKwLA9cm-b/

La detección de Ryuk está disponible para Chronicle Security y Apache Kafka ksqlDB. Las reglas tienen traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Impacto, Ejecución, Evasión de Defensa, Persistencia, Descubrimiento, Escalamiento de Privilegios, Movimiento Lateral, Comando y Control

Técnicas: Datos cifrados por impacto (T1486), Ejecución de usuario (1204), Trabajos de BITS (T1197), Descubrimiento de confianza de dominio (T1482), Copia de archivos remota (T1544), Servicios remotos (T1021), Ejecución de proxy de binarios firmados (T1218), Instrumentación de administración de Windows (T1047), Modificar registro (T1112), Inyección de procesos (T1055), Consultar registro (T1012), Claves de ejecución/Carpeta de inicio del registro (T1060), Escritura de scripts (T1064)

 

Algunas reglas de comportamiento para el ransomware Ryuk ataques:

Uso de WMIC LOLBAS:

https://tdm.socprime.com/tdm/info/BepoiNiXj8Ut/y8WK1W4BUORkfSQheZnZ/

NTDSUTIL:

https://tdm.socprime.com/tdm/info/SOvxy6p5Cnof/Hp4_n2UBtApo-eN_NyF6/

Ejecución desde carpeta no ejecutable:

https://tdm.socprime.com/tdm/info/RVIFEay7irsd/bW5VKmkBFVBAemBcGlNv/

Acceso a NTDS:

https://tdm.socprime.com/tdm/info/6VhAtbw6rBa2/WTk92W0BLQqskxffCpek/

Reglas de Mimikatz:

https://tdm.socprime.com/tdm/info/qoNd4DX79bOa/CzkT2W0BLQqskxffCpcz/

https://tdm.socprime.com/tdm/info/ee3PIzxoFMI6/ncIy2W0BEiSx7l0HIpz0/

https://tdm.socprime.com/tdm/info/QctzDmwqbvco/7MIw0G0BEiSx7l0H9JIj/

https://tdm.socprime.com/tdm/info/es5UmjxJNrQg/FDkd2W0BLQqskxffjZe7/

https://tdm.socprime.com/tdm/info/74llvzojtbi4/PELH6m4ByU4WBiCt6HUg/

Uso de PSEXEC:

https://tdm.socprime.com/tdm/info/7GxQdQqC8jRl/Q8XMxm4BUORkfSQh5Yyq/

https://tdm.socprime.com/tdm/info/R8d9PuDz6Kqf/B8tD8nABTfY1LRoXMJme/



¿Listo para probar el Threat Detection Marketplace de SOC Prime? Regístrate gratis. O únete al Programa Threat Bounty para crear tu propio contenido y compartirlo con la comunidad del Threat Detection Marketplace.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión