Détection d’Attaque par Ransomware Ryuk
Table des matières :
Sur la reprise des activités accrues de ransomware, le ransomware Ryuk occupe la première place ayant victimisé des entreprises internationalement renommées. Au cours des dernières semaines, des chercheurs rapportent un certain nombre d’attaques de ransomware réussies qui ont affecté des réseaux entiers. La plus grande entreprise de mobilier de bureau au monde, Steelcase, a été forcée de fermer leurs systèmes après l’attaque, mais ils informent leurs actionnaires qu’aucune perte de données connue n’a été causée par l’attaque. Le ransomware Ryuk a mis hors d’état de fonctionner les opérations des installations au sein des Services de Santé Universels et a fait fermer les systèmes des hôpitaux infectés et rediriger leurs patients vers d’autres établissements de santé, ce qui montre que le secteur de la santé continue d’attirer les opérateurs de Ryuk après leur activité violente au début de la pandémie. Aussi, une entreprise de services informatiques, Sopra Steria, a informé sur l’attaque détectée. Selon les informations du FBI, les gains des hackers grâce aux attaques du ransomware Ryuk ont dépassé les 61 millions de dollars.
Attaques de ransomware Ryuk sur le secteur de la santé
Il a été révélé cette semaine que les affiliés de Ryuk préparent une campagne massive ciblant le secteur de la santé aux États-Unis. Les agences fédérales ont publié une alerte de sécurité, qui met en garde contre la campagne, révèle les tactiques utilisées par les cybercriminels et certains indicateurs de compromission. Plus de 400 établissements de santé pourraient être ciblés, et selon des informations non vérifiées, les adversaires en ont déjà infecté 30.
Les cybercriminels prévoient de causer la panique et de forcer un grand nombre d’organisations à payer une rançon pour déchiffrer les données. Il est également à noter que les affiliés de Ryuk volent souvent des données sensibles avant de chiffrer les fichiers pour avoir un levier supplémentaire sur les victimes. La situation est maintenant aggravée par les élections à venir.
Pour leurs attaques récentes, les escrocs derrière les attaques de Ryuk ont adopté la faille de Zerologon et les capacités des frameworks malveillants pour obtenir une élévation de privilège. L’exploitation de la vulnérabilité a permis aux cybercriminels de pirater les contrôleurs de domaine en quelques heures après qu’un seul système du réseau de l’organisation a été infecté via un e-mail de phishing avec le BazarLoader et de chiffrer des données à la fois sur les serveurs, y compris les serveurs de sauvegarde, et sur les postes de travail. Vous pouvez en savoir plus sur cette vulnérabilité et le contenu disponible sur le Marché de Détection des Menaces pour détecter son exploitation ici.
Les nouvelles souches de Ryuk exploitent différentes techniques pour échapper à la détection, puis appellent une fonction qui modifie les autorisations d’exécution. Comparées aux souches de ransomware précédentes, les récentes attaques de Ryuk montrent un temps significativement réduit pour le chiffrement, réduisant ainsi considérablement les chances pour les entreprises ciblées de détecter l’attaque à temps.
Détection d’attaque Ryuk
Dans presque tous les cas, les attaques se déroulent différemment et pour chaque attaque, les attaquants créent un exemple unique de ransomware, donc le contenu basé sur les IOCs est peu susceptible d’aider à détecter et arrêter une attaque à temps. Notre équipe et les participants du programme Threat Bounty publient des règles de chasse aux menaces pour aider à identifier les techniques et procédures exploitées par BazarLoader et le ransomware Ryuk.
Règle des techniques et procédures SINGLEMALT / KEGTAP / Ryuk par Roman Ranskyi: https://tdm.socprime.com/tdm/info/lf753JGo35D4/4Y32c3UBmo5uvpkjQZWE/
Osman Demir, développeur actif de contenu de détection exploitable pour le Marché de Détection des Menaces, a publié une règle Sigma qui permet de détecter la souche de ransomware utilisée dans les récentes attaques – Techniques de Chiffrement et d’Evasion de Ryuk
https://tdm.socprime.com/tdm/info/9lnBk5qhd9IV/Nb8mZXUBTwmKwLA9QLI2/
Nous vous recommandons également de prêter attention aux règles suivantes disponibles sur le Marché de Détection des Menaces :
Règle de Persistence du Ransomware Ryuk par Emir Erdogan: https://tdm.socprime.com/tdm/info/eWyQLgWZwv3v/EGzmQHUBmo5uvpkju9HX/
Modèle de nom de fichier de lot Team9/Bazar (via cmdline) par l’équipe SOC Prime : https://tdm.socprime.com/tdm/info/51onXdAhOkLs/sE9tvHIBSh4W_EKGAAjz/
Modèle de nom de tâche planifiée Team9/Bazar (via audit) par l’équipe SOC Prime : https://tdm.socprime.com/tdm/info/efOdljfHf6Qk/3KjlQHUBTwmKwLA94W5a/
Détection de Bazar Loader (détection Sysmon) par Ariel Millahuel: https://tdm.socprime.com/tdm/info/QDvyH85txiBA/w6jmQHUBTwmKwLA9cm-b/
La détection de Ryuk est disponible pour Chronicle Security et Apache Kafka ksqlDB. Les règles ont des traductions pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK :
Tactiques : Impact, Exécution, Evasion Défensive, Persistance, Découverte, Escalade de Privilèges, Mouvement Latéral, Commande et Contrôle
Techniques : Données Chiffrées pour Impact (T1486), Exécution par l’utilisateur (1204), Tâches BITS (T1197), Découverte de Confiance de Domaine (T1482), Copie de Fichier à Distance (T1544), Services à Distance (T1021), Execution de binaire signé par proxy (T1218), Instrumentation de Gestion Windows (T1047), Modifier le Registre (T1112), Injection de processus (T1055), Interrogation du Registre (T1012), Clés de démarrage du registre / Dossier de démarrage (T1060), Script (T1064)
Quelques règles comportementales pour les attaques du ransomware Ryuk :
WMIC LOLBAS Utilisation :
https://tdm.socprime.com/tdm/info/BepoiNiXj8Ut/y8WK1W4BUORkfSQheZnZ/
NTDSUTIL :
https://tdm.socprime.com/tdm/info/SOvxy6p5Cnof/Hp4_n2UBtApo-eN_NyF6/
Exécution à partir d’un dossier non dédié à l’exécution :
https://tdm.socprime.com/tdm/info/RVIFEay7irsd/bW5VKmkBFVBAemBcGlNv/
Accès NTDS :
https://tdm.socprime.com/tdm/info/6VhAtbw6rBa2/WTk92W0BLQqskxffCpek/
Règles Mimikatz :
https://tdm.socprime.com/tdm/info/qoNd4DX79bOa/CzkT2W0BLQqskxffCpcz/
https://tdm.socprime.com/tdm/info/ee3PIzxoFMI6/ncIy2W0BEiSx7l0HIpz0/
https://tdm.socprime.com/tdm/info/QctzDmwqbvco/7MIw0G0BEiSx7l0H9JIj/
https://tdm.socprime.com/tdm/info/es5UmjxJNrQg/FDkd2W0BLQqskxffjZe7/
https://tdm.socprime.com/tdm/info/74llvzojtbi4/PELH6m4ByU4WBiCt6HUg/
Utilisation de PSEXEC :
https://tdm.socprime.com/tdm/info/7GxQdQqC8jRl/Q8XMxm4BUORkfSQh5Yyq/
https://tdm.socprime.com/tdm/info/R8d9PuDz6Kqf/B8tD8nABTfY1LRoXMJme/
Prêt à essayer le Marché de Détection des Menaces de SOC Prime? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté du Marché de Détection des Menaces.