Rilevamento degli Attacchi Ransomware Ryuk

[post-views]
Ottobre 29, 2020 · 6 min di lettura
Rilevamento degli Attacchi Ransomware Ryuk

Con l’aumento delle attività di ransomware, il ransomware Ryuk detiene il primo posto avendo colpito aziende di fama internazionale. Negli ultimi settimane, i ricercatori stanno segnalando diversi attacchi ransomware che hanno colpito intere reti. La più grande azienda mondiale di mobili per ufficio, Steelcase, è stata costretta a spegnere i loro sistemi dopo l’attacco, ma ha riferito ai suoi azionisti di non aver subito alcuna perdita di dati nota causata dall’attacco. Il ransomware Ryuk ha messo fuori uso le operazioni degli impianti all’interno dei servizi sanitari universali e ha costretto gli ospedali infetti a spegnere i loro sistemi e reindirizzare i pazienti ad altre strutture sanitarie, il che mostra che l’assistenza sanitaria continua ad attrarre gli operatori di Ryuk dopo la loro violenta attività all’inizio della pandemia. Anche una società di servizi IT, Sopra Steria, ha informato dell’attacco rilevato. Secondo le informazioni dell’FBI, i guadagni degli hacker dagli attacchi ransomware Ryuk hanno superato i 61 milioni di dollari.

Attacchi ransomware Ryuk nel settore sanitario

È emerso questa settimana che gli affiliati di Ryuk stanno preparando una campagna massiccia che prenderà di mira il settore sanitario degli Stati Uniti. Le agenzie federali hanno diffuso un avviso di sicurezza, che avverte sulla campagna, rivela le tattiche utilizzate dai cybercriminali e alcuni indicatori di compromesso. Potrebbero essere prese di mira oltre 400 strutture sanitarie e, secondo informazioni non verificate, i nemici ne avrebbero già infettate 30. 

I cybercriminali hanno in programma di causare panico e costringere un gran numero di organizzazioni a pagare un riscatto per decrittare i dati. Vale anche la pena notare che gli affiliati di Ryuk spesso rubano dati sensibili prima di criptare i file per avere leve aggiuntive sulle vittime. Ora la situazione è ulteriormente aggravata dalle imminenti elezioni.

Per i loro recenti attacchi, i truffatori dietro gli attacchi Ryuk hanno adottato il difetto di Zerologon e le capacità dei framework malware per ottenere un’escalation dei privilegi. Lo sfruttamento della vulnerabilità ha permesso ai cybercriminali di dirottare i controller di dominio entro poche ore dopo che un singolo sistema nella rete dell’organizzazione è stato infettato tramite un’email di phishing con il BazarLoader e criptare i dati sia sui server, inclusi i server di backup, sia sulle workstation. Puoi saperne di più su questa vulnerabilità e sui contenuti disponibili nel Threat Detection Marketplace per rilevarne lo sfruttamento qui.

I nuovi ceppi di Ryuk sfruttano diverse tecniche per sfuggire al rilevamento, quindi chiamano una funzione che provoca modifiche dei permessi di esecuzione. Rispetto ai ceppi di ransomware precedenti, gli attacchi recenti di Ryuk mostrano tempi di crittografia notevolmente ridotti, riducendo così considerevolmente le possibilità per le aziende colpite di rilevare tempestivamente l’attacco.

Rilevamento dell’attacco Ryuk

In quasi ogni caso, gli attacchi procedono diversamente e per ogni attacco, gli aggressori creano un campione unico di ransomware, quindi contenuti basati sugli IOCs non sono utili per rilevare e fermare un attacco in tempo. Il nostro team e i partecipanti al programma Threat Bounty pubblicano regole di threat hunting per aiutare a identificare le tecniche e le procedure utilizzate da BazarLoader e dal ransomware Ryuk. 

Regola sulle tecniche e procedure SINGLEMALT / KEGTAP / Ryuk di Roman Ranskyi: https://tdm.socprime.com/tdm/info/lf753JGo35D4/4Y32c3UBmo5uvpkjQZWE/

Osman Demir, sviluppatore attivo del programma Threat Bounty di contenuti di rilevazione attuabili per il Threat Detection Marketplace, ha pubblicato una regola Sigma che consente di rilevare il ceppo di ransomware utilizzato nei recenti attacchi – Tecniche di crittografia ed evasione di Ryuk

https://tdm.socprime.com/tdm/info/9lnBk5qhd9IV/Nb8mZXUBTwmKwLA9QLI2/

Raccomandiamo inoltre di prestare attenzione alle seguenti regole disponibili nel Threat Detection Marketplace:

Regola sulla persistenza del ransomware Ryuk di Emir Erdogan: https://tdm.socprime.com/tdm/info/eWyQLgWZwv3v/EGzmQHUBmo5uvpkju9HX/

Team9/Bazar pattern di nome file batch (via cmdline) regola del SOC Prime Team: https://tdm.socprime.com/tdm/info/51onXdAhOkLs/sE9tvHIBSh4W_EKGAAjz/

Nome attività pianificata (via audit) di Team9/Bazar regola del SOC Prime Team: https://tdm.socprime.com/tdm/info/efOdljfHf6Qk/3KjlQHUBTwmKwLA94W5a/

Regola di rilevamento di Bazar Loader (rilevamento Sysmon) di Ariel Millahuel: https://tdm.socprime.com/tdm/info/QDvyH85txiBA/w6jmQHUBTwmKwLA9cm-b/

Il rilevamento di Ryuk è disponibile per Chronicle Security e Apache Kafka ksqlDB. Le regole hanno traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Impatto, Esecuzione, Evasione delle difese, Persistenza, Scoperta, Escalation dei privilegi, Movimento laterale, Comando e Controllo

Tecniche: Dati criptati per impatto (T1486), Esecuzione utente (1204), BITS Jobs (T1197), Scoperta fiducia dominio (T1482), Copia file remota (T1544), Servizi remoti (T1021), Esecuzione proxy binario firmato (T1218), Strumentazione gestione Windows (T1047), Modifica registro (T1112), Iniezione processo (T1055), Query registro (T1012), Chiavi run del registro / Cartelle di avvio (T1060), Scripting (T1064)

 

Alcune regole comportamentali per i ransomware Ryuk attacchi:

WMIC LOLBAS Usage:

https://tdm.socprime.com/tdm/info/BepoiNiXj8Ut/y8WK1W4BUORkfSQheZnZ/

NTDSUTIL:

https://tdm.socprime.com/tdm/info/SOvxy6p5Cnof/Hp4_n2UBtApo-eN_NyF6/

Esecuzione dalla cartella non di esecuzione:

https://tdm.socprime.com/tdm/info/RVIFEay7irsd/bW5VKmkBFVBAemBcGlNv/

Accesso NTDS:

https://tdm.socprime.com/tdm/info/6VhAtbw6rBa2/WTk92W0BLQqskxffCpek/

Regole di Mimikatz:

https://tdm.socprime.com/tdm/info/qoNd4DX79bOa/CzkT2W0BLQqskxffCpcz/

https://tdm.socprime.com/tdm/info/ee3PIzxoFMI6/ncIy2W0BEiSx7l0HIpz0/

https://tdm.socprime.com/tdm/info/QctzDmwqbvco/7MIw0G0BEiSx7l0H9JIj/

https://tdm.socprime.com/tdm/info/es5UmjxJNrQg/FDkd2W0BLQqskxffjZe7/

https://tdm.socprime.com/tdm/info/74llvzojtbi4/PELH6m4ByU4WBiCt6HUg/

Uso PSEXEC:

https://tdm.socprime.com/tdm/info/7GxQdQqC8jRl/Q8XMxm4BUORkfSQh5Yyq/

https://tdm.socprime.com/tdm/info/R8d9PuDz6Kqf/B8tD8nABTfY1LRoXMJme/



Pronto a provare il Threat Detection Marketplace di SOC Prime? Iscriviti gratuitamente. Oppure partecipa al programma Threat Bounty per creare i tuoi contenuti e condividerli con la comunità del Threat Detection Marketplace.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro