Detecção de Ataques de Ransomware Ryuk
Índice:
Após o aumento das atividades de ransomware, o ransomware Ryuk mantém a liderança ao vitimizar empresas internacionalmente renomadas. Nas últimas semanas, pesquisadores estão relatando uma série de ataques de ransomware bem-sucedidos que atingiram redes inteiras. A maior empresa de móveis para escritório do mundo, Steelcase, foi forçada a desligar seus sistemas depois do ataque, mas eles informam aos seus acionistas que não houve perda de dados conhecida causada pelo ataque. O ransomware Ryuk colocou fora de operação as operações das instalações dentro dos Serviços de Saúde Universal e fez com que os hospitais infectados desligassem seus sistemas e redirecionassem seus pacientes para outras instalações de saúde, o que mostra que a área de saúde ainda atrai os operadores do Ryuk após sua atividade violenta no início da pandemia. Além disso, uma empresa de serviços de TI, Sopra Steria informou sobre o ataque detectado. De acordo com informações do FBI, os ganhos dos hackers com os ataques de ransomware Ryuk ultrapassaram $61 milhões.
Ataques do ransomware Ryuk no setor de saúde
Foi revelado nesta semana que afiliados do Ryuk estão preparando uma campanha massiva visando o setor de saúde dos EUA. Agências federais emitiram um Alerta de Segurança, que alerta sobre a campanha, revela táticas usadas por cibercriminosos e alguns indicadores de comprometimento. Mais de 400 instalações de saúde podem ser alvo, e de acordo com informações não verificadas, os adversários já infectaram 30 delas.
Os cibercriminosos planejam causar pânico e forçar um grande número de organizações a pagar um resgate para descriptografar os dados. Também vale notar que afiliados do Ryuk frequentemente roubam dados sensíveis antes de criptografar os arquivos para ter uma vantagem adicional sobre as vítimas. Agora a situação também é agravada pelas próximas eleições.
Para seus ataques recentes, os fraudadores por trás dos ataques do Ryuk adotaram a falha do Zerologon e capacidades de frameworks de malware para obter escalonamento de privilégios. A exploração da vulnerabilidade permitiu que cibercriminosos sequestrassem controladores de domínio dentro de horas após um único sistema na rede da organização ser infectado via email de phishing com o BazarLoader e criptografarem dados tanto em servidores, incluindo servidores de backup, quanto em estações de trabalho. Você pode saber mais sobre essa vulnerabilidade e o conteúdo disponível no Threat Detection Marketplace para detectar sua exploração aqui.
As novas variantes do Ryuk utilizam diferentes técnicas para escapar da detecção, então chamam uma função que faz alterações nas permissões de execução. Comparado às variantes anteriores do ransomware, os ataques recentes do Ryuk mostram um tempo significativamente reduzido para criptografia, assim reduzindo consideravelmente as chances das empresas visadas detectarem o ataque a tempo.
Detecção de ataque Ryuk
Em quase todos os casos, os ataques procedem de maneira diferente e, para cada ataque, os atacantes criam uma amostra de ransomware única, então o conteúdo baseado em IOCs provavelmente não ajudará a detectar e parar um ataque a tempo. Nossa equipe e participantes do programa Threat Bounty publicam regras de caça de ameaças para ajudar a identificar técnicas e procedimentos utilizados pelo BazarLoader e pelo ransomware Ryuk.
Regra de técnicas e procedimentos SINGLEMALT / KEGTAP / Ryuk por Roman Ranskyi: https://tdm.socprime.com/tdm/info/lf753JGo35D4/4Y32c3UBmo5uvpkjQZWE/
Osman Demir, desenvolvedor ativo do Threat Bounty de conteúdo de detecção acionável para o Threat Detection Marketplace, publicou uma regra Sigma que possibilita a detecção da variante de ransomware usada nos ataques recentes – Técnicas de Criptografia e Evasão do Ryuk
https://tdm.socprime.com/tdm/info/9lnBk5qhd9IV/Nb8mZXUBTwmKwLA9QLI2/
Também recomendamos que preste atenção às seguintes regras disponíveis no Threat Detection Marketplace:
Regra de Persistência do Ransomware Ryuk por Emir Erdogan: https://tdm.socprime.com/tdm/info/eWyQLgWZwv3v/EGzmQHUBmo5uvpkju9HX/
Regra de padrão de nome de arquivo da equipe 9/Bazar (via linha de comando) por Equipe SOC Prime: https://tdm.socprime.com/tdm/info/51onXdAhOkLs/sE9tvHIBSh4W_EKGAAjz/
Regra de nome de tarefa agendada da equipe 9/Bazar (via auditoria) por Equipe SOC Prime: https://tdm.socprime.com/tdm/info/efOdljfHf6Qk/3KjlQHUBTwmKwLA94W5a/
Detecção do Bazar Loader (detecção Sysmon) regra por Ariel Millahuel: https://tdm.socprime.com/tdm/info/QDvyH85txiBA/w6jmQHUBTwmKwLA9cm-b/
A detecção do Ryuk está disponível para Chronicle Security e Apache Kafka ksqlDB. As regras têm traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Impacto, Execução, Evasão de Defesa, Persistência, Descoberta, Escalonamento de Privilégios, Movimento Lateral, Comando e Controle
Técnicas: Dados Criptografados para Impacto (T1486), Execução do Usuário (1204), Trabalhos BITS (T1197), Descoberta de Confiança de Domínio (T1482), Cópia de Arquivo Remoto (T1544), Serviços Remotos (T1021), Execução de Proxy de Binário Assinado (T1218), Instrumentação de Gerenciamento do Windows (T1047), Modificar Registro (T1112), Injeção de Processo (T1055), Consulta de Registro (T1012), Chaves de Execução do Registro / Pasta de Inicialização (T1060), Script (T1064)
Algumas regras comportamentais para o ransomware Ryuk ataques:
Uso do WMIC LOLBAS:
https://tdm.socprime.com/tdm/info/BepoiNiXj8Ut/y8WK1W4BUORkfSQheZnZ/
NTDSUTIL:
https://tdm.socprime.com/tdm/info/SOvxy6p5Cnof/Hp4_n2UBtApo-eN_NyF6/
Execução a partir de pasta não-executável:
https://tdm.socprime.com/tdm/info/RVIFEay7irsd/bW5VKmkBFVBAemBcGlNv/
Acesso NTDS:
https://tdm.socprime.com/tdm/info/6VhAtbw6rBa2/WTk92W0BLQqskxffCpek/
Regras Mimikatz:
https://tdm.socprime.com/tdm/info/qoNd4DX79bOa/CzkT2W0BLQqskxffCpcz/
https://tdm.socprime.com/tdm/info/ee3PIzxoFMI6/ncIy2W0BEiSx7l0HIpz0/
https://tdm.socprime.com/tdm/info/QctzDmwqbvco/7MIw0G0BEiSx7l0H9JIj/
https://tdm.socprime.com/tdm/info/es5UmjxJNrQg/FDkd2W0BLQqskxffjZe7/
https://tdm.socprime.com/tdm/info/74llvzojtbi4/PELH6m4ByU4WBiCt6HUg/
Uso do PSEXEC:
https://tdm.socprime.com/tdm/info/7GxQdQqC8jRl/Q8XMxm4BUORkfSQh5Yyq/
https://tdm.socprime.com/tdm/info/R8d9PuDz6Kqf/B8tD8nABTfY1LRoXMJme/
Pronto para experimentar o Threat Detection Marketplace da SOC Prime? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade do Threat Detection Marketplace.