Công Nghệ

Ryuk: Gánh nặng lợi nhuận bất hợp pháp cao ‘khủng khiếp’, lên đến 34 triệu đô la trong một số trường hợp

Ryuk, một biến thể ransomware khét tiếng gần đây đã lây lan trên toàn thế giới, tiếp tục nhận số tiền bất chính lên tới 34 triệu USD từ các nạn nhân để đổi lấy các khóa giải mã dữ liệu. Lịch sử của ransomware trên toàn thế giới.

cách kiếm tiền bẩn đáng sợ

Trickbot, một trong những mạng botnet lớn nhất thế giới, là tác nhân cho phép phần mềm độc hại mã hóa tệp Ryuk xâm nhập vào các mạng mục tiêu có giá trị cao (thường là các tổ chức, doanh nghiệp, v.v.) và đòi tiền chuộc dữ liệu lớn. sự chi trả.

Theo ghi nhận của chuyên gia bảo mật Vitali Kremez tại Advanced Intelligence, các nạn nhân gần đây của Ryuk bao gồm một loạt các công ty hoạt động trong lĩnh vực công nghệ, chăm sóc sức khỏe, năng lượng, dịch vụ tài chính và chính phủ. Trong đó, các tổ chức trong lĩnh vực y tế và phúc lợi xã hội chiếm hơn 13% tổng số nạn nhân bị tấn công bởi phần mềm độc hại này.

Một báo cáo khác từ Check Point cho thấy chỉ trong quý 3 năm 2020, các hoạt động đằng sau Ryuk đã thực hiện trung bình 20 cuộc tấn công nhằm vào 20 công ty trên toàn thế giới. Phần mềm tống tiền trung bình mà biến thể ransomware này thu thập được là 48 bitcoin (khoảng $ 750,000 USD) và những kẻ điều hành phần mềm độc hại đã bỏ túi ít nhất 150 triệu đô la tiền bất hợp pháp kể từ khi Ryuk được biết đến.

Những người điều hành ransomware được mô tả là những người “có kỹ năng cao”, rất mạnh mẽ trong đàm phán và ít thể hiện sự khoan nhượng. Khoản tiền lớn nhất mà nhóm hacker này từng kiếm được từ một nạn nhân là 2.200 bitcoin, tương đương gần 34 triệu đô la theo tỷ giá hối đoái hiện tại.

Phần mềm độc hại Ryuk

Bước 15 Trình tự tấn công

Sau khi phân tích luồng tấn công của phần mềm độc hại, Kremez tiết lộ rằng nhóm của Ryuk chỉ cần 15 bước kỹ thuật để tìm các máy chủ có sẵn trên mạng, đánh cắp thông tin đăng nhập cấp quản trị viên và triển khai ransomware. Các công cụ bạn sẽ cần bao gồm:

  • Mimikatsu – Người khai thác tiếp theo kết xuất thông tin xác thực khỏi bộ nhớ
  • quyền lực – Một tập hợp các tập lệnh PowerShell được sử dụng để khai thác sau
  • lasagne – Tương tự như Mimikatz, được sử dụng để thu thập mật khẩu từ phần mềm được lưu trữ cục bộ
  • Tìm quảng cáo – Công cụ truy vấn Active Directory
  • chó săn – Một công cụ hậu khai thác liệt kê và mô tả các miền Active Directory hoàn chỉnh với thông tin thiết bị, động lực đăng nhập của người dùng, tài nguyên và quyền
  • PsExec – Bạn có thể chạy quy trình cần thiết trên máy từ xa.

Chuỗi tấn công bắt đầu bằng việc chạy tập lệnh “DACheck.ps1” để kiểm tra xem người dùng hiện tại có thuộc nhóm Quản trị viên miền hay không.

Từ đó, mật khẩu được truy xuất qua Mimikatz, mạng được ánh xạ và máy chủ được xác định sau khi quét các giao thức FTP, SSH, SMB, RDP và VNC. Toàn bộ quy trình tấn công được mô tả như sau.

  • Kiểm tra quản trị viên miền thông qua tập lệnh “Invoke-DACheck”
  • Thu thập mật khẩu máy chủ qua Mimikatz “mimikatz’s sekurlsa :: logonpasswords”
  • Trả về mã thông báo từ đầu ra lệnh Mimikatz và tạo mã thông báo cho nhận xét của quản trị viên.
  • Xem lại mạng của máy chủ thông qua “net view”.
  • Cổng quét các giao thức FTP, SSH, SMB, RDP, VNC
  • Quyền truy cập danh sách cho các máy chủ có sẵn
  • Trong “chế độ xem net”, sử dụng tập lệnh “adf.bat” để tải lên Bộ công cụ tìm kiếm Active Directory “AdFind” và quét máy chủ qua cổng.
  • Hiển thị tên phần mềm chống vi-rút của máy chủ thông qua lệnh “WMIC”
  • Tải lên công cụ khôi phục mật khẩu chung “LaZagne” để quét máy chủ của bạn.
  • Xóa công cụ khôi phục mật khẩu
  • Chạy AFind và lưu đầu ra.
  • Gỡ cài đặt công cụ AdFind và tải xuống đầu ra.
  • Cấp toàn quyền truy cập mạng chia sẻ cho Ryuk
  • Tải lên phần mềm thực thi từ xa “PSExec” và xóa công cụ chống vi-rút khỏi hệ thống.
  • Tải lên máy chủ mạng và tệp thực thi đã được phân tích cú pháp. Sau đó, nó chạy ransomware Ryuk thông qua PsExec.

May mắn thay, các nỗ lực gian lận gần đây bằng cách sử dụng phần mềm độc hại Ryuk đã trở nên kém hiệu quả hơn do cảnh giác đã được thắt chặt và các biện pháp bảo mật cần thiết đã được cộng đồng doanh nghiệp áp dụng rộng rãi. .

Back to top button