Väljapressimisvara, Ryuk ja Risk: hakanud mõistma eepiline rünnak Epiq

According to Shyam Oza, Director of Product Management at Spanning, “The best way to protect your business from Ryuk is to avoid it. Avoidance comes when employees are educated in the matters of ransomware. Some employees do not receive the training, some do, and some know it all too well. Yet, human errors seem to be responsible for 90% of data breaches. Clearly, this tactic is not working.”

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Toimetaja märkus: hiljutine lunavara rünnak õigusteenustele ja e-juurdluse pakkujale Epiq on kiirendanud küberturvalisuse teadlikkust andmete avastamise ja juriidilise avastamise professionaalses kogukonnas. Tunnustatud lunavara rünnak näib olevat algatatud TrickBot infektsiooniga, mis võimaldas Ryuk lunavara kasutuselevõttu. Järgmised väljavõtted jagavad teavet ja ülevaateid, mis võivad olla kasulikud e-juurdluse ökosüsteemi advokaadibüroodele, ettevõtetele ja teenusepakkujatele, kes soovivad rohkem teada lunavara, Ryuk lunavara perekonna kohta ning vähendada lunavara rünnakutega seotud riski.

Väljavõte USA valitsuse interagency väljaande väljapressimine väljapressimise kohta väljapressimine

Lunavara: mis see on ja mida teha selle kohta

Mis on lunavara?

Lunavara on pahatahtliku tarkvara kübernäitlejad, kes kasutavad süsteemidele või andmetele juurdepääsu keelamiseks. Pahatahtlik kübernäitleja hoiab süsteeme või andmeid pantvangis kuni lunaraha tasumiseni. Pärast esialgset nakatumist üritab lunavara levida jagatud mäluseadmetele ja muudele juurdepääsetavatele süsteemidele. Kui nõudmisi ei täideta, ei jää süsteem või krüptitud andmed kättesaamatuks või andmed võidakse kustutada.

Kuidas võrke kaitsta?

Teie võrgustike kaitsmisel on kriitiline kohustus küberhügieeni ja parimate tavade järele. Siin on mõned küsimused, mida soovite oma organisatsioonilt lunavara rünnakute vältimiseks paluda.

Varukoopiad: Kas me varundame kogu kriitilise teabe? Kas varukoopiad salvestatakse võrguühenduseta? Kas me oleme katsetanud oma võimet naasta varukoopiaid vahejuhtumi ajal?

Riskianalüüs: Kas me oleme läbi viinud küberturvalisuse riskianalüüsi organisatsiooni?

Töötajate koolitus: kas oleme koolitanud töötajaid küberjulgeoleku parimate tavade alal?

Haavatavus lappimine: Kas oleme rakendanud asjakohaseid lappimine tuntud süsteemi haavatavused?

Taotlus Whitelisting: Kas me lubame ainult heakskiidetud programme käivitada meie võrkudes?

Intsident Response: Kas meil on intsidendi reageerimise kava ja kas me oleme seda kasutanud?

Äri järjepidevus: Kas me suudame säilitada äritegevust ilma juurdepääsuta teatud süsteemidele? Kui kaua? Kas me oleme seda katsetanud?

Läbitungimise testimine: Kas oleme püüdnud häkkida oma süsteemidesse, et testida meie süsteemide turvalisust ja meie võimet kaitsta rünnakute eest?

Kuidas reageerida lunavara?

Rakendada oma turvalisuse intsidendi reageerimist ja ettevõtte järjepidevuse plaani. Teie organisatsiooni IT-spetsialistide jaoks võib kuluda aega, et isoleerida ja eemaldada lunavara oht teie süsteemidele ning taastada andmed ja normaalsed toimingud. Vahepeal peaksite astuma samme oma organisatsiooni oluliste funktsioonide säilitamiseks vastavalt oma ettevõtte järjepidevuse plaanile. Organisatsioonid peaksid säilitama ja korrapäraselt katsetama varukoopiaplaane, katastroofide taastamise plaane ja ettevõtte järjepidevuse protseduure.

Võtke otsekohe ühendust õiguskaitsega. Soovitame teil koheselt ühendust võtta kohaliku FBI või USSi välibürooga, et teatada lunavara sündmusest ja paluda abi. Enne lunaraha maksmist on tõsised riskid. Me ei julgusta lunaraha maksmist. Me mõistame, et kui ettevõtted seisavad silmitsi võimetusega, hindavad juhid kõiki võimalusi oma aktsionäride, töötajate ja klientide kaitsmiseks. Nagu te mõtisklete seda valikut, kaaluge järgmisi riske:

Lunaraha maksmine ei garanteeri, et organisatsioon taastab juurdepääsu oma andmetele; tegelikult mõned üksikisikud või organisatsioonid ei olnud kunagi varustatud dekrüpteerimisvõtmed pärast lunaraha maksmist.

Mõned nõudluse maksnud ohvrid on teatanud, et küberosalejad on taas suunatud.

Pärast algselt nõutud lunaraha maksmist on mõnedel ohvritel palutud maksta rohkem, et saada lubatud dekrüpteerimisvõti.

Maksmine võib tahtmatult julgustada seda kuritegelikku ärimudelit.

Lugege täielikku dokumenti väljapressimisvaras: mis see on ja mida sellega teha (PDF)

Gabriela Nicolao ja Luciano Martinsi artikli väljavõte

Virus Bulletin 2019 Paber: Shinigami kättemaks: Ryuk pahavara pikk saba

Abstraktne

Ryuk on lunavara perekond, mis erinevalt tavalisest lunavarast on seotud suunatud kampaaniatega, kus väljapressimine võib toimuda päevadel või nädalatel pärast esialgset nakatumist. Ryuk täheldati esmakordselt 2018. aasta augustis ja jääb aktiivseks 2019. aasta juuli seisuga.

Ohvrite hulgast leiame ettevõtteid erinevatest tööstusharudest, sealhulgas ajalehtedest, restoranidest, avalikest asutustest ja pilveteenusepakkujast. Ryuk on täheldatud teise etapi kandekoormusena, mis on tarnitud kampaaniates, mis hõlmas Emotet ja Trickbot, kahte kõige laialdasemat ohtu, mida praegu kasutatakse ründevara kampaaniates.

Ryuk kannab tugevat koodisarnasust Hermese lunavaraga ning seda arendas tõenäoliselt välja ja võib-olla levitas sama ohuga näitleja (id). Ryuki ja Hermese vahel leitud koodisarnasused — kandevõime, mis oli väidetavalt seotud Põhja-Korea ohunäitlejatega — viisid analüütikud esialgu kahtlustama, et Ryuk oli liitunud kurikuulsa Laatsaruse APT (Advance Persistant Threat) grupiga. Kuid see omistamine jäeti kõrvale tõendite põhjal, mis koguti tumedast veebifoorumist ja pahavara omistati hiljem venekeelsetele näitlejatele, keda võib-olla tuntakse Grim Spider nime all.

Ryuki kronoloogia

Ryuk on krüptolunavara, mida mainiti esimest korda 17. augustil 2018 piiksuses. See kasutas „ryukreadme.txt” lunaraha märkusena, sellest ka nime.Ryuk on ka väljamõeldud tegelase nimi, mida tuntakse Shinigami (surma Jumal) manga ja anime sarjas nimega Death Note.

Ajal, mil Ryuk esmakordselt teatati, oli see juba tabanud kolme ettevõtet erinevates riikides, ja teadlased märkisid, et Ryuk põhines kurikuulsal Hermes lunavara lähtekoodil ja et ta kasutas sama lunaraha noodiformaati nagu BitPaymer.

Hermese lunavara kasutas Laatsarus, alates 2009. aastast tegutsenud Põhja-Korea sponsoreeritud ohunäitlejate grupp. Hermese omistamise tõttu Laatsarusele uskusid teadlased, et Ryuk on suguluses ka Laatsarusega.

Loe täielikku paberit Shinigami kättemaks: Long saba Ryuk pahavara

Väljavõte artiklist Shyam Oza kaudu Spanning

Ryuk lunavara

2018. aasta sügisel avastati Hermese lunavara modifitseeritud versioon: Ryuk. Nii Hermes kui ka Ryuk on sarnased omadused. Nad tuvastavad ja krüptivad võrguseadmeid koos lõpp-punktidesse salvestatud varikoopiate kustutamisega. Ainus erinevus on see, kuidas nad loovad krüpteerimisvõtmed. Kuigi Hermes kasutab RSA ja privaatvõtmepaari, kasutab Ryuk teist RSA avalikku võtit.

Ryuk lunavara on tulusam kui tema eelkäija. See on suunatud suurtele organisatsioonidele ja valitsusasutustele, mis lõpuks maksavad suuri summasid. Tõde on, ilma suurte payoffideta ei ole Ryuk rünnakute töötlemine jätkusuutlik. See hõlmab suurt käsitsiprotsesse (otsene kasutamine, e-posti teel käsitletud maksetaotlused jne) ja ründajad ei soovi raisata aega, kui ROI ei ole hea.

Kuidas Ryuk toimib?

Ryuk lunavara ei ole nakkustsükli algus, vaid lõpp. See on lunavara, mis muutub vormiks, samm-sammult ja kui see lööb, on see surmav.

Lugege täielikku artiklit Ryuk väljapressimiseks

Väljavõte artiklist Lawrence Abrams

Ryuk väljapressimisvara ründas Epiq Global kaudu trickBot nakkus

Epiq Global rünnak algas TrickBot infektsiooniga

Täna allikas küberjulgeoleku tööstuses eranditult jagatud teavet BleepingComputer, mis heidab valgust, kuidas Epiq Global sai nakatunud.

Detsembris 2019 nakatas Epiqi võrgus olev arvuti TrickBot ründevaraga.

TrickBot paigaldab kõige sagedamini Emoteti Trooja, mis levib andmepüügimeilide kaudu.

Kui TrickBot on installitud, kogub see ohustatud arvutist mitmesuguseid andmeid, sealhulgas paroole, faile ja küpsiseid, ning püüab seejärel levida külgsuunas kogu võrgus, et koguda rohkem andmeid.

Kui teha saagi andmeid võrgus, TrickBot avab vastupidine kest Ryuk operaatorid.

Ryuk Näitlejad siis on juurdepääs nakatunud arvuti ja hakata täitma luurega võrgu. Pärast administraatori mandaadi saamist juurutavad nad lunavara võrgu seadmetes, kasutades PowerShell Empire või PSExec.

Epiq Globali puhul juurutati Ryuk nende võrku laupäeva hommikul, 29. veebruaril 2020, kui lunavara hakkas nakatunud arvutites failide krüptimist.

Kuigi Ryuk peetakse turvaline lunavara ilma nõrkusi oma krüpteerimine, Emsisoft Brett Callow on öelnud BleepingComputer, et seal võib olla väike võimalus, et nad aitavad taastada faile krüpteeritud Ryuk lunavara.

„Ettevõtted, keda Ryuk, peaksid meiega ühendust võtma. On väike - väga väike - võimalus, et me võime aidata neil taastada oma andmeid, ilma et oleks vaja lunaraha maksta,” ütles Callow BleepingComputer.com.

Kuigi võimalused on väga väikesed, kui teie seadmed on krüpteeritud Ryuk Lunavara poolt, ei tee see Emsisofti kontrollimiseks haiget.

BleepingComputer on jõudnud välja Epiq täiendavaid küsimusi selle rünnaku, kuid ei ole kuulnud tagasi sel ajal.

Loe täielikku artiklit Ryuk väljapressimisvara ründas Epiq Global Via TrickBot nakkus

Täiendav lugemine

Epiq väljapressimise rünnak tabab õigusteenuste juht

Rahvusvahelise õiguse ja küberoperatsioonide ristumiskoht: interaktiivne küberõiguse tööriistakomplekt

Allikas: ComplexDiscovery