Ransomware, Ryuk ja Riski: Epiqin eeppisen hyökkäyksen ymmärtäminen

According to Shyam Oza, Director of Product Management at Spanning, “The best way to protect your business from Ryuk is to avoid it. Avoidance comes when employees are educated in the matters of ransomware. Some employees do not receive the training, some do, and some know it all too well. Yet, human errors seem to be responsible for 90% of data breaches. Clearly, this tactic is not working.”

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Toimittajan huomautus: Äskettäinen kiristysohjelmahyökkäys lakipalveluihin ja eDiscovery-palveluntarjoajaan Epiqiin on kiihdyttänyt tietoisuutta tietoturvasta tiedonkeruussa ja oikeudellisten löytöjen ammattilaisyhteisössä. Tunnustettu kiristysohjelmahyökkäys alkoi TrickBot- infektiolla, joka mahdollisti Ryukkin kiristysohjelman käyttöönoton. Seuraavissa otteissa jaetaan tietoja ja näkemyksiä, joista voi olla hyötyä eDiscovery-ekosysteemin asianajotoimistoille, yrityksille ja palveluntarjoajille, jotka haluavat oppia lisää kiristysohjelmista, Ryukin kiristysohjelmaperheestä ja vähentää kiristysohjelmahyökkäysten riskiä.

Ote Yhdysvaltain hallituksen Interagency julkaisusta kiristysohjelmista

Ransomware: mitä se on ja mitä tehdä sen suhteen

Mitä Ransomware on?

Ransomware on eräänlainen haittaohjelmien kybertoimijat, joilla estetään pääsy järjestelmiin tai tietoihin. Haitallinen kybernäyttelijä pitää järjestelmiä tai tietoja panttivankina lunnaiden maksamiseen asti. Ensimmäisen tartunnan jälkeen kiristysohjelma yrittää levitä jaettuihin tallennusasemiin ja muihin käytettävissä oleviin järjestelmiin. Jos vaatimukset eivät täyty, järjestelmä tai salatut tiedot eivät ole käytettävissä tai tiedot voidaan poistaa.

Miten suojaan verkkojani?

Sitoutuminen kyberhygieniaan ja parhaisiin käytäntöihin on ratkaisevan tärkeää verkostojesi suojaamiseksi. Seuraavassa on muutamia kysymyksiä, joita haluat ehkä kysyä organisaatiolta estääksesi kiristysohjelmahyökkäykset:

Varmuuskopiot: Varmuuskopioimmeko kaikki tärkeät tiedot? Onko varmuuskopiot tallennettu offline-tilaan? Olemmeko testanneet kykyämme palata varmuuskopioihimme tapauksen aikana?

Riskianalyysi: Olemmeko tehneet organisaation kyberturvallisuuden riskianalyysin?

Henkilöstön koulutus: Olemmeko kouluttaneet henkilökuntaa kyberturvallisuuden parhaisiin käytäntöihin?

Haavoittuvuuden korjaaminen: Olemmeko toteuttaneet tunnettujen järjestelmähaavoittuvuuksien asianmukaisen korjauksen?

Sovelluksen salliminen: Sallimmeko vain hyväksyttyjen ohjelmien suorittaa verkoissamme?

Tapahtumavastaus: Onko meillä hätätilanteen torjuntasuunnitelma ja olemmeko käyttäneet sitä?

Liiketoiminnan jatkuvuus: Pystymmekö ylläpitämään liiketoimintaa ilman pääsyä tiettyihin järjestelmiin? Kuinka pitkäksi aikaa? Olemmeko testanneet tätä?

Läpäisytestaus: Olemmeko yrittäneet murtautua omiin järjestelmiimme testataksemme järjestelmiemme turvallisuutta ja kykyämme puolustautua hyökkäyksiltä?

Miten voin vastata kiristysohjelmaan?

Toteuta tietoturvavälikohtauksen vastaus ja liiketoiminnan jatkuvuussuunnitelma. Organisaation IT-ammattilaisten voi kestää jonkin aikaa eristää ja poistaa kiristysohjelman uhka järjestelmiisi sekä palauttaa tiedot ja normaalit toiminnot. Sillä välin sinun on ryhdyttävä toimiin organisaation olennaisten toimintojen ylläpitämiseksi liiketoiminnan jatkuvuussuunnitelman mukaisesti. Organisaatioiden tulee ylläpitää ja testata säännöllisesti varmuuskopiointisuunnitelmia, palautumissuunnitelmia ja liiketoiminnan jatkuvuutta koskevia menettelyjä.

Ota välittömästi yhteyttä poliisiin. Kehotamme sinua ottamaan välittömästi yhteyttä paikalliseen FBI:hin tai USSS-kenttätoimistoon ilmoittamaan kiristysohjelmasta ja pyytämään apua. On olemassa vakavia riskejä ennen lunnaiden maksamista. Emme kannusta maksamaan lunnaita. Ymmärrämme, että kun yritykset kohtaavat toimintakyvyttömyyden, johtajat arvioivat kaikki vaihtoehdot osakkeenomistajiensa, työntekijöidensä ja asiakkaidensa suojelemiseksi. Kun harkitset tätä valintaa, harkitse seuraavia riskejä:

Lunnaiden maksaminen ei takaa, että organisaatio pääsee takaisin tietoihinsa. Joillekin henkilöille tai organisaatioille ei ole koskaan annettu salauksen purkuavaimia lunnaiden maksamisen jälkeen.

Jotkut uhrit, jotka maksoivat kysynnän, ovat ilmoittaneet, että kybertoimijat joutuvat jälleen kohteeksi.

Maksettuaan alun perin vaaditut lunnaat, jotkut uhrit ovat pyytäneet maksamaan enemmän saadakseen luvatun salauksen purkuavaimen.

Maksaminen voisi tahattomasti edistää tätä rikollista liiketoimintamallia.

Lue koko dokumentti kiristysohjelmassa: mitä se on ja mitä tehdä sille (PDF)

Otteen artikkelista Gabriela Nicolao ja Luciano Martins

Virus Bulletin 2019 Paper: Shinigamin kosto: Ryuk haittaohjelmien pitkä pyrstö

Abstrakti

Ryuk on kiristysohjelmaperhe, joka, toisin kuin tavalliset kiristysohjelmat, on sidottu kohdennettuihin kampanjoihin, joissa kiristystä voi esiintyä päiviä tai viikkoja infektion alkamisen jälkeen. Ryuk havaittiin ensimmäisen kerran elokuussa 2018, ja se on edelleen aktiivinen heinäkuusta 2019 lähtien.

Uhrien joukosta löytyy yrityksiä eri teollisuudenaloilta, kuten sanomalehdistä, ravintoloista, julkisista laitoksista ja pilvipalvelujen tarjoajista. Ryukia on havaittu toisen vaiheen hyötykuormana, joka on toimitettu kampanjoissa, joihin osallistuivat Emotet ja Trickbot, kaksi yleisintä uhkia, joita tällä hetkellä käytetään haittaohjelmakampanjoissa.

Ryukilla on vahva koodi, joka muistuttaa Hermes-kiristysohjelmaa, ja sen on todennäköisesti kehittänyt ja mahdollisesti jakanut sama uhkatekijä (t). Ryuk ja Hermes — hyötykuorma, joka oli väitetysti yhteydessä Pohjois-Korean uhkatoimijoihin — sai analyytikot epäilemään aluksi, että Ryuk oli sidoksissa pahamaineiseen Lasarus APT -ryhmään (Advance Pysyvä Threat). Tämä nimiöinti kuitenkin hylättiin pimeältä verkkofoorumilta kerättyjen todisteiden perusteella, ja haittaohjelma liittyi myöhemmin venäjänkielisille toimijoille, jotka mahdollisesti tunnetaan nimellä Grim Spider.

Ryuk-kronologia

Ryuk on kryptokiristysohjelma, joka mainittiin ensimmäisen kerran tweetissä 17. elokuuta 2018. Se käytti ”Ryukreadme.txt” lunnashuomautuksena, joten nimi.Ryuk on myös fiktiivisen hahmon nimi nimeltä Shinigami (God of Death) manga ja anime sarjassa nimeltä Death Note.

Tuolloin Ryuk ensimmäisen kerran raportoitu, se oli jo osunut kolmeen yritykseen eri maissa, ja tutkijat huomauttivat, että Ryuk perustui surullisen Hermes kiristysohjelman lähdekoodiin ja että se käytti samaa lunnasvaatimuksen muotoa kuin BitPayMer.

Hermes-kiristysohjelmaa käytti Lazarus, joka on vuodesta 2009 toiminut Pohjois-Korean sponsoroima uhkatoimijaryhmä. Koska Hermes on Lasarus, tutkijat uskoivat, että Ryuk oli myös sukua Lasarus.

Lue koko paperi Shinigami's Revenge: Ryuk Malware -lehdestä

Ote artikkelista Shyam Oza kautta Spanning

Ryuk kiristysohjelma

Syksyllä 2018 löydettiin muutettu versio Hermes-kiristysohjelmista: Ryuk. Sekä Hermes että Ryuk ovat samanlaisia ominaisuuksia. He tunnistavat ja salaavat verkkolaitteet sekä poistavat päätepisteisiin tallennettuja tilannevedoksia. Ainoa ero on, miten he luovat salausavaimet. Vaikka Hermes käyttää RSA:ta ja yksityistä avainparia, Ryuk käyttää toista RSA-julkista avainta.

Ryuk kiristysohjelma on tuottoisampi kuin edeltäjänsä. Se kohdistuu suuriin organisaatioihin ja valtion virastoihin, jotka lopulta maksavat suuria summia. Totuus on, että ilman suuria lahjuksia Ryukin hyökkäysten käsittely ei ole kestävää. Se sisältää runsaasti manuaalisia prosesseja (suora hyväksikäyttö, sähköpostilla käsitellyt maksupyynnöt jne.), eivätkä hyökkääjät halua tuhlata aikaa, jos sijoituksen tuotto ei ole hyvä.

Miten Ryuk toimii?

Ryuk kiristysohjelma ei ole infektiosyklin alku vaan loppu. Se on kiristysohjelma, joka tulee muotoon, askel askeleelta, ja kun se iskee, se on tappavaa.

Lue koko artikkeli Ryuk Ransomware

Ote artikkelista Lawrence Abrams

Ryuk kiristysohjelma hyökkäsi Epiq Global kautta TrickBot infektio

Epiq Globalin hyökkäys alkoi TrickBot-infektiolla

Nykyään tietoturva-alan lähde jakoi yksinomaan BleepingComputer -tietokonetta, joka valaisee, miten Epiq Global sai tartunnan.

Joulukuussa 2019 Epiqin verkon tietokone sai tartunnan TrickBot-haittaohjelmilla.

TrickBot on yleisimmin asentanut Emotet Trojan, joka leviää tietojenkalastelusähköpostien kautta.

Kun TrickBot on asennettu, se kerää erilaisia tietoja, kuten salasanoja, tiedostoja ja evästeitä, vaarantuneelta tietokoneelta ja yrittää sitten levitä sivusuunnassa koko verkkoon kerätä lisää tietoja.

Kun valmis sadonkorjuu tietoja verkossa, TrickBot avaa käänteinen kuori Ryuk operaattoreille.

Ryuk-näyttelijät pääsevät tartunnan saaneeseen tietokoneeseen ja alkavat suorittaa verkon tiedustelua. Järjestelmänvalvojan tunnistetiedot saatuaan he ottavat kiristysohjelman käyttöön verkon laitteissa PowerShell Empiren tai PSExecin avulla.

Epiq Globalin tapauksessa Ryuk lähetettiin verkkoon lauantaiaamuna 29.2.2020, jolloin kiristysohjelma alkoi salata tiedostoja tartunnan saaneilla tietokoneilla.

Vaikka Ryuk pidetään turvallisena kiristysohjelmana ilman heikkouksia sen salaus, Emsisoft n Brett Callow on kertonut BleepingComputer, että voi olla pieni mahdollisuus, että ne voivat auttaa palauttamaan tiedostoja salattu Ryuk kiristysohjelma.

”Yritykset kärsivät Ryuk pitäisi ottaa yhteyttä. On pieni - hyvin pieni - mahdollisuus, että voimme auttaa heitä palauttamaan tietonsa tarvitsematta maksaa lunnaita”, Callow kertoi BleepingComputer.com.

Vaikka mahdollisuudet ovat hyvin pienet, jos Ryuk Ransomware salaa laitteesi, se ei haittaa tarkistaa Emsisoftin kanssa.

BleepingComputer on ottanut yhteyttä Epiqiin lisäkysymyksiä tästä hyökkäyksestä, mutta eivät ole kuulleet takaisin tällä hetkellä.

Lue koko artikkeli Ryuk Ransomware Attiin Epiq Global Via TrickBot Infektio

Lisää lukemista

Epiq Ransomware hyökkäys osuu oikeudellisten palvelujen johtaja

Kansainvälisen oikeuden ja kyberoperaatioiden risteys: vuorovaikutteinen kyberoikeustyökalupakki

Lähde: ComplexDiscovery