Ransomware, Ryuk e Risco: Começando a entender o ataque épico ao Epiq

According to Shyam Oza, Director of Product Management at Spanning, “The best way to protect your business from Ryuk is to avoid it. Avoidance comes when employees are educated in the matters of ransomware. Some employees do not receive the training, some do, and some know it all too well. Yet, human errors seem to be responsible for 90% of data breaches. Clearly, this tactic is not working.”

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Nota do editor: O recente ataque de ransomware contra serviços jurídicos e provedor de eDiscovery Epiq acelerou a conscientização sobre segurança cibernética na comunidade profissional de descoberta de dados e descoberta legal. O ataque de ransomware reconhecido parece ter sido iniciado com uma infecção TrickBot que permitiu a implantação do ransomware Ryuk. As extrações a seguir compartilham informações e informações que podem ser úteis para escritórios de advocacia, corporações e provedores de serviços no ecossistema de eDiscovery que buscam saber mais sobre ransomware, a família de ransomware Ryuk e reduzir o risco associado a ataques de ransomware.

Um extrato da Publicação Interinstitucional do Governo dos EUA sobre Ransomware

Ransomware: O que é e o que fazer sobre isso

O que é Ransomware?

Ransomware é um tipo de software mal-intencionado que atores cibernéticos usam para negar acesso a sistemas ou dados. O ator cibernético malicioso mantém sistemas ou dados reféns até que o resgate seja pago. Após a infecção inicial, o ransomware tenta se espalhar para drives de armazenamento compartilhados e outros sistemas acessíveis. Se as demandas não forem atendidas, o sistema ou os dados criptografados permanecerão indisponíveis ou os dados podem ser excluídos.

Como protejo minhas redes?

Um compromisso com a ciberhigiene e as melhores práticas é fundamental para proteger suas redes. Aqui estão algumas perguntas que você pode querer fazer sobre sua organização para ajudar a evitar ataques de ransomware:

Backups: fazemos backup de todas as informações críticas? Os backups são armazenados off-line? Testamos nossa capacidade de reverter para backups durante um incidente?

Análise de Risco: Nós realizamos uma análise de risco de segurança cibernética da organização?

Treinamento de Pessoal: Treinamos o pessoal sobre as melhores práticas de segurança cibernética?

Patches de vulnerabilidade: implementamos patches apropriados de vulnerabilidades conhecidas do sistema?

Lista branca de aplicativos: permitimos que apenas programas aprovados sejam executados em nossas redes?

Resposta a Incidentes: Temos um plano de resposta a incidentes e o exercitamos?

Continuidade de negócios: somos capazes de sustentar as operações de negócios sem acesso a determinados sistemas? Por quanto tempo? Já testamos isso?

Teste de penetração: Tentamos invadir nossos próprios sistemas para testar a segurança de nossos sistemas e nossa capacidade de nos defender contra ataques?

Como Respondo ao Ransomeware?

Implemente seu plano de resposta a incidentes de segurança e continuidade de negócios. Pode levar tempo para que os profissionais de TI da sua organização isolem e removam a ameaça de ransomware aos seus sistemas e restaure dados e operações normais. Enquanto isso, você deve tomar medidas para manter as funções essenciais de sua organização de acordo com seu plano de continuidade de negócios. As organizações devem manter e testar regularmente planos de backup, planos de recuperação de desastres e procedimentos de continuidade de negócios.

Contacte a polícia imediatamente. Recomendamos que você entre em contato com um escritório local do FBI ou da USSS imediatamente para relatar um evento de ransomware e solicitar assistência. Há sérios riscos a considerar antes de pagar o resgate. Não encorajamos pagar um resgate. Entendemos que quando as empresas enfrentam uma incapacidade de funcionar, os executivos avaliarão todas as opções para proteger seus acionistas, funcionários e clientes. Ao contemplar essa escolha, considere os seguintes riscos:

O pagamento de um resgate não garante que uma organização recupere o acesso aos seus dados; na verdade, alguns indivíduos ou organizações nunca receberam chaves de descriptografia depois de ter pago um resgate.

Algumas vítimas que pagaram a demanda relataram ter sido alvo novamente por atores cibernéticos.

Depois de pagar o resgate originalmente exigido, algumas vítimas foram solicitadas a pagar mais para obter a chave de descriptografia prometida.

Pagar poderia inadvertidamente encorajar este modelo de negócio criminoso.

Leia o documento completo no Ransomware: O que é e o que fazer sobre isso (PDF)

Um extrato de um artigo de Gabriela Nicolao e Luciano Martins

Documento do Boletim de Vírus 2019: A Vingança de Shinigami: A Cauda Longa do Malware Ryuk

Abstrato

Ryuk é uma família de ransomware que, ao contrário do ransomware regular, está ligada a campanhas direcionadas onde a extorsão pode ocorrer dias ou semanas após uma infecção inicial. Ryuk foi observado pela primeira vez em agosto de 2018 e permanece ativo a partir de julho de 2019.

Entre suas vítimas, encontramos empresas de diferentes indústrias, incluindo jornais, restaurantes, instituições públicas e um provedor de serviços em nuvem. Ryuk tem sido observado como uma carga de segunda etapa entregue em campanhas que envolveram Emoet e Trickbot, duas das ameaças mais difundidas que estão sendo usadas atualmente em campanhas de malware.

Ryuk tem uma forte semelhança de código com o ransomware Hermes e provavelmente foi desenvolvido e possivelmente distribuído pelo (s) mesmo (s) ator (es) de ameaça. As semelhanças de código encontradas entre Ryuk e Hermes — uma carga que supostamente estava ligada a atores norte-coreanos — levaram os analistas inicialmente a suspeitar que Ryuk estava afiliado ao infame grupo Lazarus APT (Advance Persistent Threat). No entanto, essa atribuição foi descartada com base em evidências coletadas de um fórum Dark Web e o malware foi mais tarde atribuído a atores de língua russa possivelmente conhecidos como Grim Spider.

Cronologia Ryuk

Ryuk é um crypto-ransomware que foi mencionado pela primeira vez em um Tweet em 17 de agosto de 2018. Ele usou 'RyukReadme.txt' como uma nota de resgate, daí o name.Ryuk é também o nome de um personagem fictício conhecido como Shinigami (Deus da Morte) em uma série de mangá e anime chamada Death Note.

No momento em que Ryuk foi relatado pela primeira vez, ele já tinha atingido três empresas em diferentes países, e pesquisadores apontaram que Ryuk foi baseado no infame código fonte do ransomware Hermes e que ele usou o mesmo formato de nota de resgate que BitPaymer.

O ransomware Hermes foi usado por Lazarus, um grupo de atores de ameaça patrocinado pela Coreia do Norte, ativo desde 2009. Devido à atribuição de Hermes a Lázaro, os pesquisadores acreditavam que Ryuk também estava relacionado a Lázaro.

Leia o artigo completo no Shinigami Revenge: The Long Tail of the Ryuk Malware

Um extrato de um artigo de Shyam Oza via Spanning

Ransomware Ryuk

No outono de 2018, uma versão modificada do ransomware Hermes foi descoberta: Ryuk. Tanto Hermes quanto Ryuk têm características semelhantes. Eles identificam e criptografam dispositivos de rede juntamente com a exclusão de cópias de sombra armazenadas nos pontos finais. A única diferença é como eles criam as chaves de criptografia. Enquanto a Hermes usa um RSA e um par de chaves privadas, o Ryuk usa uma segunda chave pública RSA.

O ransomware Ryuk é mais lucrativo do que seu antecessor. Ele tem como alvo grandes organizações e agências governamentais que acabam pagando grandes quantias. A verdade é que, sem os grandes subornos, processar ataques Ryuk não é sustentável. Envolve um alto grau de processos manuais (exploração direta, solicitações de pagamento tratadas via e-mail, etc.) e os atacantes não querem perder tempo se o ROI não for bom.

Como o Ryuk funciona?

Ryuk ransomware não é o começo, mas o fim de um ciclo de infecção. É o ransomware que entra em forma, passo a passo, e quando atinge, é letal.

Leia o artigo completo no Ryuk Ransomware

Um extrato de um artigo de Lawrence Abrams

Ryuk Ransomware atacou a Epiq Global através da infecção por TrickBot

O ataque da Epiq Global começou com uma infecção por TrickBot

Hoje, uma fonte no setor de segurança cibernética compartilhou informações exclusivamente com BleepingComputer que esclarece como a Epiq Global se infectou.

Em dezembro de 2019, um computador na rede da Epiq foi infectado com o malware TrickBot.

O TrickBot é mais comumente instalado pelo Trojan Emoet, que é espalhado por e-mails de phishing.

Uma vez instalado o TrickBot, ele coletará vários dados, incluindo senhas, arquivos e cookies, de um computador comprometido e tentará se espalhar lateralmente por toda a rede para coletar mais dados.

Quando terminar a coleta de dados em uma rede, o TrickBot abrirá um shell reverso para os operadores Ryuk.

Os atores Ryuk terão acesso ao computador infectado e começarão a realizar o reconhecimento da rede. Depois de obter credenciais de administrador, eles implantarão o ransomware nos dispositivos da rede usando o PowerShell Empire ou PSExec.

No caso da Epiq Global, Ryuk foi implantado em sua rede na manhã de sábado, 29 de fevereiro de 2020, quando o ransomware começou a criptografar arquivos em computadores infectados.

Enquanto Ryuk é considerado um ransomware seguro sem quaisquer fraquezas em sua criptografia, Brett Callow da Emsisoft disse à BleepingComputer que pode haver uma pequena chance de que eles possam ajudar a recuperar arquivos criptografados pelo ransomware Ryuk.

“As empresas afetadas pela Ryuk devem entrar em contato conosco. Há uma pequena - muito pequena - chance de que possamos ajudá-los a recuperar seus dados sem precisar pagar o resgate”, disse Callow à BleepingComputer.com.

Embora as chances sejam muito pequenas, se seus dispositivos são criptografados pelo Ryuk Ransomware não faz mal verificar com Emsisoft.

BleepingComputer contactou a Epiq com mais perguntas sobre este ataque, mas não teve resposta neste momento.

Leia o artigo completo em Ryuk Ransomware Atacado Epiq Global via infecção TrickBot

Leitura adicional

Um ataque de ransomware da Epiq atinge líder de serviços jurídicos

A interseção de Direito Internacional e Operações Cibernéticas: um kit de ferramentas interativo de lei cibernética

Fonte: ComplexDiscovery