Вымогательство, Рюк и риск: начало понимать эпическую атаку на Эпик

According to Shyam Oza, Director of Product Management at Spanning, “The best way to protect your business from Ryuk is to avoid it. Avoidance comes when employees are educated in the matters of ransomware. Some employees do not receive the training, some do, and some know it all too well. Yet, human errors seem to be responsible for 90% of data breaches. Clearly, this tactic is not working.”

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Примечание редактора: Недавняя атака программ-вымогателей на юридические услуги и поставщика eDiscovery Epiq ускорила осведомленность о кибербезопасности в профессиональном сообществе по обнаружению данных и предоставлению юридических документов. Признанная атака программ-вымогателей, по-видимому, была инициирована с помощью инфекции TrickBot, которая позволила развернуть программ-вымогателей Ryuk. Следующие выдержки делятся информацией и сведениями, которые могут быть полезны юридическим фирмам, корпорациям и поставщикам услуг в экосистеме обнаружения электронных данных, стремясь получить больше информации о программам-вымогателях, семействе программ-вымогателей Ryuk и снизить риск, связанный с атаками программ-вымогателей.

Выдержка из межведомственной публикации правительства США о программам-вымогателей

Вымогатели: что это такое и что с ним делать

Что такое программы-вымогатели?

Вымогательство — это тип вредоносных программ, которые кибер-актеры используют для отказа в доступе к системам или данным. Злонамеренный кибер-актер удерживает системы или данные в заложниках до тех пор, пока выкуп не будет выплачен. После первоначального заражения программа-вымогатель пытается распространить его на общие диски хранения и другие доступные системы. Если требования не выполняются, система или зашифрованные данные остаются недоступными, либо данные могут быть удалены.

Как защитить свои сети?

Приверженность кибергигиене и передовым практикам имеет решающее значение для защиты ваших сетей. Вот несколько вопросов, которые вы можете задать вашей организации для предотвращения атак программ-вымогателей:

Резервные копии: Выполняем ли мы резервное копирование всей важной информации? Резервные копии хранятся в автономном режиме? Проверяли ли мы нашу способность возвращаться к резервным копиям во время инцидента?

Анализ рисков: Проводили ли мы анализ рисков кибербезопасности организации?

Обучение персонала: Проводили ли мы обучение персонала передовым методам кибербезопасности?

Исправления уязвимостей: Реализовано ли соответствующее исправление известных системных уязвимостей?

Белый список приложений: Разрешить ли мы только утвержденные программы для запуска в наших сетях?

Реагирование на инциденты: Есть ли у нас план реагирования на инциденты и осуществили ли ли мы его?

Непрерывность бизнеса: можем ли мы поддерживать бизнес-операции без доступа к определенным системам? Как долго? Мы проверяли это?

Тестирование проникновения: Пытались ли мы взломать наши собственные системы, чтобы проверить безопасность наших систем и нашу способность защищать от атак?

Как я могу реагировать на случайное программное обеспечение?

Реализовать план реагирования на инциденты безопасности и обеспечения непрерывности бизнеса. ИТ-специалистам организации может потребоваться время для того, чтобы изолировать и устранить угрозу, угрожающую системам программ-вымогателей, а также восстановить данные и нормальную работу. Тем временем следует предпринять шаги для поддержания основных функций организации в соответствии с планом обеспечения непрерывности бизнеса. Организациям следует поддерживать и регулярно тестировать планы резервного копирования, планы аварийного восстановления и процедуры обеспечения непрерывности бизнеса.

Немедленно свяжитесь с правоохранительными органами. Мы рекомендуем вам немедленно связаться с местным отделением ФБР или USSS, чтобы сообщить о событии вымогательства и запросить помощь. Есть серьезные риски, которые следует учитывать перед выплатой выкупа. Мы не поощряем выплату выкупа. Мы понимаем, что когда предприятия сталкиваются с неспособностью функционировать, руководители будут оценивать все варианты защиты своих акционеров, сотрудников и клиентов. Рассматривая этот выбор, учитывайте следующие риски:

Выплата выкупа не гарантирует, что организация получит доступ к своим данным; на самом деле, некоторые лица или организации никогда не получали ключи расшифровки после уплаты выкупа.

Некоторые жертвы, оплатившие спрос, сообщили, что они снова становятся мишенью кибер-актеров.

После уплаты первоначально требуемого выкупа, некоторые жертвы попросили заплатить больше, чтобы получить обещанный ключ расшифровки.

Платежа может непреднамеренно стимулировать эту преступную бизнес-модель.

Читайте полный документ на сайте Вымогателей: Что это такое и что с ним делать (PDF)

Выдержка из статьи Габриэлы Николао и Лучано Мартинш

Вирус Бюллетень 2019 Статья: Месть Шинигами: длинный хвост вредоносного ПО Рюка

Аннотация

Ryuk — это семейство программ-вымогателей, которое, в отличие от обычных программ-вымогателей, связано с целевыми кампаниями, в которых вымогательство может происходить через несколько дней или недель после начальной инфекции. Рюк был впервые замечен в августе 2018 года и остается активным с июля 2019 года.

Среди его жертв мы находим компании из разных отраслей, включая газеты, рестораны, государственные учреждения и поставщик облачных услуг. Рюк был замечен в качестве полезной нагрузки второго этапа в кампаниях, в которых участвовали Emotet и Trickbot, две из наиболее распространенных угроз, которые в настоящее время используются в кампаниях вредоносных программ.

Рюк имеет сильное сходство кода с программам-вымогателем Hermes и, вероятно, был разработан и, возможно, распространен одним и тем же субъектом (ами) угрозы. Сходства кода, обнаруженные между Рюком и Гермесом — полезной нагрузкой, которая якобы была связана с северокорейскими субъектами угрозы — заставляли аналитиков сначала подозревать, что Рюк был связан с печально известной группой Lazarus APT (Advance Persistent Threat). Тем не менее, эта атрибуция была отклонена на основании доказательств, собранных с темного веб-форума, и вредоносное ПО позже было приписано русскоязычным актерам, возможно известным как Grim Spider.

Хронология Рюка

Ryuk — криптовымогатель, впервые упомянутый в твите 17 августа 2018 года. Он использовал 'RyukReadMe.txt' в качестве купюра, отсюда имя.Рюк также имя вымышленного персонажа, известного как Shinigami (Бог смерти) в манге и аниме серии под названием Death Note.

В то время, когда Рюк был впервые доложен, он уже попал в три компании в разных странах, и исследователи отметили, что Рюк был основан на печально известном исходном коде вымогателя Hermes и что он использовал тот же формат выкупа, что и BitPaymer.

Вымогатель Hermes был использован Лазарем, поддерживаемой Северной Кореей группой актеров угроз, действующей с 2009 года. В связи с присвоением Гермеса Лазаря исследователи считали, что Рюк был также связан с Лазарем.

Читайте полную статью на «Месть Шинигами: длинный хвост вредоносного ПО Рюка»

Выдержка из статьи Шяма Озы через Spanning

Вымогательство Рюк

Осенью 2018 года была обнаружена модифицированная версия программ-вымогателей Hermes: Ryuk. И Гермес, и Рюк имеют схожие характеристики. Они идентифицируют и шифруют сетевые устройства, а также удаляют теневые копии, хранящиеся на конечных точках. Единственное отличие заключается в том, как они создают ключи шифрования. В то время как Гермес использует пару RSA и закрытого ключа, Рюк использует второй открытый ключ RSA.

Вымогатель «Рюк» более прибыльный, чем его предшественник. Он нацелен на крупные организации и государственные учреждения, которые в конечном итоге выплачивают большие суммы. Правда в том, что без больших выплат обработка атак Рюка не является устойчивой. Она включает в себя высокую степень ручных процессов (прямая эксплуатация, платежные запросы обрабатываются по электронной почте и т.д.), и злоумышленники не хотят тратить время, если рентабельность инвестиций не является хорошей.

Как работает Рюк?

Программа-вымогатель Рюка — это не начало, а конец инфекционного цикла. Это программа-вымогатель, которое приходит в форму, шаг за шагом, и когда оно ударяет, оно смертельно.

Читайте полную статью на Ryuk Ransomware

Выдержка из статьи Лоренса Абрамса

Вымогатели Рюка атаковали Epiq Global через инфекцию TrickBot

Атака Epiq Global началась с инфекции TrickBot

Сегодня источник в индустрии кибербезопасности исключительно поделился информацией с BleepingComputer, которая проливает свет на то, как Epiq Global заразился.

В декабре 2019 года компьютер в сети Epiq заразился вредоносным ПО TrickBot.

TrickBot чаще всего устанавливается трояном Emotet, который распространяется через фишинговые письма.

После установки TrickBot будет собирать различные данные, в том числе пароли, файлы и файлы cookie, с компьютера скомпрометированных, а затем попытается распространить по сети сбоку, чтобы собрать больше данных.

После сбора данных в сети, TrickBot откроет обратную оболочку для операторов Рюка.

После этого актеры Рюка получат доступ к зараженному компьютеру и начнут проводить разведку сети. Получив учетные данные администратора, они будут развертывать программы-вымогатели на сетевых устройствах с помощью PowerShell Empire или PSExec.

В случае с Epiq Global, Ryuk был развернут в их сети в субботу утром, 29 февраля 2020 года, когда программа-вымогатель начал шифровать файлы на зараженных компьютерах.

В то время как Ryuk считается защищенным программам-вымогателем без каких-либо недостатков в его шифровании, Бретт Кэллоу от Emsisoft сказал BleepingComputer, что может быть небольшая вероятность того, что они могут помочь восстановить файлы, зашифрованные программам-вымогателем Ryuk.

«Компании, затронутые Рюком, должны связаться с нами. Существует небольшой - очень маленький - шанс, что мы сможем помочь им восстановить свои данные без необходимости платить выкуп», - сказал Кэллоу BleepingComputer.com.

Хотя шансы очень малы, если ваши устройства зашифрованы Ryuk Ransomware, это не помешает проверить с Emsisoft.

BleepingComputer связался с Epiq с дополнительными вопросами об этой атаке, но не слышал ответа в это время.

Читайте полную статью на Ryuk Вымогатели атаковали Epiq Global через инфекцию TrickBot

Дополнительное чтение

Атака Epiq вымогателей ударилась по лидеру юридических служб

Пересечение международного права и киберопераций: интерактивный инструментарий киберправа

Источник: КомплексОбнаружение