Cómo los operadores del Ransomware Ryuk ganaron $34 millones de una víctima

Un grupo de ciberdelincuentes que apunta a empresas de altos ingresos con el ransomware Ryuk recibió $34 millones de una víctima. Esto a cambio de la clave de descifrado que desbloqueó sus computadoras.

El actor de amenazas es muy competente para moverse lateralmente dentro de una red comprometida y borrar la mayor cantidad de pistas posible. Todo esto lo hace antes de detonar el ransomware Ryuk.

Cobrando a lo grande

Este grupo es conocido como “uno”, según la identificación recibida de la botnet Trickbot que facilita las intrusiones de red para el ransomware Ryuk. Este actor de amenazas no tiene escrúpulos cuando se trata de objetivos.

Según Vitali Kremez de Advanced Intelligence, las víctimas recientes del grupo Ryuk “one” incluyen empresas del sector tecnológico, sanitario, energético, financiero y gubernamental.

Las organizaciones de los segmentos de servicios sociales y de salud representan un poco más del 13% de todas las víctimas afectadas por este ransomware.

Desde que reanudó su actividad, el ransomware Ryuk ha dejado un gran rastro de víctimas. Un informe de Check Point señaló en octubre el grupo atacaba, en promedio, 20 empresas cada semana durante el tercer trimestre de 2020.

Las noticias recientes del ransomware Ryuk informan sobre redes cifradas que pertenecen a Universal Health Services (UHS). También atacaron la empresa de servicios de informáticos de grandes ligas Sopra Steria. Asimismo, el bufete de abogados Seyfarth Shaw, el gigante de muebles de oficina Steelcase y hospitales en Brooklyn y Vermont.

El investigador dice que el pago promedio recibido por este grupo en particular es de 48 bitcoins (cerca de $750,000), y ganaron al menos $150 millones desde 2018.

En un informe de hoy, Kremez dice que este actor de amenazas de habla rusa es duro durante las negociaciones y rara vez muestra indulgencia. El pago confirmado más grande que recibieron fue de 2,200 bitcoins, que actualmente se acerca a los $34 millones.

Cadena de ataque de 15 pasos

Al analizar el flujo de ataque de un compromiso de respuesta a incidentes, Kremez señala que Ryuk trabaja de una manera “disciplinada”. El grupo utiliza 15 pasos para encontrar hosts disponibles en la red, robar credenciales de nivel de administrador e implementar el ransomware Ryuk.

Obtienen software disponible (gran parte de este es de código abierto) que también es utilizado por los equipos rojos para probar la seguridad de red:

  • Mimikatz: herramienta de post-explotación para recuperar credenciales de la memoria
  • PowerShell PowerSploit: una colección de scripts de PowerShell utilizados para la post-explotación
  • LaZagne: similar a Mimikatz, utilizado para recopilar contraseñas de software almacenado localmente
  • AdFind: herramienta de consulta de Active Directory
  • Bloodhound: otra herramienta de post-explotación para enumerar y visualizar el dominio Active Directory, completo con dispositivos, usuarios conectados, recursos y permisos.
  • PsExec: permite ejecutar procesos en sistemas remotos

La cadena de ataque comienza ejecutando el comando “invoke” de Cobalt Strike para ejecutar el script “DACheck.ps1”. hacen esto para verificar si el usuario actual es parte de un grupo de administradores de dominio.

A partir de ahí, las contraseñas se recuperan a través de Mimikatz y la red se mapea. Posteriormente, los hosts se identifican después del escaneo de puertos para los protocolos FTP, SSH, SMB, RDP y VNC.

Pasos del ataque

Kremez detalla los pasos completos del ataque, agregando los comandos redactados de Cobalt Strike:

  1. Examinar el administrador del dominio mediante el script “Invoke-DACheck”
  2. Recuperar contraseñas de host a través de Mimikatz “mimikatz’s sekurlsa::logonpasswords”
  3. Revertir el token y crear un token para el comentario administrativo desde la salida del comando Mimikatz
  4. Revisar la red del host a través de “net view”
  5. Escaneo de puertos para protocolos FTP, SSH, SMB, RDP, VNC
  6. Lista de accesos en los hosts disponibles
  7. Subir el kit “AdFind” del buscador de Active Directory con el script batch “adf.bat” desde la “net view” y los hosts escaneados
  8. Mostrar el nombre del antivirus en el host mediante el comando “WMIC”
  9. Subir la herramienta de recuperación de contraseña multipropósito “LaZagne” para escanear el host
  10. Quitar la herramienta de recuperación de contraseña
  11. Ejecutar ADFind y guardar los resultados
  12. Eliminar los artefactos de la herramienta AdFind y descargar los resultados
  13. Otorgar acceso completo a la red para todo lo relacionado con el ransomware Ryuk
  14. Subir el software de ejecución remota “PSExec” a los hosts de red preparados y desinstalar el producto antivirus
  15. Subir los scripts de ejecución batch a los hosts de red analizados y ejecutar Ryuk a través de PsExec bajo diferentes usuarios comprometidos

Trickbot

El grupo Trickbot comenzó a difundir la puerta trasera de BazarLoader desde al menos abril de 2020 a través de campañas de spear phishing. A diferencia del malware Trickbot altamente detectado, el malware probablemente se reservó para víctimas valiosas al principio. Esto para implementar una guía Cobalt Strike que brinda acceso remoto a los operadores.

Últimamente, sin embargo, los intentos de phishing con este malware se han vuelto más comunes, utilizando señuelos adaptados al momento del ataque (vacaciones, eventos). También están utilizando temas que se prestan a cualquier época del año (quejas, nóminas, notificaciones de servicio o empleo).

Deja un comentario