¡Cuidado – El ransomware Ryuk actualiza sus técnicas de ataque!
Los recientes ataques del ransomware Ryuk muestran que tiene una nueva preferencia cuando se trata de obtener acceso inicial a la red de las víctimas.
La tendencia observada en los ataques de este año revela una predilección por apuntar a hosts con conexiones de escritorio remotas expuestas en internet público.
Además, el uso de correos electrónicos de phishing dirigidos para enviar el malware sigue siendo un vector de infección inicial preferido por los atacantes.
Nueva tendencia para la infección inicial
Los investigadores de seguridad de la compañía de inteligencia de amenazas Advanced Intelligence (AdvIntel) observaron nuevas técnicas detrás de este temido ransomware. Los ataques del ransomware Ryuk este año se basaron más a menudo en comprometer las conexiones RDP expuestas para ganar un punto de apoyo inicial en una red objetivo.
Los actores han ejecutado “ataques de rociado de contraseñas y fuerza bruta a gran escala contra hosts RDP expuestos” para comprometer las credenciales del usuario.
Otro vector de compromiso inicial fue el spear phishing y el uso de la campaña BazaCall para distribuir malware a través de centros de llamadas maliciosos. Esta campaña apuntaba a usuarios corporativos y los dirigían a documentos de Excel infectados.
Reconocimiento en etapas
Los investigadores de AdvIntel dicen que los atacantes de Ryuk realizan un reconocimiento de la víctima en dos etapas. La primera para determinar los recursos valiosos en el dominio comprometido (recursos compartidos de red, usuarios, unidades organizativas de Active Directory – AD).
La segunda etapa con el objetivo es encontrar información sobre los ingresos de la empresa. Esto para establecer un monto de rescate que la víctima puede pagar para recuperar los sistemas.
Para enumerar la información del Active Directory, los operadores de ransomware de Ryuk confían en AdFind (herramienta de consulta de AD). También usan la herramienta de post-explotación Bloodhound que explora las relaciones en un dominio de Active Directory (AD) para encontrar rutas de ataque.
Para Obtener detalles financieros sobre la víctima se basan en datos de código abierto. AdvIntel dice que los acantes buscan en servicios como ZoomInfo información sobre las fusiones y adquisiciones recientes de la compañía. Además, buscan otros detalles que pueden aumentar la rentabilidad del ataque.
Los atacantes llevan a cabo un reconocimiento adicional utilizando la herramienta de post-explotación Cobalt Strike. Cobalt Strike se ha convertido en un estándar en la mayoría de las operaciones de ransomware y escaneos. Esta herramienta revela los productos de seguridad como el antivirus y la respuesta de detección de puntos finales (EDR) que defienden la red.
Técnicas novedosas
Los investigadores dicen que el atacante contrata a otros ciberdelincuentes para conocer las defensas en una red que atacan para encontrar una manera de desactivarlas.
Entre las técnicas más nuevas que los investigadores vieron en los ataques del ransomware Ryuk se encontraba el uso de KeeThief. KeeThief es una herramienta de código abierto para extraer credenciales del administrador de contraseñas KeePass.
KeeThief funciona extrayendo material de claves (por ejemplo, contraseña maestra, archivo de claves) de la memoria de un proceso KeePass en ejecución con una base de datos desbloqueada.
Vitali Kremez, director ejecutivo de AdvIntel dijo que los atacantes utilizaron KeeThief para eludir EDR y otras defensas. Esto para robar las credenciales de un administrador informático local con acceso al software EDR.
Otra táctica fue implementar una versión portátil de Notepad ++ para ejecutar scripts de PowerShell en sistemas con restricción de ejecución de PowerShell.
Según AdvIntel, los ataques de ransomware de Ryuk de este año están explotando dos vulnerabilidades para aumentar sus permisos en una máquina comprometida. Ambas vulnerabilidades son antiguas y hay parches disponibles para ellas:
- CVE-2018-8453. Es una vulnerabilidad de escalamiento de privilegios de alta gravedad (7.8/10) en Windows 7 a 10 y Windows Server 2008 a 2016. La vulnerabilidad permite ejecutar un kernel arbitrario con permisos de lectura/escritura porque el componente Win32k no puede administrar correctamente los objetos en la memoria
- CVE-2019-1069. Vulnerabilidad de escalada de privilegios de alta gravedad (7.8/10) en Windows 10, Windows Server 2016 y 2019. La vulnerabilidad se debe a la forma en que el servicio del programador de tareas valida ciertas operaciones de archivos. Esto permite un ataque de enlace duro.
Otras herramientas
Otra observación de AdvIntel es que un reciente ataque del ransomware Ryuk utilizó la herramienta ofensiva de código abierto CrackMapExec. Esto para extraer las credenciales de administrador y moverse lateralmente en la red de la víctima.
“Una vez que los actores han comprometido con éxito una cuenta de administrador local o de dominio, distribuyen el payload de Ryuk. Lo distribuyen a través de GPO, sesiones PsExec desde un controlador de dominio o utilizando un elemento de inicio en el recurso compartido SYSVOL”.
Advanced Intelligence
Los investigadores recomiendan a las organizaciones los siguientes pasos de mitigación de riesgos:
- Detectar el uso de Mimikatz y la ejecución de PsExec en la red
- Estar pendientes de alertas de la presencia de AdFind, Bloodhound y LaZagne en la red
- Asegurarse de que los sistemas operativos y el software tengan los últimos parches de seguridad
- Implementar la autenticación multifactor para el acceso RDP
- Segmentar la red y controles para comprobar el tráfico SMB y NTLM
- Utilizar el principio de privilegios mínimos y controles de rutina para los permisos de las cuentas.
- Revisión rutinaria de los permisos de las cuentas para evitar errores de privilegios y mantener el principio de privilegio mínimo
- Revisión rutinaria de directiva de grupo (Group Policy Objects)y scripts de inicio de sesión
- Sistemas de parche contra CVE-2018-8453 y CVE-2019-1069
Ryuk ha estado en el negocio del ransomware durante mucho tiempo y es conocido como un negociador duro. Se estima que recaudaron al menos $150 millones en rescates, y una víctima terminó pagando $34 millones para restaurar sus sistemas.
Dadas estas cifras, tiene sentido que el actor haya cambiado a nuevas tácticas, técnicas y procedimientos. El grupo detrás de Ryuk desea mantenerse a la vanguardia y mantener en funcionamiento el lucrativo negocio del ransomware.