Több mint 3,7 millió dollárt zsákmányolt a nagyvállalati ransomware
A tavaly augusztusban élesített Ryuk kártevő kifejezetten a tehetős áldozatokra vadászott, a támadással pedig volt, hogy egy évet is várt a fertőzés után.
Nagyvadakra lő a Ryuk ransomware, a kártevő kifejezetten azokra a vállalati célpontokra vadászik, amelyekről nagy összegeket gombolhat le. A stratégia, amelyről a napokban a FireEye, illetve a CrowdStrike biztonsági szakértői is beszámoltak, nagyon is hatékonynak bizonyul a zsarolóvírus mögött álló támadók számára, azzal ugyanis 2018 augusztusa óta összesen mintegy 3,7 millió dollárnak megfelelő bitcoint tudtak kikényszeríteni áldozataiktól.
A CrowdStrike szerint a Ryuk mögött a Wizard Spider ernyőszervezet alatt működő, Grim Spider bűnözőcsoport áll. A kártevő érdekes fertőzési metódust használ, azokat a rendszereket támadja meg, amelyeket korábban a TrickBot kártevő már megfertőzött. A cég szakértői szerint utóbbi trójai terjesztéséért is a Wizard Spider bűnszervezet felelős, amely azzal az információgyűjtés mellett szándékosan előre megágyazott a Ryuk malware-nek is. Utóbbi kifejezetten a nagyvállalati célpontokat részesíti előnyben, forráskódja pedig számos hasonlóságot mutat a Hermes ransomware-rel is. A Hermest már számos bűnözőcsoport használta, a kártevőt online fórumokon is kínálták eladásra - nincs kizárva tehát, hogy a Ryuk a Hermes egy variánsa, azt ugyanakkor az eddigi információk szerint csak a Grim Spider csapata használja, kizárólag vállalati támadásokra.
Phishing kampány nyitotta meg a nagyvállalati kapukat
A szakértőknek egyelőre nem sikerült minden áldozatnál megállapítani, hogy hogyan került a TrickBot a rendszereikre, ugyanakkor az tudható, hogy a támadók egyebek mellett egy a céges fizetési adatoknak kiküldésének álcázott, emailes phishing kampánnyal vették rá a gyanútlan áldozatokat a rosszindulatú szoftver telepítésére, főként az Egyesült Államokban. A támadók számos iparág szereplőit megcélozták, a pénzügyi szolgáltatásoktól a gyártókon át egészen a kormányzati intézményekig.
Miután a felhasználók a preparált emailt megnyitották, a TrickBot gyorsan települt az adott rendszerre, amelyen újraindítás után is elérhető maradt. A malware első körben a hálózati terjeszkedésre szolgáló moduljait vetette be, amellyel az adott hálózaton elérhető további gépekre is átterjedt, ehhez SMB-t, illetve korábban begyűjtött belépési adatokat használva. A módszerrel egyes vállalatoknál a kártevő több száz gépre is eljutott. A sikeres fertőzést követően a TrickBot jellemzően passzív maradt, volt olyan eset, ahol akár egy teljes éven keresztül is. A rendszerekhez szerzett hozzáférést a támadók vélhetően már ekkor monetizálták valamilyen módon, miközben megágyaztak a Ryuk malware-nek a rendszereken.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
Miután a TrickBotot a támadók egy idő után újra aktiválták, - azzal RDP kapcsolaton, illetve Empire backdooron keresztül, a kártevő reverse-shell moduljait használva -, álcázott PowerShell scriptekkel láttak munkához a fertőzött hálózaton. A kutatók szerint a rendszerekre juttatott Ryuk ezután sem teljesen automatizáltan működött, a támadásban a Grim Spider aktív emberi interakciója is szerepet játszott, a támadók így tudták az akciókat a különböző cégek egyedi környezeteihez igazítani. Egyes esetekben például a ransomware egy valamelyest átszabott verzióját vetették be, amelyhez külön .bat scriptben mellékelték az olyan parancsokat, amelyeket a kártevő a biztonsági szoftverek kijátszására használ.
Nem ez volt az utolsó
A Ryuk először tavaly augusztusban bukkant fel, a várakozási idő alatt pedig a TrickBotnak hála a támadók egy sor hasznos információt be tudtak gyűjteni a megcélzott infrastruktúrákról, hogy aztán a ransomware-rel azok legkritikusabb részeit tehessék elérhetetlenné a cég számára, ezzel is kényszerítve a vállalatot a minél tempósabb fizetésre - a stratégia, mint a fenti összeg is mutatja, eddig kifejezetten jövedelmező volt a támadók számára. A FireEye szerint egyre népszerűbb módszer az online bűnözők körében, hogy csak jóval azután telepítenek ransomware-t a célrendszerekre, miután azokhoz már hozzáférést szereztek, illetve kitapogatták a hálózatok legérzékenyebb pontjait. A biztonsági szakértők idén több hasonló támadásra is számítanak, főként a Ryuk sikere után.