Blog

L'opération du rançongiciel Ryuk met à jour les techniques de piratage – Un serveur de qualité

Le 17 avril 2021 , mis à jour le 4 septembre 2021 - 6 minutes de lecture


Les récentes attaques des opérateurs de ransomwares Ryuk montrent que les acteurs ont une nouvelle préférence lorsqu'il s'agit d'obtenir le premier accès au réseau victime.

La tendance observée dans les attaques cette année révèle un penchant pour le ciblage des hôtes avec des connexions de bureau externes exposées sur l'Internet public.

En outre, l'utilisation d'e-mails de hameçonnage ciblés pour diffuser des logiciels malveillants reste un vecteur d'infection de croissance préféré pour l'acteur de la menace.

Nouvelle tendance pour la première infection

Des chercheurs en sécurité du magasin de renseignements sur les menaces Advanced Intelligence (AdvIntel) ont observé que les attaques de ransomwares de Ryuk cette année étaient plus susceptibles de compromettre les connexions RDP exposées pour prendre un premier pied sur un réseau cible.

Les acteurs ont lancé «des attaques à grande échelle par force brute et par pulvérisation de mots de passe sur des hôtes RDP vulnérables» pour compromettre les informations d'identification des utilisateurs.

Un autre vecteur de premier compromis a été la pêche au javelot et l'utilisation de la campagne BazaCall pour diffuser des logiciels malveillants via des centres d'appels malveillants ciblant les utilisateurs professionnels et les dirigeant vers des documents Excel en forme d'arme.

Les chercheurs d'AdvIntel affirment que les assaillants de Ryuk ont ​​effectué une reconnaissance contre la victime en deux étapes. Une fois pour déterminer les ressources précieuses du domaine compromis (partages réseau, utilisateurs, unités organisationnelles Active Directory).

La deuxième fois, l'objectif est de trouver des informations sur les revenus de l'entreprise pour mettre une rançon que la victime peut se permettre de payer pour restaurer les systèmes.

Pour énumérer les informations Active Directory, les opérateurs de ransomware Ryuk s'appuient sur AdFind (outil de requête AD) et l'outil de post-exploitation Bloodhound qui explore les conditions dans un domaine Active Directory (AD) pour trouver les chemins d'attaque.

L'obtention de détails financiers sur la victime dépend des données open source. AdvIntel affirme que les acteurs recherchent des services tels que ZoomInfo pour obtenir des informations sur les récentes fusions et acquisitions de l'entreprise et d'autres détails susceptibles d'augmenter la rentabilité de l'attaque.

Une reconnaissance plus approfondie est effectuée à l'aide des outils de post-exploitation de Cobalt Strike qui sont devenus la norme dans la plupart des opérations de ransomware et des analyses qui révèlent des produits de sécurité tels que l'antivirus et la détection des points de terminaison (EDR) pour défendre le réseau.

De nouvelles techniques

Les chercheurs disent que l'acteur engage d'autres cybercriminels pour se renseigner sur la défense dans un réseau qu'ils attaquent pour trouver un moyen de les désactiver.

Parmi les techniques les plus récentes que les chercheurs ont vues dans les attaques de ransomware Ryuk, il y avait l'utilisation de KeeThief, un outil de code open source pour extraire les informations d'identification du traitement des mots de passe KeePass.

KeeThief fonctionne en extrayant des éléments clés (par exemple, mot de passe principal, fichier clé) de la mémoire d'un processus KeePass en cours d'exécution avec une base de données déverrouillée.

Vitali Kremez, PDG d'AdvIntel, a déclaré à BleepingComputer que les attaquants avaient utilisé KeeThief pour contourner EDR et d'autres défenses en volant les informations d'identification d'un administrateur informatique local ayant accès au logiciel EDR.

Une autre tactique consistait à déployer une version portable de Notepad ++ pour exécuter des scripts PowerShell sur des systèmes de limitation d'exécution PowerShell, a déclaré Kremez.

Selon AdvIntel, cette année, les attaques de ransomware Ryuk exploitent deux vulnérabilités pour augmenter les autorisations d'une machine compromise. Les deux bogues sont plus anciens et des correctifs sont disponibles pour eux:

  • CVE-2018-8453 – Escalade des privilèges avec une gravité élevée (7.8 / 10) dans Windows 7 à 10 et Windows Server 2008 à 2016, ce qui permet d'exécuter n'importe quel noyau avec des autorisations de lecture / écriture car le composant Win32k ne parvient pas à gérer les objets dans mémoire correctement
  • CVE-2019-1069 – L'escalade des privilèges de haute gravité (7.8 / 10) dans Windows 10, Windows Server 2016 et 2019 en raison du service du planificateur de tâches valide certaines opérations sur les fichiers, activant les attaques par liaison matérielle

Une autre observation d'AdvIntel est qu'une récente attaque de ransomware Ryuk a utilisé des outils de pénétration open source CrackMapExec pour récupérer les informations d'identification de l'administrateur et se déplacer latéralement sur le réseau victime.

"Une fois que les acteurs ont compromis un compte d'administrateur local ou de domaine, ils distribuent la charge utile Ryuk via des objets de stratégie de groupe, des sessions PsExec à partir d'un contrôleur de domaine ou en utilisant un élément de démarrage dans le partage SYSVOL" – Advanced Intelligence

Les chercheurs recommandent les étapes suivantes de réduction des risques pour les organisations:

  • découvrez l'utilisation de Mimikatz et les performances de PsExec sur le réseau
  • alertes pour la présence d'AdFind, Bloodhound et LaZagne sur le réseau
  • Assurez-vous que les systèmes d'exploitation et les logiciels disposent des dernières mises à jour de sécurité
  • implémenter l'authentification multifacteur pour l'accès RDP
  • segmentation du réseau et contrôles pour contrôler le trafic SMB et NTLM
  • utiliser le principe du moindre privilège et le contrôle de routine pour les autorisations de compte
  • examen de routine de l'examen de routine des autorisations de compte pour empêcher les privilèges de s'infiltrer et respecter le principe du moindre privilège
  • examen de routine des objets de stratégie de groupe et des scripts de connexion
  • systèmes de correctifs contre CVE-2018-8453 et CVE-2019-1069

Ryuk est dans l'industrie des ransomwares depuis longtemps et est connu comme un revendeur difficile. On estime qu'ils ont collecté au moins 150 millions de dollars en rançon, une victime finissant par payer 34 millions de dollars pour restaurer les systèmes.

Compte tenu de ces chiffres, il est logique que l'acteur soit passé à de nouvelles tactiques, techniques et procédures pour garder une longueur d'avance et maintenir l'activité lucrative des rançons.