jueves, 4 de marzo de 2021

Ryuk tiene un nuevo truco en su arsenal: la autorreplicación a través de recursos compartidos SMB y escaneo de puertos.


Según los investigadores, una nueva versión del ransomware Ryuk es capaz de autopropagarse como un gusano dentro de una red local.

La variante surgió por primera vez en campañas centradas en Windows a principios de 2021, según la Agencia Nacional Francesa para la Seguridad de los Sistemas de Información (ANSSI). La agencia dijo que logra la autorreplicación escaneando en busca de recursos compartidos de red y luego copiando una versión única del ejecutable ransomware (con el nombre de archivo rep.exe o lan.exe) a cada uno de ellos a medida que se encuentran.

“Ryuk busca recursos compartidos de red en la infraestructura de TI de la víctima. Para hacerlo, se escanean algunos rangos de IP privados: 10.0.0.0/8; 172.16.0.0/16; y 192.168.0.0/16 ”, según un informe reciente de ANSSI . "Una vez lanzado, se propagará por sí mismo en todas las máquinas accesibles en las que sea posible acceder a la llamada a procedimiento remoto de Windows".

La nueva versión de Ryuk también lee las tablas del Protocolo de resolución de direcciones (ARP) de los dispositivos infectados, que almacenan las direcciones IP y MAC de cualquier dispositivo de red con el que se comunican las máquinas. Luego, de acuerdo con ANSSI, envía un paquete "Wake-On-LAN" a cada host, para reactivar las computadoras apagadas.

“Genera todas las direcciones IP posibles en las redes locales y envía un ping ICMP a cada una de ellas”, según ANSSI. "Enumera las direcciones IP de la caché ARP local y les envía un paquete [de activación]".

Para cada host identificado, Ryuk intentará montar posibles recursos compartidos de red utilizando SMB o Server Message Block, según el informe. SMB es una función de Windows que permite compartir, abrir o editar archivos con / en computadoras y servidores remotos.

Una vez que se han identificado o creado todos los recursos compartidos de red disponibles, la carga útil se instala en los nuevos objetivos y se autoejecuta mediante una tarea programada, lo que permite a Ryuk cifrar el contenido de los objetivos y eliminar las instantáneas de volumen para evitar la recuperación de archivos. .

“La tarea programada se crea mediante una llamada a la herramienta del sistema schtasks.exe, una herramienta nativa de Windows”, explicó ANSSI.

Los archivos se cifran utilizando Microsoft CryptoAPI con el algoritmo AES256, utilizando una clave AES única que se genera para cada archivo. La clave AES también está envuelta con una clave pública RSA almacenada en el código binario, según el análisis.

El malware también interrumpe múltiples programas basados ​​en listas codificadas, incluida una lista de 41 procesos que deben eliminarse (eliminación de tareas) y una lista de 64 servicios que deben detenerse, según ANSSI.

Cómo contener una infección por el gusano Ryuk

En cuanto a evitar la infección, el ransomware Ryuk generalmente se carga mediante un malware inicial "dropper" que actúa como punta de lanza en cualquier ataque; estos incluyen  Emotet , TrickBot, Qakbot y Zloader, entre otros. A partir de ahí, los atacantes buscan aumentar los privilegios para prepararse para el movimiento lateral.

Por tanto, una defensa eficaz debería implicar el desarrollo de contramedidas que eviten ese punto de apoyo inicial.

Una vez infectado, las cosas se vuelven más complicadas. En la campaña de 2021 observada por los investigadores de ANSSI, el punto de infección inicial es una cuenta de dominio privilegiado. Y el análisis muestra que la propagación similar a un gusano de esta versión de Ryuk no se puede frustrar ahogando este punto de infección inicial.

"Se utiliza una cuenta privilegiada del dominio para la propagación de malware", según el informe. “Si se cambia la contraseña de este usuario, la replicación continuará mientras los tickets Kerberos [claves de autenticación] no estén vencidos. Si la cuenta de usuario está deshabilitada, el problema seguirá siendo el mismo ".

Y además de las funciones de autopropagación, esta versión de Ryuk también carece de mecanismos de exclusión, lo que significa que no hay nada que prevenga las infecciones de la misma máquina una y otra vez, lo que dificulta la fumigación.

Las versiones anteriores del malware usaban Objetos de Exclusión Mutua (MUTEX) para asegurarse de que cualquier host tuviera acceso a un solo proceso Ryuk a la vez.

"Como el malware no comprueba si una máquina ya ha sido infectada, no hay una simple creación de objetos del sistema que pueda prevenir la infección", según el informe de ANSSI.

Una forma de abordar una infección activa, recomendó ANSSI, sería cambiar la contraseña o deshabilitar la cuenta del usuario privilegiado, y luego proceder a forzar un cambio de contraseña de dominio a través de KRBTGT. KRBTGT es una cuenta local predeterminada que se encuentra en Active Directory y que actúa como una cuenta de servicio para el servicio del Centro de distribución de claves (KDC) para la autenticación Kerberos.

“Esto induciría muchas perturbaciones en el dominio, y lo más probable es que requiera muchos reinicios, pero también contendría inmediatamente la propagación”, según ANSSI.

Ryuk: una bestia de muchas cabezas

El ransomware Ryuk se observó por primera vez en 2018, como una variante del ransomware Hermes 2.1. Pero a diferencia de Hermes, no se vende en mercados clandestinos como el foro Exploit.

“Sigue habiendo una duda sobre los orígenes de Ryuk”, según el informe de ANSSI. "La aparición de Ryuk podría ... ser el resultado de la adquisición del código fuente de Hermes 2.1 por otro grupo de atacantes, que puede haber desarrollado Ryuk desde este punto de partida".

Los investigadores de Deloitte han teorizado que Ryuk se vende como un juego de herramientas a los grupos de atacantes, que lo utilizan para desarrollar sus propios "sabores" del ransomware. Por tanto, podría haber tantas variantes como grupos de atacantes que compren el código.

A principios de 2021, se estimó que los operadores de Ryuk habían recaudado al menos 150 millones de dólares, según un examen de las operaciones de blanqueo de dinero del malware .

Fuente: https://threatpost.com/

No olvides Compartir...  

Siguenos en twitter: @disoftin - @fredyavila

 

 

No hay comentarios:

Publicar un comentario

Más leídas este mes