Ryuk勒索軟體完全報告

雖然聖誕節前夕全家在一起聚餐很快樂，但還是有很多企業在此期間陷入了困境。

沒有任何防備，對於Tribune出版社和Data Resolution的人來說，一場悄無聲息的攻擊正在通過他們的網路慢慢傳播——加密數據和終止操作。而這次攻擊來自一個相當新的名為Ryuk的勒索軟體家族。

Ryuk於2018年8月首次亮相，與我們分析的許多其他勒索軟體家族不同，不是因為功能，而是它感染系統的方式很新穎。

讓我們來看看這個難以捉摸的新威脅。什麼是Ryuk？是什麼讓它與其他勒索軟體攻擊不同？企業如何在未來阻止它以及類似威脅？

一、何為Ryuk?

Ryuk首次出現於2018年8月（August 2018），雖然在全球範圍內並不是非常活躍，但至少有三個機構在其頭兩個月的行動中被感染，使得攻擊者獲得了大約64萬美元的贖金。

感染成功後，Ryuk擁有其他一些現代勒索軟體家族中可以看到的常見功能，包括識別和加密網路驅動器和資源以及刪除終端上卷影副本。通過這樣做，攻擊者可以禁用Windows系統還原選項，因此使用戶無法在沒有外部備份的情況下從攻擊中恢複數據。

Ryuk「有禮貌」的贖金票據

該勒索軟體一個有趣的方面是它在系統上釋放了多個贖票。第二個贖票用禮貌的語氣寫成，類似於BitPaymer勒索軟體釋放的贖票，增加了些許神秘感。

Ryuk「不那麼禮貌」的贖金票據

二、與Hermes的相似之處

Checkpoint的研究人員已經對此威脅進行了深入的分析（deep analysis），他們的一個發現是Ryuk與另一個勒索軟體家族Hermes有許多相似之處。

在Ryuk和Hermes的內部，有許多類似或相同代碼段的實例。此外，在兩個單獨的案例中，已發現Ryuk內的幾個字元串引用自Hermes。

啟動時，Ryuk將首先查找插入每個加密文件的Hermes標記。這是一種識別文件或系統是否已被攻擊和/或加密的方法。

另一種情況涉及列入白名單的文件夾，雖然不像第一種情況那樣嚴重，但兩個勒索軟體家庭將某些文件夾名列入白名單，這是兩個家族可能共享發起人的另一條線索。例如，Ryuk和Hermes都將一個名為「Ahnlab」的文件夾列入白名單，這是一個在韓國很受歡迎的安全軟體。

如果了解惡意軟體，可能還記得Hermes歸於與朝鮮國家行動有關的Lazarus組織。這導致許多分析人士和記者推測朝鮮支持了此次攻擊。

我們對此不太確定。

三、值得注意的攻擊

過去的幾個月，在美國發生了多起有名的Ryuk攻擊，勒索軟體感染了大量終端並要求比通常碰到的更高的贖金（15到50比特幣）。

2018年10月15日，Onslow供水和下水道管理局（OWASA）發生了一起此類攻擊事件，導致該機構暫時不能使用他們的計算機。雖然水和污水處理服務以及客戶數據沒有受到勒索軟體攻擊的影響，但它仍然對該機構的網路造成了重大損害，導致許多資料庫和系統必須從頭開始重建。

四、感染方法

根據Checkpoint和其他多位分析人士和研究人員的說法，Ryuk通過殭屍網路（如TrickBot 和Emotet）作為二級有效載荷進行傳播。

這是運行流程：Emotet在終端上進行初始感染。它有能力在網路中橫向傳播，並從受感染的端點發起malspam活動，向相同或不同網路上的其他用戶發送其他惡意軟體。

在過去六個月中我們看到Emotet釋放的最常見的有效載荷是TrickBot。此惡意軟體具有竊取憑據的能力，還能夠在網路內橫向移動並以其他方式傳播。

TrickBot和Emotet都被用作信息竊取程序、下載程序，甚至是蠕蟲（基於其最新功能）。

出於某些原因（我們將在本文稍後探討），TrickBot在系統上下載並釋放Ryuk勒索軟體，如果受感染的網路是攻擊者想要勒索的目標。由於通過產品遙測數據我們只能看到Emotet和TrickBot中的一小部分Ryuk，由此我們可以假設這不是後續使用Ryuk感染系統的默認標準操作，而是由幕後的攻擊者手工觸發。

五、統計數據

讓我們來看看從8月到現在的Emote、Ryuk和TrickBot的統計數據，看看我們能否確認其趨勢。

Malwarebytes於2018年8月1日至2019年1月2日的檢測結果

藍線代表Emotet，2018年最大的信息竊取木馬。雖然這張圖只顯示我們8月份的統計情況，但請放心，在一年中的大部分時間裡，Emotet都在地圖上。然而隨著進入2018年第四季度，它成為了一個更大的問題。

橙線代表TrickBot。由於Emotet通常是主要的有效載荷，因此預計這些檢測將低於Emotet。這意味著，為了檢測TrickBot，它必須直接傳送到終端，或者由安全軟體未檢測到的Emotet感染釋放，或者在沒有安全軟體的系統上部署。此外，TrickBot一年中並非都是Emotet的默認有效載荷，因為特洛伊木馬不斷變換有效載荷，具體取決於一年中的時間和機會。

基於此，要受到Ryuk的打擊（至少在我們弄清楚其真實意圖之前），需要禁用、未安裝或不更新安全軟體。需要避免進行常規掃描以識別TrickBot或Emotet。需要提供未打補丁的終端點或弱口令，以便TrickBot和Emotet在整個網路中橫向移動。最後，需要成為其感興趣的目標。

話雖如此，雖然我們對Ryuk的檢測與此圖表上的其他家族相比較小，但這可能是因為我們在攻擊的早期階段發現了感染，並且Ryuk攻擊的情況需要恰到好處 。令人驚訝的是，很多機構已經為這些威脅茁壯成長創造了完美的環境。這也可能是支付巨額贖金的原因。

六、聖誕攻擊

在今年早些活躍期間，Ryuk並沒有成為頭條新聞。而在聖誕節期間發生的兩起大的感染事件，使Ryuk聖誕攻擊登上了頭條。

下圖顯示了從12月初到現在我們對Ryuk的檢測統計數據，其中兩個感染峰值用星號表示。

Malwarebytes的Ryuk檢測結果：2018年12月5日 - 2019年1月2日

這些峰值表明12月24日和12月27日發生了重大攻擊事件。

七、Dataresolution攻擊

第一次攻擊發生在聖誕節前夕，目標為雲託管服務提供商Dataresolution.net。從上面可以看出，它是我們在過去一個月中發現Ryuk最多的一天。

根據Dataresolution的說法，Ryuk通過使用被黑的登錄帳戶感染系統。此後惡意軟體將公司的數據中心域控制權交給攻擊者，直至整個網路被Dataresolution關閉。

該公司向客戶保證沒有用戶數據被泄露，攻擊的目的是劫持，而不是竊取。知道惡意軟體如何首次進入終端是一個很好的跡象，表明Dataresolution可能丟失了一些信息。

八、Tribune Publishing 攻擊

我們的第二顆星代表了12月27日的攻擊事件，當時Tribute Publishing旗下的多個新聞組織（現在或最近）被Ryuk勒索軟體擊中，基本上使這些組織無法列印自己的文章。

星期四晚上，當聖地亞哥聯合論壇報的一位編輯無法將完成的頁面發送給印刷機時，發現了這次攻擊。目前這些問題已全部解決。

九、原理

我們相信Ryuk正在通過Emotet和TrickBot分發勒索軟體來感染系統。然而，目前尚不清楚的是，為什麼犯罪分子會在成功感染後使用該勒索軟體。

在此情形之下，我們實際上可以從Hermes中窺見一斑。在台灣，我們目睹了個Hermes覆蓋網路上已有惡意軟體家族的手段。Ryuk是否以同樣的方式使用？

由於Emotet和TrickBot不是國家背景的惡意軟體，並且它們通常會被自動發送給潛在的受害者（而不是識別目標並手動啟動），因此僅在少數情況下使用Ryuk隱藏感染似乎很奇怪。所以也許我們可以把這個理論排除在外。

第二個更可能的理論是，Ryuk作為最後的手段，從已有收穫的目標中敲詐更多的價值。

讓我們來看看，Emotet和TrickBot背後的攻擊者讓他們的bot將網路映射出來以識別目標機構。如果目標具有足夠多的Emotet / TrickBot感染傳播，或者如果其操作非常重要或有價值，以至於破壞會引發支付贖金的傾向，這就可能會使它們成為Ryuk感染的完美目標。

此時只能推測使用此惡意軟體的真正意圖。然而，無論是隱藏其他惡意軟體的蹤跡，還是只是想在竊取所有相關數據後賺取更多現金的方法，企業都應該謹慎對待這一點。

事實是，目前全世界仍有成千上萬活躍的Emotet和TrickBot感染。任何處理這些威脅的機構都需要認真對待它們，因為信息竊取程序可能隨時變成討厭的勒索軟體。這是就是現今威脅形勢的真相。

十、溯源

如前所述，許多分析人士和記者已經認定朝鮮是最有可能分發Ryuk的攻擊者。雖然不能完全排除這一點，但我們也不能完全確定。

Ryuk在很多方面與Hermes相匹配。基於找到的字元串，它可能建立在Hermes之上，或者是Hermes的修改版本。攻擊者如何獲得源代碼是未知的，但是，我們觀察到犯罪分子在黑客論壇上銷售Hermes的情況。

這就引入了源代碼落入其他攻擊者手中的另一個潛在原因。

根據兩個家族之間的相似性來識別這種攻擊的歸屬，其中一個與已知的國家攻擊組織（Lazarus）有關，這是一個邏輯上的謬誤，正如Robert M. Lee在最近的一篇文章（Attribution is not Transitive – Tribute Publishing Cyber Attack as a Case Study）中所描述的那樣。該文深入探討了基於脆弱證據的歸因溯源錯誤。我們提醒讀者，記者和其他分析人士從相關性中得出結論。

十一、保護

既然知道了Ryuk如何以及為什麼攻擊企業，那麼我們如何防範這種惡意軟體和其他類似惡意軟體？

讓我們專註於已證明可有效抵禦此威脅的特定技術和操作。

反漏洞利用技術

多年來，在感染和橫向移動中漏洞利用的使用一直在增加。目前，Emotet的主要感染方法是通過垃圾郵件中的Office文檔附件載入惡意腳本。

這些惡意腳本是宏，一旦用戶點擊「啟用宏」（通常通過某種社交工程技巧），將啟動其他腳本從而造成破壞。我們最常見的是JavaScript和PowerShell腳本，PowerShell很快就成為了感染用戶的首選腳本語言。

雖然可以通過培訓用戶識別社交工程或使用識別惡意垃圾郵件的電子郵件保護平台來阻止這些威脅，但使用反漏洞利用技術還可以阻止這些惡意腳本在系統上安裝惡意軟體。

此外，使用反勒索等防護技術可以增加對勒索軟體感染的大量保護，在它們造成嚴重損害之前將其停止。

經常性更新惡意軟體

這是一個經常被忽略的規則，所以值得一提。為了獲得有效的安全解決方案，需要經常使用和更新它們，以識別和阻止最新的威脅。

在一個案例中，一個機構的IT團隊在更新安全軟體之前甚至不知道他們對Emotet感染的防護很糟糕。他們對安全解決方案缺乏信心，而安全解決方案並未完全配備阻止威脅的工具。因此，他們的問題很嚴重。

網路分段

這是我們多年來一直在推薦的策略，特別是在防範勒索軟體方面。為確保在單個端點受感染時不丟失映射或網路上的驅動器和資源，最好將訪問許可權分段劃分。

有兩種方法可以對網路分段並減少勒索軟體攻擊造成的損害。首先，根據角色要求限制對某些映射驅動器的訪問。其次，使用單獨的或第三方系統來存儲共享文件和文件夾，例如Box或Dropbox。

十二、不斷演變的威脅

過去的一年，Ryuk帶來了一些在工作場所造成破壞的新方法。雖然勒索軟體是2017、2018年及以後企業中最致命的惡意軟體，但攻擊者有可能會在一個攻擊鏈中部署多個惡意軟體。

更重要的是，像Emotet和TrickBot這樣的家族繼續發展他們的戰術、技術和能力，使每一代都更加危險。今天，我們可能會擔心Emotet釋放Ryuk，明天Emotet自己可能會演變成勒索軟體。企業和安全專業人員需要掌握新出現的威脅，無論它們看起來多麼微不足道，因為這經常會表明未來形勢的變化。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！