Znany ransomware próbuje się do nas dostać na inne sposoby.

Zdalne pulpity

Niedawne nowe ataki operatorów ransomware Ryuk pokazują, że cyberprzestępcy mają nowe preferencje, jeśli chodzi o uzyskanie wstępnego dostępu do sieci ofiary. Trend zaobserwowany w tegorocznych atakach ujawnia skłonność do atakowania hostów, które mają wystawione w publicznym Internecie porty pozwalające na połączenie ze zdalnym pulpitem.

Ponadto z mody nie wychodzi phishing - wykorzystywanie ukierunkowanych wiadomości e-mail do dostarczania złośliwego oprogramowania nadal jest preferowanym sposobem infekcji.

Spear phishing

Badacze bezpieczeństwa z firmy Advanced Intelligence (AdvIntel) potwierdzili, że ataki ransomware Ryuk w tym roku częściej niż do tej pory polegały na naruszaniu narażonych połączeń RDP, aby uzyskać przyczółek w atakowanej sieci. Cyberprzestępcy przeprowadzali ataki brute force na dużą skalę na ujawnione hosty RDP co miało na celu oczywiście złamanie danych logowania do usługi zdalnego pulpitu.

Innym wektorem ataku jest phishing typu spear phishing i wykorzystanie kampanii BazaCall do rozpowszechniania złośliwego oprogramowania za pośrednictwem nielegalnie działających centrów telefonicznych. Te ataki są wymierzone w użytkowników korporacyjnych i kierują ich do arkuszy programu Excel, które pozwalają na przejęcie kontroli nad zaatakowanym hostem.

Metodyka działania

Badacze AdvIntel twierdzą, że oepratorzy Ryuk prowadzili rozpoznanie ofiary w dwóch etapach. Za pierwszym razem ich celem jest określenie cennych zasobów w zaatakowanej domenie (udziały sieciowe, użytkownicy, jednostki organizacyjne Active Directory). Za drugim razem szukają oni informacji o przychodach firmy, aby ustalić kwotę okupu, na zapłacenie której ofiara może zapłacić, aby odzyskać swoje systemy.

Aby uzyskać orientację w konkretnej usłudze Active Directory atakujący polegają na wypróbowanym i przetestowanym narzędziu AdFind (narzędzie do zapytań Active Directory) oraz narzędziu post-exploitation o nazwie Bloodhound, które bada relacje w domenie Active Directory (AD) w celu znalezienia dalszych możliwości ataku.

Uzyskanie szczegółowych informacji finansowych o ofierze opiera się na danych open source czy, jak powiedzieliby wojskowi, na białym wywiadzie. AdvIntel twierdzi bowiem, że atakujący korzystają z publicznie dostępnych informacji, wyszukując w usługach takich jak ZoomInfo informacje o ostatnich fuzjach i przejęciach firmy oraz inne szczegóły, które mogą zwiększyć rentowność ataku.

Dodatkowe rozpoznanie przeprowadza się za pomocą narzędzia poeksploatacyjnego Cobalt Strike, które staje się standardem w większości operacji ransomware. Całość „narzędziowni” uzupełniają skanery, które ujawniają zabezpieczenia takie jak oprogramowanie antywirusowe czy EDRy (Endpoint Detection Response) chroniące sieć.

Kradną dane z KeyPassa

Atakujący angażują też innych cyberprzestępców, aby wymienić informacje o zabezpieczeniach w sieci, którą atakują, i znaleźć sposób na ich wyłączenie. Jedną z nowszych technik, którą dostrzeżono w atakach ransomware Ryuk, było użycie KeeThief, narzędzia open source do wyodrębniania danych uwierzytelniających z menedżera haseł KeePass. KeeThief działa poprzez wyodrębnianie materiału klucza (np. hasła głównego, pliku klucza) z pamięci uruchomionego procesu KeePass z odblokowaną bazą danych. Inną taktyką było użycie przenośnej wersji Notepad++ do uruchamiania skryptów PowerShell w systemach z ograniczeniami wykonywania PowerShell.