Ryuk Ransomware: Jetzt mit Worming-Selbstvermehrung

Cyber Security News

Die Ryuk-Geißel hat einen neuen Trick in ihrem Arsenal: Selbstreplikation über SMB-Freigaben und Port-Scanning.

Eine neue Version der Ryuk-Ransomware ist in der Lage, sich innerhalb eines lokalen Netzwerks wurmartig selbst zu vermehren, wie Forscher herausgefunden haben.

Die Variante tauchte erstmals Anfang 2021 in Windows-fokussierten Kampagnen auf, so die französische Nationale Agentur für die Sicherheit von Informationssystemen (ANSSI). Die Agentur sagte, dass sie die Selbstreplikation erreicht, indem sie nach Netzwerkfreigaben scannt und dann eine eindeutige Version der ausführbaren Ransomware (mit dem Dateinamen rep.exe oder lan.exe) auf jede von ihnen kopiert, wenn sie gefunden werden.

“Ryuk sucht nach Netzwerkfreigaben auf der IT-Infrastruktur des Opfers. Dazu werden einige private IP-Bereiche gescannt: 10.0.0.0/8; 172.16.0.0/16; und 192.168.0.0/16”, heißt es in einem aktuellen ANSSI-Bericht. “Einmal gestartet, verbreitet er sich so auf jedem erreichbaren Rechner, auf dem Windows Remote Procedure Call-Zugriffe möglich sind.”

Die neue Version von Ryuk liest auch die ARP-Tabellen (Address Resolution Protocol) der infizierten Geräte aus, in denen die IP-Adressen und MAC-Adressen aller Netzwerkgeräte gespeichert sind, mit denen die Maschinen kommunizieren. Dann sendet sie laut ANSSI ein “Wake-On-LAN”-Paket an jeden Host, um ausgeschaltete Computer aufzuwecken.

“Es generiert jede mögliche IP-Adresse im lokalen Netzwerk und sendet einen ICMP-Ping an jede von ihnen”, so ANSSI. “Es listet die IP-Adressen des lokalen ARP-Caches auf und sendet ihnen ein [wake-up] Paket.”

Für jeden identifizierten Host versucht Ryuk dann, mögliche Netzwerkfreigaben über SMB (Server Message Block) zu mounten, heißt es in dem Bericht. SMB ist eine Windows-Funktion, die das Teilen, Öffnen oder Bearbeiten von Dateien mit/auf entfernten Computern und Servern ermöglicht.

Sobald alle verfügbaren Netzwerkfreigaben identifiziert oder erstellt wurden, wird die Nutzlast auf den neuen Zielen installiert und mithilfe einer geplanten Aufgabe selbst ausgeführt, so dass Ryuk den Inhalt der Ziele verschlüsseln und alle Volume Shadow Copies löschen kann, um eine Wiederherstellung der Dateien zu verhindern.

“Die geplante Aufgabe wird durch einen Aufruf des Systemtools schtasks.exe, einem nativen Windows-Tool, erstellt”, erklärt ANSSI.

Die Dateien werden mittels Microsoft CryptoAPI mit dem AES256-Algorithmus verschlüsselt, wobei ein eindeutiger AES-Schlüssel verwendet wird, der für jede Datei generiert wird. Der AES-Schlüssel ist außerdem mit einem öffentlichen RSA-Schlüssel verpackt, der im Binärcode gespeichert ist, so die Analyse.

Die Malware unterbricht außerdem mehrere Programme auf der Grundlage von hartkodierten Listen, darunter eine Liste mit 41 zu beendenden Prozessen (Task-Kill) und eine Liste mit 64 zu beendenden Diensten, fand ANSSI heraus.

Wie man eine Ryuk-Wurm-Infektion eindämmt

Um eine Infektion zu vermeiden, wird Ryuk-Ransomware in der Regel von einer anfänglichen “Dropper”-Malware geladen, die als Speerspitze eines jeden Angriffs fungiert; dazu gehören u. a. Emotet, TrickBot, Qakbot und Zloader. Von dort aus versuchen die Angreifer, ihre Privilegien zu erweitern, um eine seitliche Bewegung zu ermöglichen.

Eine effektive Verteidigung sollte daher die Entwicklung von Gegenmaßnahmen beinhalten, die dieses anfängliche Fußfassen verhindern.

Sobald die Infektion erfolgt ist, werden die Dinge komplizierter. In der von den ANSSI-Forschern beobachteten Kampagne 2021 ist der anfängliche Infektionspunkt ein privilegiertes Domänenkonto. Und die Analyse zeigt, dass die wurmartige Ausbreitung dieser Version von Ryuk nicht durch das Abwürgen dieses ersten Infektionspunkts vereitelt werden kann.

“Ein privilegiertes Konto der Domäne wird für die Malware-Verbreitung genutzt”, heißt es in dem Bericht. “Wenn das Passwort dieses Benutzers geändert wird, wird die Replikation fortgesetzt, solange die Kerberos-Tickets [authentication keys] noch nicht abgelaufen sind. Wenn das Benutzerkonto deaktiviert wird, bleibt das Problem gleich.”

Zusätzlich zu den Selbstverbreitungsfunktionen fehlen in dieser Version von Ryuk auch jegliche Ausschlussmechanismen, was bedeutet, dass es nichts gibt, was eine wiederholte Infektion desselben Rechners verhindert, was die Ausräucherung erschwert.

Frühere Versionen der Malware verwendeten Mutual Exclusion Objects (MUTEX), um sicherzustellen, dass ein bestimmter Host jeweils nur Zugriff auf einen Ryuk-Prozess hatte.

“Da die Malware nicht prüft, ob ein Rechner bereits infiziert wurde, konnte kein einfaches Systemobjekt erstellt werden, das eine Infektion verhindern konnte”, heißt es im ANSSI-Bericht.

Eine Möglichkeit, eine aktive Infektion zu bekämpfen, so die Empfehlung von ANSSI, bestünde darin, das Kennwort zu ändern oder das Konto für den privilegierten Benutzer zu deaktivieren und dann eine Änderung des Domänenkennworts über KRBTGT zu erzwingen. KRBTGT ist ein lokales Standardkonto in Active Directory, das als Dienstkonto für den Key Distribution Center (KDC)-Dienst zur Kerberos-Authentifizierung fungiert.

“Dies würde viele Störungen in der Domäne hervorrufen – und höchstwahrscheinlich viele Neustarts erfordern – aber auch sofort die Ausbreitung eindämmen”, so ANSSI.

Ryuk: Eine vielköpfige Bestie

Die Ransomware Ryuk wurde erstmals im August 2018 als eine Variante der Ransomware Hermes 2.1 beobachtet. Im Gegensatz zu Hermes wird sie jedoch nicht auf Untergrundmärkten wie dem Exploit-Forum vertrieben.

“Es bleiben Zweifel … an der Herkunft von Ryuk”, heißt es in dem Bericht von ANSSI. “Das Auftauchen von Ryuk könnte … ein Ergebnis des Erwerbs des Hermes 2.1-Quellcodes durch eine andere Angreifergruppe sein, die Ryuk von diesem Ausgangspunkt aus entwickelt haben könnte.”

Die Deloitte-Forscher haben die Theorie aufgestellt, dass Ryuk als Toolkit an Angreifergruppen verkauft wird, die damit ihre eigenen “Geschmacksrichtungen” der Ransomware entwickeln. Es könnte also so viele Varianten geben, wie es Angreifergruppen gibt, die den Code kaufen.

Anfang 2021 wurde geschätzt, dass die Betreiber von Ryuk mindestens 150 Millionen US-Dollar eingenommen haben, wie eine Untersuchung der Geldwäscheoperationen der Malware ergab.

Einige Teile dieses Artikels stammen aus:
threatpost.com