lunedì 14 gennaio 2019

Il ransomware Ryuk fa coppia col trojan Trickbot per accedere alle reti infette



Ryuk è sempre stato considerato un ransomware "mirato": la sua modalità di attacco ha sempre previsto un preciso obiettivo, sul quale tentare l'accesso tramite i servizi di Desktop Remoto o altri metodi diretti (furto di credenziali). Ottenuto l'accesso, si concentra su server e dati di alto profilo, così da poter estorcere come riscatto la somma più alta possibile.

Ruyk è conosciuto proprio per queste caratteristiche: ha un alto impatto sulle reti che infetta, richiede elevatissimi riscatti ed ha avuto un grandissimo "successo", se teniamo di conto che i report fissano a circa 3.7 milioni di dollari il guadagno di questo malware. E' recentissimo (qualche settimana fa) l'uso di Ryuk Ransomware per attaccare la distribuzione dei cartacei di grandissime firme del giornalismo, come il Wall Street Journal, il New York Times e il Los Angeles Times. 

Nei giorni scorsi, da parte dei ricercatori di FireEye e CrowdStrike sono state condotte ulteriori
analisi su questo temibile ransomware e sono state riscontrate importanti novità. I ricercatori hanno spiegato come, in più casi, gli autori di Ryuk abbiano usato anche il trojan Trickbot per ottenere l'accesso ad una rete infetta. Una volta che questi bot hanno infettato un computer infatti, creano una reverse shell e la restituiscono ad altri cyber attaccanti, come quelli che gestiscono Ryuk, così da permettere loro di infiltrarsi manualmente nel resto della rete e installare i propri payload.

Per approfondire >> In diffusione una nuova versione del famigerato trojan bancario Trickbot

Secondo i ricercatori di FireEye, che hanno chiamato questo tipo di accessi TEMP.MixMaster, gli operatori di TrickBot stanno affittando il proprio servizio ad un numero (fortunatamente limitato) di cybercriminali che lo usano per ottenere l'accesso alla rete dove TrickBot è installato. Stiamo parlando quindi di uno dei primi casi di access-as-service, ovvero la possibilità per un cyber criminale di affittare da altri attaccanti uno strumento per ottenere l'accesso ad un sistema o una rete per poter quindi distribuire un proprio malware. 

TrickBot per Ryuk
TrickBot viene comunemente distribuito tramite gigantesche campagne di email di spam contenenti allegati con macro che installano il malware sul pc. Da CrowdStrike fanno addirittura sapere che TrickBot può installare anche un malware diverso, una nostra vecchia conoscenza: Emotet. Queste campagne di spam sono mirate esclusivamente alle aziende e sono approntate in maniera tale da sembrare fatture, bonifici, documenti importanti provenienti da istituti bancari ecc... così da convincere il destinatario dell'importanza dell'email per indurlo ad aprire l'allegato. 

Una email di spam di questa campagna

Una volta che è stato installato Trickbot, viene creata la reverse shell che consentirà ad altri attaccanti di ottenere  l'accesso da remoto al computer infetto: il passo successivo è l'installazione di Ryuk nella rete. Nella maggior parte dei casi, per questa operazione viene scaricato il toolkit Empire: questo tool di exploit per PowerShell consente ad un attaccante di distribuire velocemente un payload in una rete, evadendo al contempo ogni individuazione da parte dei software antivirus. In questo caso Empire viene usato per sottrarre credenziali su altri computer nella rete e quindi installare il ransomware Ryuk per colpire laddove sono contenuti i dati di maggior valore. Una volta installato, Ryuk procede alla criptazione dei file, modificando l'estensione originaria dei file in .RYK: la nota di riscatto è un file di testo chiamato RyukReadMe.txt. 

La nota di riscatto del ransomware Ryuk

Va specificato che l'uso di Trickbot per i cyber criminali "proprietari del ransomware Ryuk non è esclusivo: Ryuk viene diffuso anche tramite altri servizi aperti come quelli di Desktop Remoto. TrickBot è solo una possibilità aggiuntiva. 

Nessun commento:

Posta un commento