Ryuk – ett framgångsrikt ransomware
I den här bloggen kommer vi att titta mer på en Ransomware-familj Ryuk. Namnet Ryuk kommer från mangaserien Death Note. Ryuk är en gud som lämnat en anteckningsbok som tillåter användaren av boken att döda någon, genom att skriva in deras namn och rita deras ansikte i boken. Han lämnar boken på jorden för att att inte längre vara uttråkad.
Till skillnad från en vanlig ransomware kampanj som går ut på att distribuera ransomware till så många som möjligt antingen via massiva spam-kampanjer eller exploit-kit. Inriktar sig en attack med Ryuk på att försöka få så stor spridning som möjligt inom nätverket innan en attack sker [15, 16]. Det kan exempelvis göras genom att kartlägga miljön innan ransomwaret aktiveras.
Ryuk kräver vanligtvis en stor lösensumma. Lösensumman varierar mellan attacker och offer och varierar från 15 BTC till 50 BTC. Men det finns även exempel på att de har begärt 4.5 miljoner USD för att dekryptera filerna [10].
En översikt av en Ryuk
Ryuk lämnar som ett vanligt ransomware en utpressningskrav, detta med filnamnet RyukReadMe.txt. Denna fil innehåller ett mer eller mindre välformulerad utpressningskrav enligt nedan. [15, 16] Vanligtvis innehåller det två e-postadresser till förövarna. I tidigare varianter fanns en BTC-adress inlagd, i senare varianter fås den genom att en kontakt måste ske för betalningsdetaljer och Bitcoin adress.
Fil Kryptering
Ryuk krypterar alla filer på systemet förutom filändelserna .exe, .dll och. hrmlog. Finns även en vitlistning på följande mappar:
- Chrome
- Mozilla
- Recycle.bin
- Windows
- Microsoft
- AhnLab
Detta medför att en enhet som utsätts för Ryuk tenderar på att bli instabil och till och med oanvändbar. Då att den ibland krypterar Windows Bootloader (C:\Boot) och även .sys och .ocx filer.
Ryuk försöker sedan kryptera alla monterade enheter på den infekterade enheten. Ryuk använder sig sedan av GetIpNetTable för att visa ARP-tabellen. Sedan itererar Ryuk genom alla filer och mappar på de hostarna och försöker kryptera dessa.
Ryuk använder sig av en kombination av symmetrisk AES och asymmetrisk RSA kryptering för att kryptera filer. När filen har blivit krypterad döps de om och får en .ryk filändelse. Ryuk använder sig av tre nivåer för krypteringen. Där den första nivån består av ett RSA-nyckelpar där den privata nyckeln aldrig hamnar på den infekterade enheten, utan ges när en betalning sker.
Den andra nivån är ett RSA-nyckelpar vilket är unika för offret. Här kommer även den privata nyckeln krypterad. Det är ett ganska ovanligt sätt för ett ransomware, vanligtvis brukar de genereras på offret och sedan brukar den privata nyckeln krypteras.
Den tredje nivån består av en AES kryptering, vilket krypterar varje fil med en egen nyckel med hjälp av Win32API funktionen CryptGenKey. Den exporteras sedan genom CryptExportKey och krypteras med den andra nivåns nyckel och det krypterade resultatet läggs sedan till i den krypterade filen.
Hermes
Det finns ett stort antal likheter med Hermes, en annan variant av Ransomware som såldes som en tjänst. För den intresserade finns mer att läsa om detta skrivet av checkpoint och crowdstrike [15,16]
Attacker
Om vi kartlägger de kända attackerna så kan följande tabell skapas.
Räknar vi ihop hur mycket BTC som har betalats för att låsa upp de krypterade filerna, så ser vi att det är över 865 BTC. Vilket motsvarar ca 62 000 000 SEK till dagens pris (1BTC=72119.56kr).
Spridning
Från kartläggningen ovan är det svårt att se den gemensamma nämnaren över den initiala infektionsvektorn. Detta genom att organisationerna som drabbats inte kommunicerat, vet vad den ursprungliga infektionsvektorn var eller att pressen inte tycker det är någon intressant information. Men de attacker som beskrivit infektionsvektorn är följande:
- Attacken sker via Emotet -> Trickbot -> Ryuk [2, 15, 16, 18].
- Komprometterat konto [2]
- Skadlig kod via mail [9], okänd familj
Vid nästa blogg kanske vi tar en närmare titt på Emotet och Trickbot, för att djupdyka oss i dem. Så länge håll koll på infektioner av Emotet och Trickbot.
Källor
[1]https://www.onwasa.com/DocumentCenter/View/3701/Scan-from-2018-10-15-08_08_13-A
[4] https://www.securityweek.com/georgia-county-criticized-over-400k-ransomware-payment
[7] https://statescoop.com/georgia-courts-ryuk-ransomware/
[8] https://www.cyberscoop.com/ransomware-lake-city-florida-payment/
[9] https://statescoop.com/florida-city-pays-hackers-600000-after-ransomware-attack/
[13] https://www.wickhosp.com/blog/ransomwareattack/
[15] https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/
[16] https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/
[17] https://maintenance.pb.com/pbcom/outage.html
[19] https://www.tuscaloosanews.com/news/20191005/dch-pays-hackers-responsible-for-ransomware-attack