Ryuk ransomware distribuito due settimane dopo l'infezione da Trickbot

Ryuk ransomware distribuito due settimane dopo l'infezione da Trickbot

I log delle attività su un server utilizzato dal trojan TrickBot nelle fasi post-compromesso di un attacco mostrano che l'hacker impiega in media due settimane a girare tra gli host di una rete prima di distribuire Ryuk ransomware.

Dopo aver compromesso la rete, l'utente malintenzionato avvia la ricerca di sistemi attivi con porte specifiche aperte e rubando gli hash delle password dal gruppo Domain Admin.

Pirateria informatica manuale

I ricercatori di SentinelOne hanno dettagliato l'attività osservata dai registri su un server Cobalt Strike che TrickBot ha usato per profilare reti e sistemi.

Una volta che l'hacker si è interessato a una rete compromessa, ha usato i moduli del software di emulazione delle minacce Cobalt Strike per squadre rosse e tester di penetrazione.

Un componente è lo script DACheck per verificare se l'utente corrente dispone dei privilegi di amministratore di dominio e controllare i membri di questo gruppo. Hanno anche usato Mimikatz per estrarre password che avrebbero aiutato con il movimento laterale.

I ricercatori hanno scoperto che la scoperta di computer di interesse sulla rete viene eseguita mediante la ricerca di host live con porte specifiche aperte.

Servizi come FTP, SSH, SMB, server SQL, desktop remoto e VNC sono scelti come target perché aiutano a spostarsi su altri computer della rete o indicano un obiettivo prezioso.

Far cadere Ryuk

Secondo l'esame di SentinelOne, l'hacker profila ogni macchina per estrarre quante più informazioni utili possibili. Ciò consente loro di assumere il controllo completo della rete e ottenere l'accesso al maggior numero possibile di host.

Le fasi di ricognizione e di rotazione sono seguite dall'impianto di Ryuk ransomware e dalla sua distribuzione su tutte le macchine accessibili utilizzando lo strumento PsExec di Microsoft per eseguire i processi in remoto.

Sulla base dei timestamp, i ricercatori di SentinelOne stimano che l'hacker abbia impiegato due settimane per accedere alle macchine della rete e profilarle prima di eseguire Ryuk.

L'esperto di sicurezza Vitali Kremez di Advanced Intelligence (AdvIntel) ha detto che questa media per il periodo di "incubazione" è accurata, sebbene vari da una vittima all'altra.

In alcuni casi, Ryuk è stato distribuito dopo solo un giorno, mentre in altri casi il malware crittografato con file è stato eseguito dopo che l'attaccante aveva trascorso mesi sulla rete.

Kremez ha detto che ultimamente le infezioni da Ryuk sono rallentate, poiché l'hacker è probabilmente in uno stato di vacanza.

È importante notare che non tutte le infezioni da TrickBot sono seguite da Ryuk ransomware, probabilmente perché gli attori si prendono il tempo di analizzare i dati raccolti e determinare se la vittima merita la crittografia o meno.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.