Ryuk ransomware distribuito due settimane dopo l'infezione da Trickbot
23 Giugno 2020 - Tempo di lettura: 8 minuti
I log delle attività su un server utilizzato dal trojan TrickBot nelle fasi post-compromesso di un attacco mostrano che l'hacker impiega in media due settimane a girare tra gli host di una rete prima di distribuire Ryuk ransomware.
Dopo aver compromesso la rete, l'utente malintenzionato avvia la ricerca di sistemi attivi con porte specifiche aperte e rubando gli hash delle password dal gruppo Domain Admin.
Pirateria informatica manuale
I ricercatori di SentinelOne hanno dettagliato l'attività osservata dai registri su un server Cobalt Strike che TrickBot ha usato per profilare reti e sistemi.
Una volta che l'hacker si è interessato a una rete compromessa, ha usato i moduli del software di emulazione delle minacce Cobalt Strike per squadre rosse e tester di penetrazione.
Un componente è lo script DACheck per verificare se l'utente corrente dispone dei privilegi di amministratore di dominio e controllare i membri di questo gruppo. Hanno anche usato Mimikatz per estrarre password che avrebbero aiutato con il movimento laterale.
I ricercatori hanno scoperto che la scoperta di computer di interesse sulla rete viene eseguita mediante la ricerca di host live con porte specifiche aperte.
Servizi come FTP, SSH, SMB, server SQL, desktop remoto e VNC sono scelti come target perché aiutano a spostarsi su altri computer della rete o indicano un obiettivo prezioso.
Far cadere Ryuk
Secondo l'esame di SentinelOne, l'hacker profila ogni macchina per estrarre quante più informazioni utili possibili. Ciò consente loro di assumere il controllo completo della rete e ottenere l'accesso al maggior numero possibile di host.
Le fasi di ricognizione e di rotazione sono seguite dall'impianto di Ryuk ransomware e dalla sua distribuzione su tutte le macchine accessibili utilizzando lo strumento PsExec di Microsoft per eseguire i processi in remoto.
Sulla base dei timestamp, i ricercatori di SentinelOne stimano che l'hacker abbia impiegato due settimane per accedere alle macchine della rete e profilarle prima di eseguire Ryuk.
L'esperto di sicurezza Vitali Kremez di Advanced Intelligence (AdvIntel) ha detto che questa media per il periodo di "incubazione" è accurata, sebbene vari da una vittima all'altra.
In alcuni casi, Ryuk è stato distribuito dopo solo un giorno, mentre in altri casi il malware crittografato con file è stato eseguito dopo che l'attaccante aveva trascorso mesi sulla rete.
Kremez ha detto che ultimamente le infezioni da Ryuk sono rallentate, poiché l'hacker è probabilmente in uno stato di vacanza.
È importante notare che non tutte le infezioni da TrickBot sono seguite da Ryuk ransomware, probabilmente perché gli attori si prendono il tempo di analizzare i dati raccolti e determinare se la vittima merita la crittografia o meno.
