Primer fue el sonado caso del SEPE Servicio de Empleo Publico Estatal de España (SEPE) víctima del ransomware Ryuk que ha provocado miles de retraso en los pagos y muy recientemente, pero también en España, la Universidad de Castilla-La Mancha también ha sido víctima del mismo ransomware.

La Universidad de Castilla-La Mancha (UCLM) ha sufrido hoy lunes un ciberataque de ransomware. Ha sido la propia institución académica la que ha informado del incidente a través de sus perfiles en Twitter y Facebook.

Comunicado Oficial de Universidad de Castilla La Mancha

Se han observado infecciones de ransomware Ryuk desde finales de 2018. Los actores de Ryuk están evolucionando constantemente los TTP utilizados en las campañas atribuidas a Ryuk. Algunos de los objetivos más notables de estas campañas han sido hospitales, entidades gubernamentales y grandes corporaciones. El grupo adversario de Ryuk está ampliamente considerado como una de las corporaciones y gobiernos de objetivos más exitosos e impactantes en todo el mundo.

Algunas de las Tácticas, Técnicas y Procedimientos (TTP) nuevos y existentes de las variantes del ransomware Ryuk que Advintel ha presenciado a lo largo de sus investigaciones en 2021.

Vector de ataque inicial: fuerza bruta de RDP / otros medios del vector de ataque inicial

Los operadores de Ryuk obtienen acceso inicial a una red con mayor frecuencia a través de dos métodos en 2021.

• Compromiso de RDP basado en servicios
• Entrega de malware basado en botnets

Aumento general del compromiso de RDP como vector de infección inicial en los ataques atribuidos a Ryuk. Se ha observado que los actores de amenazas en la naturaleza emplean la fuerza bruta a gran escala y ataques de rociado de contraseñas contra hosts RDP expuestos para comprometer las credenciales de los usuarios.

Los correos electrónicos de phishing dirigidos junto con las llamadas al centro de servicio de soporte como "BazaCall" también se han observado como un vector de infección inicial en muchos ataques atribuidos a Ryuk. Este documento armado tendrá instrucciones que le dicen al usuario que "habilitar el contenido" que activará una macro y permitirá que el documento descargue una carga útil maliciosa a través de un script de PowerShell que se ejecuta a través de un símbolo del sistema.

Reconocimiento I: Etapa de reconocimiento local del valor de la víctima

Una vez que se haya establecido un punto de apoyo, los operadores de Ryuk intentarán enumerar los fideicomisos de dominio, como los dominios locales, las redes compartidas, los usuarios y las unidades organizativas de Active Directory. Durante esta etapa, los actores intentan recopilar información sobre la organización para determinar qué recursos dentro del dominio infectado son valiosos para perpetrar el resto del ataque. Bloodhound y AdFind se han convertido en herramientas populares utilizadas por los actores que intentan enumerar la información del directorio activo dentro de un dominio infectado.

Se ha observado a los actores que realizan investigaciones de OSINT relacionadas con el dominio de host comprometido para identificar a la empresa víctima infectada y evaluar sus ingresos. Los operadores de ransomware utilizan los ingresos anuales totales de la empresa de la víctima para evaluar cuál será la cantidad del rescate. Específicamente, se ha observado que los actores buscan en servicios como ZoomInfo para recuperar información sobre la empresa víctima, como tecnologías utilizadas, fusiones y adquisiciones recientes, jerarquías corporativas, personal y varios otros elementos de datos relacionados con la empresa que pueden ser de valor para la empresa. sus operaciones.

Post-explotación: Cobalt Strike como herramienta estándar de oro

Después de la infección, los operadores de Ryuk utilizan kits de herramientas posteriores a la explotación, como Cobalt Strike, para realizar más reconocimientos y operaciones.

Incumplimiento de la red Posibles obstáculos: omisión de respuesta de detección de puntos finales y antivirus

Los operadores de Ryuk utilizarán la información recopilada por los escaneos de bots y sus propios escaneos para obtener información sobre las herramientas antivirus (AV) y Endpoint Detection Response (EDR) presentes en los hosts antes de formular su ataque. Vale la pena señalar que los operadores aprovecharán los métodos OSINT y la comunicación con otros actores de amenazas para obtener información sobre los sistemas AV y EDR presentes en las redes que están atacando, especialmente si una red ha sido previamente comprometida, la información obtenida del ataque se puede compartir. entre grupos de amenazas. Una vez que los operadores comprometan con éxito una cuenta de administrador de dominio, trabajarán para deshabilitar los servicios AV y EDR.

Algunas de las técnicas de formación de equipos rojos más sofisticadas y novedosas que se utilizan para apuntar y evitar EDR y herramientas de protección:

• Buscar un administrador de TI local con acceso al software EDR y aprovechando una herramienta de PowerShell "KeeThief.ps1" para extraer las credenciales de administrador para el software EDR del popular administrador de contraseñas KeePass
• Permite la extracción de material clave KeePass 2.X de la memoria, así como el backdoor y la enumeración del sistema de activación KeePass.
• Implementar la versión portable de Notepad ++ para ejecutar scripts de PowerShell en el sistema host para evitar la restricción de ejecución de PowerShell. El Bloc de notas portátil ++ incluye PowerShell versión 1.

Escalada de privilegios

Las organizaciones deben monitorear de cerca como un medio para detectar infecciones dentro de su dominio.

• CVE-2018-8453 es una vulnerabilidad de elevación de privilegios en Windows cuando el componente win23k.sys no puede manejar correctamente los objetos en la memoria. La explotación de esta vulnerabilidad permite a un atacante ejecutar un kernel arbitrario con privilegios de lectura / escritura.
• CVE-2019-1069  es una vulnerabilidad de escalada de privilegios que aprovecha la forma en que el Programador de tareas de Windows maneja las tareas guardadas. El Programador de tareas almacena las tareas como archivos en dos ubicaciones, C: \ Windows \ Tasks y C: \ Windows \ System32 \ Tasks. Si un cliente RPC modifica una tarea mediante el servicio en la ubicación C: \ Windows \ Tasks cuando se guardan las modificaciones, la tarea se migrará a C: \ Windows \ System32 \ Tasks. Al guardar un archivo de tarea, el servicio Programador de tareas establecerá la propiedad y el control total del archivo al propietario de la tarea. Este proceso permite a un atacante perpetrar un ataque de enlace duro. Por lo tanto, si un atacante coloca manualmente un archivo dentro de C: \ Windows \ Tasks, el atacante podrá ejecutar este archivo con el nivel más alto de privilegios, ya que el servicio Programador de tareas se ejecuta en el nivel máximo de privilegio definido por la máquina local.

Movimientos laterales

Los operadores de Ryuk demuestran altos niveles de sofisticación en sus habilidades para recopilar información y moverse lateralmente dentro de una red. Actores como DACheck y Mimikatz han sido testigos de la ejecución de herramientas integradas específicas del kit de herramientas Cobalt Strike. Se ha observado el uso de un script "Invoke-DACheck" para identificar las cuentas de administrador de dominio dentro de la red. Los actores también usarán Mimikatz y LaZagne para recopilar contraseñas.

Los actores de Ryuk utilizan CrackMapExec para la búsqueda de administradores locales y la extracción de contraseñas. CrackMapExec es una herramienta de post-explotación disponible públicamente con una variedad de capacidades de enumeración, descubrimiento y fuerza bruta. Es probable que los actores estén usando esta herramienta para buscar cuentas de administrador local y luego ejecuten funciones de ataque de retransmisión SMB y NTLM desde esta herramienta para la autenticación.

Implementación del ransomware

Una vez que los actores han comprometido con éxito una cuenta de administrador local o de dominio, distribuyen la carga útil de Ryuk a través de Objetos de política de grupo, sesiones PsExec desde un controlador de dominio o utilizando un elemento de inicio en el recurso compartido SYSVOL.

Recomendaciones de mitigación de riesgos

• Detectar el uso de la ejecución de Mimikatz y PsExec dentro de la red.
• Detecciones y alertas de la presencia de AdFind, Bloodhound y LaZagne dentro de la red.
• Asegúrese de que todos los sistemas operativos y el software estén actualizados con las últimas actualizaciones y parches de seguridad.
• Implementar la autenticación multifactor para el acceso RDP.
• Implementar controles y segmentación de la red para analizar el tráfico SMB y NTLM dentro de la red.
• Revisar periódicamente los permisos de la cuenta para evitar la pérdida de privilegios y mantener el principio de privilegio mínimo.
• Revisar periódicamente los objetos de directiva de grupo y los scripts de inicio de sesión.
• Actualizar los sistemas para evitar la explotación de CVE-2018-8453 y CVE-2019-1069.

Conclusiones

Las campañas de ransomware de Ryuk continúan evolucionando sus TTP para evitar la detección y navegar a través de una red en 2021. Advintel continúa observando a los actores de amenazas discutiendo nuevos TTP entre ellos y continuará monitoreando sus comunicaciones para proporcionar información para evitar que estas campañas se perpetran con éxito.

Fuente:

https://www.advanced-intel.com/post/adversary-dossier-ryuk-ransomware-anatomy-of-an-attack-in-2021