2021 február 05

Szerző: marketing@mwtsolutions.eu

Kategória: Cikk

2020. szeptember 27-én az amerikai Universal Health Services (UHS) egészségügyi szolgáltató rendszereinek hálózata leállt minden létesítményében, miután a Ryuk zsarolóprogram behatolt a rendszerbe, olvasható egy cikk a Health IT Security honlapján.

 

De mi az a Ryuk zsarolóprogram?

Ryuk egy kifinomult zsarolóvírus fenyegetés, amely a vállalkozásokat, kórházakat és kormányzati intézményeket célozza meg szerte a világon. Ellentétben a közös zsarolóprogramokkal, amelyek célja bárkire kiterjed, a Ryuk általában személyre szabott támadásokkal „kellemetlenkedik”. A támadók manuális feltörési technikákat és nyílt forráskódú eszközöket használnak a magánhálózatokba való bejutáshoz és a rendszer felügyeletének hozzáféréséhez. Ryuk egy módosított változata a Hermes zsarolóprogram.

 

Mind a Hermes, mind a Ryuk hálózati eszközök azonosítása és titkosítása képességéről ismert, valamint a végpontokon tárolt árnyékmásolatok törléséről. A támadók által követelt váltságdíj általában jelentős, mivel a támadás elindításához szükséges manuális folyamatok száma is magas. Ezek a manuális folyamatok kiterjedt hálózati leképezést, hitelesítő adatok gyűjtését és közvetlen kihasználást foglalnak magukban, amelyek az egyes támadási műveletek előtt lezajlanak.

 

Hogyan jut be a Ryuk zsarolóprogram a hálózatokba?

A Ryuk zsarolóprogram támadási állomásai

• Behatolási ciklus
• Laterális mozgás, terjedés
• Adatok kiszivárgása vagy a támadás hatásának vizsgálata

 

A támadások indításának számos módja van, például adathalász e-mailek, nem biztonságos webhelyek meglátogatása vagy véletlenszerű előugró ablakokra való kattintás. Ryuk szinte mindig Bot-okon keresztül terjesztődik, mint például a TrickBot vagy Emotet, amelyek közvetlen hozzáférést biztosítanak az áldozatok hálózatához.

 

Természetesen nem minden TrickBot fertőzés vezet Ryuk zsarolóvírus támadáshoz, de amikor megtörténik, a támadás sajnos végzetes lesz. Jellemzően a Ryuk aktiválása a Bot hálózaton való megjelenése után egy héttel történik meg. Ez a rés lehetővé teszi addig, hogy a robot bizalmas információkat lopjon el, így a szervezet sebezhetővé válik már a tényleges támadás előtt is. A támadó ezután a robot által gyűjtött adatok alapján azonosítja azt a potenciális hálózatot, amelybe Ryuk telepíthető. Ezzel gyakorlatilag befejeződött a behatolási ciklus.

 

A hálózaton belül a támadó már manuális feltörési tevékenységeket kezdeményez, például hálózati felderítést és oldalirányú mozgást, amelyek segítenek a tartományvezérlők feltörésében, amelyek a lehető legtöbb rendszerhez biztosítanak hozzáférést.

 

A titkosítási gyakorlat

Ha a támadók megtalálják a megfelelő rendszert, két fájl töltődik fel a könyvtáron belüli almappába. A két fájl a következő:

 

PUBLIC: RSA nyilvános kulcs

 

A titkosítási folyamat ebben a szakaszban kezdődik.

 

A támadó végig söpör a fájlrendszereken, és meghajtókat csatol a WNetOpenEnum és a WNetEnumResource használatával történő titkosítás kezdeményezéséhez. Minden alkalommal, amikor egy fájl titkosításra kerül, a titkosítási kulcs megsemmisül. A fájl titkosítása után a program hozzáfűzi a .ryk kiterjesztést. Előfordulhat az is, hogy egyes fájlok nem rendelkeznek majd kiterjesztéssel.

 

Ryuk képes számos fájl titkosítására, kivéve a .dll, .lnk, .hrmlog, .ini és .exe kiterjesztéssel rendelkezőket. A Windows System32, Chrome, Mozilla, Internet Explorer és Lomtár könyvtárakban tárolt fájlok szintén nem tartoznak a titkosított fájlok közé. Ez valószínűleg lehetővé teszi az áldozat számára, hogy böngészőt használja a váltságdíj behajtására.

 

Ryuk magas biztonsági titkosítási technikát használ. Ez biztosítja, hogy a fájlok ne legyenek könnyedén helyreállíthatóak. A fájlokat általában az AES-256 használatával titkosítja és a fájlok kulcsait egy .ryk kiterjesztésű fájl tárolja. Az AES kulcsokat ezután egy RSA-4096 nyilvános titkos kulcspárral titkosítják, amelyet teljes egészében a támadó vezérel.

 

A Ryuk valóban rosszindulatú támadásnak tekinthető, hiszen magában foglalja a titkosítási kulcsokat, s más kulcsokat, és az egész folyamat konkrét áldozatokra szabott. Ez azt jelenti, hogy ha az áldozatok személyes kulcsait közzéteszik, még az sem fog tudni segíteni a többi áldozatnak helyreállítani a fájljait, adatait.

Mi teszi Ryukot valóban végzetessé?

Eddig egyetlen nyílt forráskódú eszköz sem tudta visszafejteni a Ryuk fájlokat. Sőt, mikor a támadó a visszafejtéshez szükséges kulcsot megadta, s károsult a váltságdíjat kifizette, még akkor is előfordult, hogy sérült fájlok kerültek visszaállításra. Vagy még a visszaállítás után is előfordulhat, hogy a rendszer működéséhez szükséges fájlok megsérülnek. Mint minden más zsarolóprogram, a Ryuk is megpróbálja elérni és törölni a rendszerben tárolt adatok másolatait, hogy minden eszközzel elkerülje a helyreállítást. Tartalmaz egy kill.bat kötegfájlt is, amely letiltja a fontosabb szolgáltatásokat, mint pl. a hálózati biztonsági mentést, valamint a Windows Defender víruskeresőt.

Hogyan lehet enyhíteni a támadást?

Az ember által működtetett támadások elleni sikeres védekezéshez alapvető fontosságú néhány alapvetően bevált gyakorlat követése. Sajnos egyes szervezetek néha ideiglenesen letiltják a víruskeresőt vagy más biztonsági vezérlőket, hogy javítsák a rendszer teljesítményét. Azonban még a biztonsági rendszerek rövid időre való letiltása is lehetőséget ad a hackereknek arra, hogy belépjenek és megzavarják a hálózatot. Ezekben az esetekben a támadók a víruskereső által korábban észlelt rosszindulatú programokat egy új támadás végrehajtására használhatják.

 

A hálózat néhány egyéb, gyakran kiaknázott hiányossága a következő:

• Tűzfal- vagy többtényezős hitelesítési (MFA) védelem hiánya
• Gyenge tartományi hitelesítő adatok
• A behatolásmegelőző rendszer letiltása
• Nem biztonságos webhelyek elérése

 

A támadások kockázatának csökkentésére szolgáló ajánlott eljárások a következők:

• Rendszeresen javítsd és frissítsd az alkalmazásokat és programokat! Ez biztosítja, hogy a lehetséges zsarolóprogramok támadásainak belépési pontjai le legyenek tiltva.
• Győződj meg arról, hogy a tűzfalak és a behatolásmegelőzések engedélyezve vannak a hálózatban!
• Erős hitelesítő adatokat igényelj a tartományhoz!
• Telepíts egy teljes körű megoldást, amely képes figyelni a hálózatot, és riasztásokat generálni valós időben!

 

Hogyan segíthet a Log360?

A ManageEngine Log360 teljes körű biztonsági információs és eseménykezelési (SIEM) megoldás, amely segít a hálózat és az informatikai infrastruktúra figyelésében, valamint valós idejű riasztásokat és azonnal jelentéseket biztosít.

A Log360 a következőkben jelent segítséget:

• Biztosítja a helyszíni, hibrid és felhőalapú platformjait
• Meghiúsítja a biztonsági támadásokat, és védi a bizalmas adatokat a jogsértésektől
• A hálózati eszközök részletes naplózásával mélyebb betekintést nyerhetünk a hálózati tevékenységbe
• Automatizáljuk a naplókezelési folyamatot, beleértve a nyilvános felhőalapú infrastruktúrából származó naplókat is!
• A Log360 tökéletesen illeszkedik a megfelelőségi követelményeknek
• Gyorsan végrehajthatja a jogsértés utáni műveleteket kiterjedt elemzési képességeivel és még sok egyéb funkció

 

 

A Log360 emellett betekintést nyújt az olyan eseményekbe is, mint az alkalmazások – elérve, a konfigurációs módosításokat, a tűzfal-bejelentkezéseket, a rendszerleíró adatbázis módosításait és így tovább.

 

 

A Log360 naplókezelési alkotója az EventLog Analyzer figyeli a hálózatot és észleli a potenciális fenyegetéseket. A megoldás valós idejű riasztásokat biztosít, és átfogó jelentéseket hoz létre, amelyek segítségével a rendszergazda műveleteket végezhet a hálózat védelmének érdekében.

 

 

Próbáld ki te is a fent említett funkciókat és töltsd le az ingyenes, 30 napos próbaverziójú Log360 alkalmazást még most!

 

2021 február 05

Szerző: marketing@mwtsolutions.eu

Kategória: Cikk

marketing@mwtsolutions.eu

marketing@mwtsolutions.eu

Hírlevél. Legyen naprakész.

Kapcsolat

MWT SOLUTIONS SA1137

Budapest, Radnóti Miklós utca 2 New Work office RM2

Írjon nekünk: