Berdasarkan artikel dari Sean Gallagher berjudul “They’re back: inside a new Ryuk ransomware attack” baru-baru ini mengidentifikasi kampanye spam baru yang terkait dengan Ryuk (bagian dari gelombang serangan baru). Dan pada akhir September, tim Respons Ancaman Terkelola Sophos membantu sebuah organisasi dalam mengurangi serangan Ryuk.

Serangan tersebut adalah bagian dari gelombang insiden Ryuk yang terkait dengan kampanye phishing baru-baru ini. Serangan ini pertama kali terlihat pada Agustus 2018, geng Ryuk menjadi terkenal pada 2019, menuntut uang tebusan jutaan dolar dari perusahaan, rumah sakit, dan pemerintah daerah.

Dimulai sekitar awal pandemi COVID-19 di seluruh dunia, terlihat adanya jeda dalam aktivitas Ryuk. Ada spekulasi bahwa Ryuk telah beralih ke versi ransomware yang diganti namanya, yang disebut Conti.

Serangan dimulai pada sore hari Selasa. 22 September. Beberapa karyawan dari perusahaan target telah menerima email phishing yang sangat bertarget. Tautan, disajikan melalui layanan pengiriman email Sendgrid, dialihkan ke dokumen berbahaya yang dihosting di docs.google.com. Email tersebut diberi tag dengan peringatan pengirim eksternal oleh software email perusahaan. Dan beberapa contoh lampiran berbahaya terdeteksi dan diblokir.

Tetapi seorang karyawan mengklik link di email sore itu. Pengguna membuka dokumen dan mengaktifkan isinya, memungkinkan dokumen untuk mengeksekusi print_document.exe (sebuah executable berbahaya yang diidentifikasi sebagai Buer Loader)).

Buer Loader adalah pengunduh malware-as-a-service modular, diperkenalkan untuk dijual pada Agustus 2019. Buer menyediakan layanan distribusi malware yang dikelola panel web; setiap build pengunduh dijual seharga $ 350, dengan modul add-on dan perubahan target alamat unduhan ditagih secara terpisah.

Dalam kasus ini, setelah eksekusi, malware Buer Loader menjatuhkan qoipozincyusury.exe, “suar” Cobalt Strike, bersama dengan file malware lainnya. Suar Cobalt Strike, awalnya dirancang untuk emulasi penyerang dan pengujian penetrasi, adalah alat serangan modular yang dapat melakukan berbagai tugas, menyediakan akses ke fitur sistem operasi dan membuat saluran perintah dan kontrol rahasia dalam jaringan yang disusupi.

Selama satu setengah jam berikutnya, suar Cobalt Strike tambahan terdeteksi pada sistem yang awalnya disusupi. Para penyerang kemudian berhasil membangun pijakan di stasiun kerja yang ditargetkan untuk pengintaian dan untuk mencari kredensial. Beberapa jam kemudian, pengintaian para aktor Ryuk terhadap jaringan dimulai. 

Dengan menggunakan data ini, pada Rabu pagi para aktor telah memperoleh kredensial administratif dan telah terhubung ke pengontrol domain, tempat mereka melakukan dump data detail Active Directory. Hal ini kemungkinan besar dicapai melalui penggunaan SharpHound, alat “injestor” data berbasis Microsoft C # untuk BloodHound (alat analisis Active Directory sumber terbuka yang digunakan untuk mengidentifikasi jalur serangan di lingkungan AD).

Sebuah dump data dari alat itu ditulis ke direktori pengguna untuk akun administrator domain yang disusupi di server domain itu sendiri. Cobalt Strike lain yang dapat dieksekusi dimuat dan diluncurkan beberapa jam kemudian. Itu diikuti segera dengan penginstalan layanan Cobalt Strike pada pengontrol domain menggunakan kredensial administrator domain yang diperoleh sebelumnya.

Layanan ini adalah pendengar Blok Pesan Server yang dirantai, yang memungkinkan perintah Cobalt Strike diteruskan ke server dan komputer lain di jaringan. Menggunakan Antarmuka Manajemen Windows, penyerang dari jarak jauh mengeksekusi suar Cobalt Strike baru di server yang sama.

Singkatnya, layanan berbahaya lainnya dibuat di dua server lain menggunakan kredensial admin yang sama, menggunakan Instrumentasi Manajemen Windows dari PC yang awalnya disusupi. Salah satu layanan yang dikonfigurasi adalah perintah PowerShell yang dikodekan yang membuat pipa komunikasi Cobalt lainnya.

Para aktor terus melakukan aktivitas pengintaian dari desktop yang awalnya terinfeksi, menjalankan perintah yang mencoba mengidentifikasi target potensial untuk pergerakan lateral lebih lanjut. Banyak dari perintah sebelumnya yang berulang. Perintah nltest digunakan dalam upaya untuk mengambil data dari pengontrol domain di domain lain dalam pohon Active Directory perusahaan.

Perintah lain melakukan ping ke server tertentu, mencoba mendapatkan alamat IP. Aktor juga memeriksa terhadap semua jaringan yang dipetakan berbagi terhubung ke workstation dan menggunakan WMI untuk memeriksa sesi Desktop Jarak Jauh aktif pada pengontrol domain lain dalam pohon Direktori Aktif.

Rabu sore — kurang dari sehari setelah korban mengeklik phish — para aktor Ryuk mulai bersiap untuk meluncurkan ransomware mereka. Menggunakan sandaran kepala pada PC yang awalnya disusupi, penyerang menggunakan RDP untuk menyambung ke pengontrol domain dengan kredensial admin yang diperoleh sehari sebelumnya.

Folder bernama C: \ Perflogs \ grub.info.test2 – Salinan dijatuhkan pada pengontrol domain – nama yang konsisten dengan seperangkat alat yang digunakan dalam serangan Ryuk sebelumnya. Beberapa jam kemudian, penyerang menjalankan perintah PowerShell yang dikodekan, yang mengakses data Active Directory, menghasilkan file dump yang disebut ALLWindows.csv, yang berisi login, pengontrol domain, dan data sistem operasi untuk komputer Windows di jaringan.

Selanjutnya, proksi berbahaya SystemBC disebarkan pada pengontrol domain. SystemBC adalah proxy SOCKS5 yang digunakan untuk menyembunyikan lalu lintas malware yang berbagi kode dan penanda forensik dengan malware lain dari keluarga Trickbot. Malware menginstal sendiri (sebagai itvs.exe), dan membuat pekerjaan terjadwal untuk malware, menggunakan format penjadwal tugas Windows lama dalam file bernama itvs.job — untuk menjaga persistensi.

Skrip PowerShell yang dimuat ke folder grub.info.test di pengontrol domain dijalankan berikutnya. Skrip ini, Get.DataInfo.ps1, memindai jaringan dan memberikan keluaran dari sistem mana yang aktif. Ia juga memeriksa AV mana yang berjalan pada sistem.

Para aktor Ryuk menggunakan sejumlah metode untuk mencoba menyebarkan file ke server tambahan, termasuk berbagi file, WMI, dan transfer papan klip Protokol Desktop Jarak Jauh. WMI digunakan untuk mencoba mengeksekusi GetDataInfo.ps1 terhadap server lain.

Kamis pagi, para penyerang menyebar dan meluncurkan Ryuk. Versi Ryuk ini tidak memiliki perubahan substansial dari versi sebelumnya yang kami lihat dalam hal fungsi inti, tetapi pengembang Ryuk menambahkan lebih banyak kebingungan pada kode untuk menghindari deteksi malware berbasis memori.

Server cadangan organisasi termasuk yang pertama ditargetkan. Ketika Ryuk terdeteksi dan dihentikan di server cadangan, penyerang menggunakan perintah icacls untuk mengubah kontrol akses, memberi mereka kendali penuh atas semua folder sistem di server.

Mereka kemudian menerapkan GMER, alat “detektor rootkit”. GMER sering digunakan oleh pelaku ransomware untuk menemukan dan menutup proses tersembunyi, dan untuk mematikan perangkat lunak antivirus yang melindungi server. Para penyerang Ryuk melakukan ini, dan kemudian mereka mencoba lagi. Ryuk ransomware telah digunakan ulang dan diluncurkan kembali tiga kali lagi dalam waktu singkat, mencoba untuk membanjiri pertahanan yang tersisa di server cadangan.

Catatan tebusan dijatuhkan di folder yang menampung ransomware, tetapi tidak ada file yang dienkripsi. Secara total, Ryuk dieksekusi dalam serangan yang diluncurkan dari lebih dari 40 sistem yang disusupi, tetapi berulang kali diblokir oleh Sophos Intercept X. Pada siang hari Kamis, porsi ransomware dari serangan itu telah digagalkan. Tetapi para penyerang belum selesai mencoba dan belum keluar dari jaringan.

Pada hari Jumat, pembela HAM mengerahkan blok di seluruh domain yang terkena serangan untuk SystemBC RAT. Keesokan harinya, para penyerang mencoba mengaktifkan proxy SOCKS lain pada pengontrol domain yang masih disusupi. Dan penerapan Ryuk tambahan terdeteksi selama minggu berikutnya bersama dengan upaya phishing tambahan dan upaya untuk menerapkan Cobalt Strike.

Geng Ryuk berpindah dari satu malware-as-a-service provider (Emotet) ke yang lain (Buer Loader), dan tampaknya telah menggantikan Trickbot dengan lebih banyak alat eksploitasi hands-on-keyboard — Cobalt Strike, Bloodhound, dan GMER, di antaranya— dan skrip Windows bawaan dan alat administratif untuk bergerak secara lateral dalam jaringan. Dan para penyerang dengan cepat mengubah taktik saat peluang untuk mengeksploitasi infrastruktur jaringan lokal muncul — dalam serangan baru-baru ini yang direspon Sophos bulan ini, para pelaku Ryuk juga menggunakan Objek Kebijakan Global Windows yang digunakan dari pengontrol domain untuk menyebarkan ransomware. Dan serangan baru-baru ini lainnya telah menggunakan pintu belakang lain yang terhubung ke Trickbot yang dikenal sebagai Bazar.

Berbagai alat yang digunakan, termasuk alat serangan off-the-shelf dan open-source, serta volume dan kecepatan serangan merupakan indikasi evolusi dalam keterampilan operasional geng Ryuk. Paket “keamanan ofensif” Cobalt Strike adalah alat favorit baik yang disponsori negara maupun pelaku kriminal, karena kemudahan penggunaan relatif dan fungsionalitas yang luas, dan ketersediaannya yang luas— versi “retak” dari perangkat lunak berlisensi komersial siap dibeli di forum bawah tanah. Dan perangkat lunak ini menyediakan perangkat yang siap pakai untuk eksploitasi, pergerakan lateral, dan banyak tugas lain yang diperlukan untuk mencuri data, meningkatkan penyusupan, dan meluncurkan serangan ransomware tanpa memerlukan malware yang dibuat khusus untuk para pelaku.

Meskipun serangan ini terjadi dengan cepat, serangan yang terus berlanjut setelah kegagalan awal Ryuk untuk mengenkripsi data menunjukkan bahwa aktor Ryuk — seperti banyak penyerang ransomware — lambat untuk membuka rahangnya, dan dapat bertahan untuk jangka waktu yang lama setelah mereka dipindahkan secara lateral dalam jaringan dan dapat membuat pintu belakang tambahan. Serangan tersebut juga menunjukkan bahwa Remote Desktop Protocol bisa berbahaya meskipun berada di dalam firewall.

Source : https://news.sophos.com/en-us/2020/10/14/inside-a-new-ryuk-ransomware-attack/