Ransomware Ryuk surge em campanha altamente segmentada e altamente lucrativa
O Ransomware Ryuk – Um novo ransomware direcionado entrou em cena, atacando organizações bem escolhidas e direcionadas ao redor do mundo com uma operação altamente sofisticada que pode estar ligada a um conhecido ator do APT.
Nas últimas duas semanas, o ransomware Ryuk criptografou centenas de PCs e de servidores em cada uma das empresas que está infectada, segundo a Check Point, incluindo três empresas de alto valor nos EUA. Até agora, este ataque já gerou um prejuízo de US$ 640.000,00.
“Ao contrário do ransomware comum, sistematicamente distribuído através de campanhas de spam massivas e kits de exploração, o Ransomware Ryuk é usado exclusivamente para ataques sob medida”, disseram os pesquisadores da Check Point em um post sobre o código, hoje. “Na verdade, seu esquema de criptografia é intencionalmente construído para operações de pequena escala, de modo que apenas ativos e recursos cruciais sejam infectados em cada rede visada, com sua infecção e distribuição executadas manualmente pelos invasores.”
Pesquisadores disseram que os atacantes estão pedindo somas variadas em troca de descriptografia de arquivos, dependendo do alvo – variando de 15 BTC a 50 BTC (aproximadamente US$ 96.000,00 a US$ 320.000,00).
“Algumas organizações pagaram um resgate excepcionalmente grande“, observaram eles.
Os invasores também estão adaptando sua abordagem de comunicação às vítimas, inclusive usando duas notas de resgate diferentes. Um deles é mais longo, “bem redigido e bem formulado”, de acordo com a Check Point, e usado para organizações com pedidos de resgate mais altos. Uma segunda nota é para as vítimas menos lucrativas, com uma nota mais direta.
No geral, a operação é claramente sofisticada, envolvendo muitas atividades de reconhecimento, como extenso mapeamento de rede, hacking e coleta de credenciais. Isso sugere um ator bem-afinado, que puxa as cordas – e a Check Point encontrou sugestões em sua análise das atividades que o Lazarus Group APT, da Coréia do Norte, poderia estar por trás de tudo.
No entanto, a atribuição é um pouco difícil, especialmente considerando que, ao rastrear a trilha do dinheiro, os pesquisadores viram que os autores do Ransomware Ryuk estão disfarçando seus pagamentos recebidos dividindo-os e transferindo-os entre várias carteiras.
Depois que um pagamento de resgate é feito em uma carteira pré-atribuída, cerca de 25% dos fundos são transferidos para uma nova carteira. O montante restante também é transferido para uma nova carteira; no entanto, os fundos restantes são divididos e realocados novamente.
“O ransomware Ryuk não foi amplamente distribuído… ele só foi usado em ataques direcionados, o que torna muito mais difícil rastrear as atividades e receitas do autor do malware”, disseram os analistas da Check Point. “Quase todas as amostras de malware receberam uma carteira única e logo após o pagamento do resgate, os fundos foram divididos e transmitidos através de várias outras contas.”
Conexões com Hermes
Enquanto a operação é sofisticada, as capacidades técnicas do ransomware são relativamente baixas, constatou a Check Point. No entanto, seu código tem notáveis semelhanças com o ransomware Hermes, um malware comumente atribuído ao Lazarus Group. Hermes ganhou publicidade pela primeira vez em outubro de 2017, quando foi usado como parte de um sofisticado ataque SWIFT contra o Far Eastern International Bank (FEIB) em Taiwan.
As semelhanças entre códigos incluem o fato de que a lógica de criptografia do Ransomware Ryuk se assemelha à encontrada no ransomware Hermes, disseram os pesquisadores.
“De fato, se compararmos a função que criptografa um único arquivo, vemos muita similaridade em sua estrutura”, segundo a Check Point. “Na verdade, parece que o autor do Ryuk nem se deu ao trabalho de alterar o marcador nos arquivos criptografados, pois o código usado para gerar, colocar e verificar este marcador para determinar se um arquivo já foi criptografado é idêntico em ambos os malwares.”
Além disso, a empresa observou que ambas as pastas semelhantes à lista de permissões (por exemplo, “Ahnlab”, “Microsoft”, “Chrome” “Mozilla”, “$ Recycle.Bin” etc.); ambos escrevem um script em lote chamado “window.bat” no mesmo caminho; e em ambos os casos há arquivos descartados em disco (“PUBLIC” e “UNIQUE_ID_DO_NOT_REMOVE”) que são similares em nome e propósito.
“Isso nos leva a acreditar que a atual onda de ataques direcionados usando o Ransomware Ryuk pode ser o trabalho dos operadores da Hermes, do grupo supostamente norte-coreano ou do trabalho de um ator que obteve o código-fonte da Hermes“, observaram os pesquisadores.
Além disso, no que diz respeito aos arquivos na lista de desbloqueio, o ransomware executa uma varredura recursiva padrão de cada unidade e compartilhamento de rede no sistema da vítima e criptografa todos os arquivos e diretórios, exceto aqueles que contêm texto da lista de desbloqueio codificada.
“Está claro por que os atacantes iriam querer o navegador da vítima intacto, uma vez que pode ser necessário para ler a nota de resgate, comprar criptomoedas e assim por diante“, observaram os pesquisadores. “Mas é menos claro por que os atacantes estão preocupados com a criptografia da cópia da vítima de um produto de proteção de endpoint sul-coreano, especialmente considerando que esse ataque não foi nem mesmo direcionado a usuários sul-coreanos“.
Faz sentido, no entanto, se o ransomware Hermes estiver sendo reutilizado e renomeado como ransomware “Ryuk”.
Além disso, quando se trata do modelo de confiança, o Hermes original realmente gerou os pares de chaves RSA por duas vítimas, em vez de embutir cópias codificadas nas amostras de malware; no entanto, “a própria função de criptografia, incluindo o formato de arquivo criptografado e sua mágica de arquivo exclusiva ‘Hermes’ associada, é reproduzida por atacado na versão renomeada.”
Em última análise, tanto a natureza do ataque quanto o funcionamento interno do malware vinculam o Ryuk ao ransomware Hermes.
“Isso desperta curiosidade sobre a identidade do grupo por trás dele e sua conexão com o Grupo Lazarus”, concluíram os pesquisadores. “Acreditamos que este não é o fim desta campanha e que organizações adicionais provavelmente serão vítimas de Ryuk”.
Proteja os dados da sua empresa de ataques Ransomware. Conheça Sophos InterceptX.
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso Grupo LinkedIn.
Leia também: E-mails phishing usando nova maneira de ignorar as proteções do Microsoft Office 365.