Ryuk - ransomware, który polował na grubego zwierza
Ryuk ransomware - analiza modelu Big Game Hunting grupy Wizard Spider. 705 BTC w pierwszych miesiącach, niszczenie kopii zapasowych, ewolucja do Conti. Mapowanie MITRE ATT&CK (S0446).
Wigilia Bożego Narodzenia 2018 roku. W redakcjach dzienników Los Angeles Times, Chicago Tribune, Baltimore Sun i Wall Street Journal drukarki przestają drukować. Systemy produkcyjne Tribune Publishing - jednego z największych wydawców prasowych w Ameryce - padają jeden po drugim. Miliony egzemplarzy gazet, które miały trafić do czytelników następnego ranka, nigdy nie opuszczą drukarni. Na ekranach serwerów widnieje komunikat z rozszerzeniem .RYK i żądanie okupu w bitcoinach.
To nie był przypadkowy atak. To było precyzyjne uderzenie - zaplanowane, rozpoznane, przeprowadzone z chirurgiczną dokładnością w momencie, gdy zespoły IT świętowały z rodzinami. Tak działał Ryuk - ransomware zaprojektowany nie do masowej infekcji, lecz do polowania na duże cele za duże pieniądze. Model, który jego twórcy nazwali Big Game Hunting - polowanie na grubego zwierza.
Wizard Spider - rosyjskojęzyczne imperium cyberprzestępcze
Za Ryukiem stoi grupa znana jako Wizard Spider (CrowdStrike) albo Grim Spider (gdy mowa o operatorach samego ransomware) - rosyjskojęzyczny kolektyw cyberprzestępczy, który wcześniej zasłynął stworzeniem trojana bankowego TrickBot. To ważne rozróżnienie: wczesne analizy błędnie przypisywały Ryuka północnokoreańskiej grupie Lazarus, ponieważ kod ransomware zawierał fragmenty pochodzące od Hermesa - innego złośliwego oprogramowania użytego w 2017 roku podczas kradzieży SWIFT z tajwańskiego banku Far Eastern International. Jednak Hermes był towarem sprzedawanym na forach - mógł go kupić każdy. Dalsze badania CrowdStrike, FireEye i McAfee wykazały z wysokim prawdopodobieństwem, że Ryuk to dzieło rosyjskojęzycznych operatorów, nie Korei Północnej.
Wizard Spider działał jak dobrze zorganizowane przedsiębiorstwo. Posiadali własną infrastrukturę dystrybucji (Emotet i TrickBot jako wektory pierwszego dostępu), zespoły operatorów penetrujących sieci ofiar oraz oddzielny pion odpowiedzialny za negocjacje i pranie pieniędzy.
Łańcuch ataku - od phishingu do szyfrowania
Ryuk nigdy nie rozprzestrzeniał się samodzielnie jak WannaCry. Każdy atak był operacją wieloetapową, prowadzoną ręcznie przez wykwalifikowanych operatorów.
-
Phishing z Emotetem - ofiara otrzymywała wiadomość e-mail z zainfekowanym załącznikiem lub linkiem. Emotet - jeden z najpopularniejszych trojanów tamtego okresu - instalował się na stacji roboczej.
-
Dostarczenie TrickBota lub BazarLoadera - Emotet pobierał drugiego agenta, który umożliwiał głębsze rozpoznanie sieci: mapowanie Active Directory, identyfikację kontrolerów domeny, lokalizację serwerów kopii zapasowych.
-
Ręczna eskalacja - operatorzy Wizard Spider logowali się do sieci ofiary przez odwrotną powłokę (reverse shell). Zdobywali uprawnienia administracyjne, przemieszczali się lateralnie za pomocą RDP, PsExec i PowerShell.
-
Niszczenie zabezpieczeń - to etap, który odróżniał Ryuka od wcześniejszych generacji ransomware. Operatorzy systematycznie wyłączali oprogramowanie antywirusowe, usuwali kopie wolumenów (Volume Shadow Copy), zatrzymywali usługi baz danych i - co najbardziej niszczycielskie - celowo atakowali serwery kopii zapasowych. Wyłączali usługi Acronis, Veeam, SQLSafe i Zoolz. Modyfikowali listy kontroli dostępu (ACL) za pomocą polecenia
icacls, a następnie uruchamiali narzędzie GMER, aby wykryć i wyłączyć oprogramowanie ochronne na serwerze backupowym. -
Szyfrowanie - dopiero po zneutralizowaniu zabezpieczeń Ryuk szyfrował pliki przy użyciu AES-256 (klucz symetryczny) zabezpieczonego RSA-4096 (klucz asymetryczny). Pliki otrzymywały rozszerzenie .RYK, a na pulpicie pojawiała się notatka z żądaniem okupu.
TIP
W późniejszych wersjach Ryuk potrafił budzić wyłączone komputery w sieci za pomocą pakietów Wake-on-LAN, aby zaszyfrować także urządzenia, które w momencie ataku były uśpione. To dramatycznie zwiększało zasięg zniszczeń.
705 BTC w pięć miesięcy - ekonomia Big Game Hunting
Tradycyjny ransomware - taki jak WannaCry - żądał 300 dolarów od każdej ofiary i zarabiał grosze mimo setek tysięcy infekcji (łącznie około 140 000 USD). Wizard Spider odwrócił ten model. Zamiast atakować masowo, wybierali kilkanaście dużych organizacji i żądali okupów rzędu dziesiątek, a nawet setek bitcoinów.
Efekt był porażający. W ciągu pierwszych pięciu miesięcy działalności - od sierpnia 2018 do stycznia 2019 - CrowdStrike zidentyfikował 52 transakcje na 37 adresach BTC powiązanych z Ryukiem. Łączna suma: 705,80 BTC, co odpowiadało wówczas 3,7 miliona dolarów. Najniższy okup wyniósł 1,7 BTC. Najwyższy - 99 BTC.
| Data | Cel | Okup / Straty |
|---|---|---|
| 2018 (grudzień) | Tribune Publishing (USA) | Przerwa w druku gazet w całych Stanach Zjednoczonych |
| 2019 (marzec) | Jackson County, Georgia | 400 000 USD (22 BTC) |
| 2019 (kwiecień) | Imperial County, Kalifornia | Żądanie 1,2 mln USD (65 BTC) |
| 2019 (czerwiec) | Lake City, Floryda | 460 000 USD (25 BTC) |
| 2020 (wrzesień) | Universal Health Services | 67 mln USD strat (400+ szpitali) |
| 2020 (październik) | Sky Lakes Medical Center, Oregon | Przejście na dokumentację papierową |
| 2020 (październik) | Lawrence Health System, Nowy Jork | Wyłączenie systemów elektronicznych |
Atak na Universal Health Services - gdy ransomware zagraża życiu
27 września 2020 roku. Ryuk uderza w Universal Health Services - jedną z największych sieci szpitali w Stanach Zjednoczonych. Ponad 400 placówek medycznych w USA i Wielkiej Brytanii traci dostęp do systemów informatycznych. Lekarze i pielęgniarki wracają do papierowej dokumentacji. Badania laboratoryjne trzeba zamawiać ręcznie. Wyniki dostarczane są przez kurierów biegających po korytarzach szpitalnych.
Przywracanie systemów zajęło trzy tygodnie. UHS oszacował straty na 67 milionów dolarów - wliczając w to utracone przychody, koszty odzyskiwania i wydatki na wzmocnienie zabezpieczeń. Miesiąc później CISA, FBI i HHS wydały wspólny alert (AA20-302A) ostrzegający sektor ochrony zdrowia przed falą ataków Ryuka na szpitale.
TIP
Alert CISA AA20-302A z października 2020 pozostaje jednym z najważniejszych dokumentów referencyjnych dotyczących zagrożeń ransomware dla sektora ochrony zdrowia. Opisuje pełny łańcuch ataku Emotet-TrickBot-Ryuk i zawiera szczegółowe wskaźniki kompromitacji (IoC).
MITRE ATT&CK - mapowanie technik (S0446)
Ryuk jest skatalogowany w ramach MITRE ATT&CK jako S0446. Kluczowe techniki:
| Taktyka | Technika | ID | Opis |
|---|---|---|---|
| Execution | Command and Scripting Interpreter | T1059 | Wykorzystanie PowerShell i cmd do wykonywania poleceń |
| Persistence | Boot or Logon Autostart | T1547 | Przetrwanie restartu systemu |
| Defense Evasion | Impair Defenses | T1562 | Wyłączanie oprogramowania antywirusowego i zabezpieczeń |
| Discovery | File and Directory Discovery | T1083 | Wyszukiwanie plików do zaszyfrowania |
| Discovery | System Network Configuration | T1016 | Rozpoznanie architektury sieciowej ofiary |
| Lateral Movement | Remote Services: RDP | T1021.001 | Przemieszczanie się w sieci przez RDP |
| Impact | Data Encrypted for Impact | T1486 | Szyfrowanie plików ofiary (AES-256 + RSA-4096) |
| Impact | Inhibit System Recovery | T1490 | Usuwanie kopii wolumenów i niszczenie backupów |
| Impact | Service Stop | T1489 | Zatrzymanie usług baz danych i backupów przed szyfrowaniem |
Od Ryuka do Conti - ewolucja drapieżnika
Na początku 2020 roku aktywność Ryuka zaczęła słabnąć. Nie dlatego, że Wizard Spider zaprzestał działalności - wręcz przeciwnie. Grupa rozwijała następcę: ransomware Conti, który przejął model Big Game Hunting i rozszerzył go o mechanizm podwójnego wymuszenia (exfiltracja danych przed szyfrowaniem i groźba ich publikacji). Conti działał w modelu Ransomware-as-a-Service, rekrutując afiliantów na forach przestępczych.
Ryuk nie zniknął natychmiast - jeszcze w 2021 roku odnotowano sporadyczne ataki - ale główny wysiłek operacyjny Wizard Spider przesunął się w stronę Conti. A gdy w lutym 2022 roku wewnętrzne czaty Conti wyciekły po tym, jak grupa zadeklarowała poparcie dla rosyjskiej inwazji na Ukrainę, świat zobaczył od wewnątrz, jak działa profesjonalna organizacja ransomware - z działem HR, premiami za wyniki i regularnymi “standup meetings.”
Dziedzictwo Ryuka żyje dalej. Grupy takie jak Royal, Black Basta i Akira - powstałe z rozproszonych członków Conti - kontynuują model Big Game Hunting, który Wizard Spider udoskonalił.
Wnioski dla obrońców
1. Kopie zapasowe muszą być odporne na ataki
Ryuk udowodnił, że samo posiadanie backupów nie wystarcza. Jeśli serwer kopii zapasowych znajduje się w tej samej domenie Active Directory co reszta infrastruktury, atakujący z uprawnieniami administratora domeny zaszyfruje go razem z całą resztą. Kopie zapasowe wymagają izolacji - fizycznej lub logicznej - zgodnie z zasadą 3-2-1-1 (trzy kopie, dwa nośniki, jedna kopia offsite, jedna kopia offline/immutable).
2. Segmentacja i monitorowanie ruchu lateralnego
Ryuk potrzebował dni lub tygodni na rozpoznanie i przygotowanie ataku. Ruch lateralny - sesje RDP do kontrolerów domeny, masowe wykonywanie PsExec, zmiany uprawnień na serwerach backupowych - to sygnały, które wykrywa dobrze skonfigurowany system monitorowania. Segmentacja sieci ogranicza obszar, po którym atakujący może się poruszać.
3. Ransomware to problem całej organizacji
Ryuk atakował szpitale, wydawców, samorządy, firmy logistyczne. Łączyło je jedno: duże organizacje, dla których przestój operacyjny oznaczał ogromne straty - a więc wysoką motywację do zapłacenia okupu. Obrona przed ransomware wymaga nie tylko narzędzi technicznych, ale procesu reagowania na incydenty, przećwiczonych planów ciągłości działania i świadomości kierownictwa, że okup nigdy nie gwarantuje odzyskania danych.
TIP
Średni czas przebywania Ryuka w sieci ofiary (dwell time) wynosił od 2 do 12 dni. To okno, w którym zespół SOC może wykryć aktywność rozpoznawczą i powstrzymać atak, zanim dojdzie do szyfrowania. Kluczowe wskaźniki to: nietypowe logowania RDP poza godzinami pracy, masowe uruchamianie PsExec oraz zmiany w konfiguracjach usług backupowych.
Źródła:
- CrowdStrike - Big Game Hunting with Ryuk: Another Lucrative Targeted Ransomware
- CrowdStrike - Timelining GRIM SPIDER’s Big Game Hunting Tactics
- MITRE ATT&CK - Ryuk (S0446)
- CISA - Ransomware Activity Targeting the Healthcare and Public Health Sector (AA20-302A)
- SentinelOne - What is Ryuk Ransomware? A Detailed Breakdown
- Sophos - Inside a New Ryuk Ransomware Attack
- Fortinet - Ryuk Revisited: Analysis of Recent Ryuk Attack
- Security Magazine - UHS Hospitals Hit by Ryuk Ransomware