エグゼクティブサマリー
Ryukは、被害者のファイルを暗号化し、暗号化に使用された鍵を入手するための身代金としてビットコインでの支払いを要求するランサムウェアです。Ryukは、標的型ランサムウェア攻撃でのみ使用されます。
Ryukは2018年8月に最初に発見され、いくつかの企業を対象としたキャンペーンの中で確認されました。ランサムウェアの初期バージョンの分析により、Hermesランサムウェアとの類似点と共有ソースコードが明らかになりました。Hermesランサムウェアは、地下市場で販売されている一般的なマルウェアであり、複数の攻撃者によって使用されています。
ファイルを暗号化するために、Ryukは対称AES(256ビット)暗号化と非対称RSA(2048ビットまたは4096ビット)暗号化の組み合わせを利用します。対称鍵はファイルの内容を暗号化するために使用され、非対称公開鍵は対称鍵を暗号化するために使用されます。身代金を支払うと、対応する非対称秘密鍵が解放され、暗号化されたファイルを復号化できるようになります。
Ryukの最初の感染経路は標的となる被害者に合わせて調整されます。よく見られる最初の経路は、スピアフィッシングメール、リモートアクセスシステムへの侵害された資格情報の悪用、および以前からあるよく使われているマルウェア感染を使用した手法が取られています。後者の例として、EmotetとTrickBotの組み合わせは、Ryukの攻撃で頻繁に観察されています。
カバレッジと保護に関するアドバイス
RyukはRansom-Ryuk![partial-hash]として検出されます。
セキュリティ担当者は、winPEAS、Lazagne、Bloodhound、Sharp Houndなど、またはCobalt Strike、Metasploit、Empire、Covenantなどのハッキングフレームワーク、およびデュアルユースの悪意のないツールの異常な動作など、オープンソースのペネトレーションテストツールに関連する痕跡や行動に注意を払う必要があります。これらの一見正当なツール(ADfind 、PSExec 、PowerShellなど)は、列挙や実行などに使用できます。その後、Windows Management Instrumentation WMIC(T1047)の異常な使用に注意してください。標的型ランサムウェア攻撃の証拠指標に関する次のブログが参考になりますので、ご参照ください(パート1、パート2)。
他の同様のRansomware-as-a-Serviceファミリーも含め見ていくと、特定の最初の経路がランサムウェアを利用する攻撃者の間で非常に一般的であることがわかりました。
・E-mail Spear phishing(T1566.001)は、最初の足掛かりを直接獲得および/または獲得するためによく使用されます。最初のフィッシングメールは、攻撃者が被害者のネットワークを完全に侵害し続けるためのローダーおよびエントリポイントとして機能する別のマルウェア株にリンクすることもできます。これは、Trickbot&RyukやQakbot&Prolockなどで過去に観察されています。
・Exploit Public-Facing Application (T1190、外部公開されたアプリケーションへの攻撃)は、サイバー犯罪者はセキュリティニュースの熱心な読者であり、常に優れたエクスプロイトを探していることを考えると、もう一つの一般的な最初の経路です。したがって、パッチの適用に関しては、迅速かつ忠実に行うことをお勧めします。過去には、リモートアクセスソフトウェア、Webサーバー、ネットワークエッジ機器、ファイアウォールに関する脆弱性がエントリポイントとして使用された例が数多くあります。
・Valid Accounts(T1078、正当なアカウント)を使用することは、サイバー犯罪者が足場を築くための実証済みの方法です。結局のところ、すでに鍵を持っているのに、なぜドアを壊すのですか?保護対策が弱いRDPアクセスは、このエントリ方法の代表的な例です。RDPセキュリティに関する最良のヒントについては、RDPセキュリティについて説明しているこちらのブログ記事をご参照ください。
・Valid Accountsは、被害者のコンピューターから資格情報を盗むように設計されたInfostealerなどのコモディティマルウェアを介して取得することもできます。ランサムウェアの犯罪者は、何千もの資格情報を含むInfostealer ログを購入して、VPNや企業のログインを検索できます。組織にとって、ユーザーアカウントに堅牢な資格情報管理とMFAを設定することは、絶対に必要です。
実際のランサムウェアバイナリに関しては、エンドポイント保護を更新およびアップグレードし、改ざん防止やロールバックなどのオプションを有効にすることを強くお勧めします。当社製品での具体的な方法については、ランサムウェアから保護するためにENS10.7を最適に構成する方法に関するこちらのブログ記事をご参照ください。
脅威の概要
・Ryukランサムウェアは標的型攻撃でのみ使用されます
・最新のサンプルは現在、Webサーバーを対象としています
・新しい身代金メモは、被害者に攻撃者との接触を容易にするためにTorブラウザをインストールするように促します
・ファイルの暗号化後、ランサムウェアはデフォルトのプリンターから身代金メモのコピーを50部印刷します
詳細を解説したテクニカル分析で、IoC(侵入の痕跡)、MITRE ATT&CK テクニック、Yara ルールなどのRyukランサムウェアの詳細をご覧いただけます。参考になれば幸いです。
テクニカル分析資料:
Ryuk Ransomware Now Targeting Webservers
※本ページの内容は2021年7月7日(ET)更新の以下のMcAfee Blogの内容です。
原文:New Ryuk Ransomware Sample Targets Webservers
著者:Marc Elias
