2018年8月,Check Point的安全专家发现,一群朝鲜黑客针对世界各地组织发起了一场勒索软件活动——这也是该公司首次检测到Ryuk勒索软件。
这场活动看起来目标明确、计划周密,针对了多家企业,并对每家受感染企业的数百台电脑、存储设备和数据中心进行加密。一些受害者企业为了恢复被加密的文件支付了巨额赎金,经CheckPoint确认,受害者支付的赎金金额介于15到50比特币之间。全球范围内至少有三个组织因此受到严重影响,据估计,到目前为止攻击者已经净赚64万美元。
Ryuk勒索软件似乎与Hermes恶意软件有关,而Hermes恶意软件则与臭名昭着的Lazarus APT网络犯罪组织有关。最近,《华尔街日报》、《纽约时报》和《洛杉矶时报》等大型报纸的报纸出版也受到了相同的勒索软件的攻击。所以Ryuk被误会与朝鲜有关。
真实“身份”新线索
通过对恶意软件的进一步调查,安全公司使得FireEye和CrowdStrike的专家发现,Ryuk勒索软件背后的威胁行为者正在与另一个网络犯罪团伙合作,以获得对目标网络的访问权。他们正在与TrickBot背后的威胁演员合作。(TrickBot是一种恶意软件,一旦感染了系统,就会向攻击者创建一个反向shell,允许他们进入网络)
Crowdstrike的专家认为,Ryuk勒索软件是由他们追踪的名为GRIM SPIDER的犯罪集团操作的,更具体来说是TrickBot背后的俄罗斯团伙WIZARD SPIDER。
“GRIM SPIDER是一个复杂的犯罪集团,自2018年8月以来一直在运营Ryuk勒索软件,目标是攻击大型组织获得高额赎金。这种被称为“大型游戏狩猎”的方法标志着WIZARD SPIDER的运营方式发生了变化,GRIM SPIDER似乎只是其中一个部门构成。WIZARD SPIDER threat group,即俄罗斯的银行恶意软件“TickBot”的运营者,过去主要关注电信欺诈领域。”
FireEye正在追踪与TEMP.MixMaster相同动机的活动,后者涉及攻击者使用与TrickBot感染相关的Ryuk勒索软件。这种情况表明,TrickBot运营者正在采用犯罪即服务模式(crime-as-a-service)来提供对他们已经妥协的系统的访问权限。
“需要注意的是,TEMP.MixMaster仅仅是我们看到Ryuk在TrickBot感染后部署的事件,而且并非所有TrickBot感染都会导致部署Ryuk勒索软件。我们怀疑TrickBot管理员组织可能位于东欧,很可能向有限数量的网络犯罪分子提供恶意软件,以便在运营中使用。”
FireEye专家观察到malspam传播了Ryuk勒索软件的活动,使用了伪装德勤工资表的信息。一旦受害者打开附件并启用了宏,它就会从远程服务器上下载并执行TrickBot恶意软件。
从FireEye获得的数据表明,尽管这种特定的恶意垃圾邮件运行可能已经分发了不同的文档,活动本身也跨越了不同地区跨行业,但是文档尝试检索辅助有效负载的URL在附件或收件人之间并没有变化。
攻击者使用名为Empire的PowerShell后期开发工具包。Empire通过访问的网络分配有效载荷。Empire也允许窃取网络中其他计算机的凭据,然后在其上安装Ryuk Ransomware。
结论
FireEye,CrowdStrike,McAfee进行的调查似乎排除了Ryuk与朝鲜有关这一可能,专家认为勒索软件背后的威胁演员来自俄罗斯。根据McAfee的说法,最初将攻击者归属于朝鲜可能是错误的,因为只有Ryuk和Hermes之间的代码具有相似性。专家们指出,2017年8月,一名讲俄语卖家正在利用Exploit.in在线销售Hermes勒索软件。很可能是Lazarus集团购买了勒索软件,并在其运营中使用它,让人们产生了误解。
