FBI,DHS警告医院网络攻击,因为Ryuk勒索软件从休眠状态中唤醒

联邦官员警告说,该恶意软件上个月袭击了250多家全民健康服务医院,并有望再次遭受攻击。

zefart / iStock / Getty通过Getty Images

首次发布于

当冠状病毒开始全球传播时,Ryuk勒索软件就不受欢迎了。它的沉默暗示了它的到期或以Conti勒索软件的形式重新命名。

的确,Ryuk在4月至8月之间处于休眠状态。

在与FBI,国土安全部和HHS的电话中,这些机构警告医疗保健行业可能存在勒索软件攻击。 “ CISA,FBI和HHS拥有可信的信息,表明对美国医院和医疗保健提供者的网络犯罪威胁日益增加和迫在眉睫,” 警报说.

Hold Security首席执行官Alex Holden对网络安全记者说,Ryuk勒索软件的预期攻击可能会覆盖多达400家医院 布莱恩·克雷布斯.

曼迪安特的FLARE高级实践团队的高级威胁分析师亚伦·斯蒂芬斯(Aaron Stephens)在周三的SANS研究所网络广播中发表讲话时说:“也许琉克(Ryuk)的时代已经过去了。

Mandiant发现威胁组UNC1878是Ryuk入侵的五分之一。斯蒂芬斯说:“这是我们的怪物所在。”网络安全公司 发布了关于UNC1878的研究 医院袭击的消息传出后,指标周三出现。

Mandiant研究人员创造了“ UNC”(未分类的简写),作为他们研究过程的一部分,他们需要“ UNC”来帮助组织独特的恶意活动。

Mandiant FLARE Advanced Practices的高级威胁分析师Van Ta说:“从根本上讲,UNC是标签,您可以在其中添加指标和技术。然后,此标签化的存储桶将充当我们所看到的相关活动的技术锚。”团队,在网络广播上发言。 “我们没有将证据袋标记为'The Overlook Hotel',而是将其标记为UNC1878。” 


“我们开始看到琉球回报惨重。它还没有死。那是不死的。”

亚伦·斯蒂芬斯(Aaron Stephens)

Mandiant FLARE高级实践团队的高级威胁分析师


当识别出足够多的UNC时,研究人员可以在横截面上重叠,或者查看UNC在何处分级为不同的类别或威胁组。 Ta说,UNC1878是在1月份创建的,在两个月内,Mandiant继承了UNC1878的“制定年”,在那里制定了战略。

斯蒂芬斯说:“在九月份,“我们开始看到琉球的惨重回报。它还没有死。那是不死的。”

相信Ryuk背后的演员在2018年2月至2019年10月之间筹集了超过6100万美元, 根据联邦调查局,使其成为最有利可图的菌株之一。退休似乎不太可能。

根据SonicWall Capture Labs的研究,与Ryuk有关的事件从2019年第三季度的5123起增加到2020年第三季度的6730万起。该公司依靠超过100万个全球传感器来收集截至9月的网络攻击数据。

据报道,琉球瞄准了主要卫生系统 全民健康服务 九月与法国IT服务公司 Sopra Steria 本月初。上周,家具制造商 Steelcase披露了网络攻击 美国证券交易委员会(SEC)备案中有关其IT系统的信息。 消息人士告诉Bleeping Computer Ryuk是这次袭击的幕后黑手。

Steelcase“实施了一系列遏制措施来解决这种情况”,包括系统和操作关闭,以减轻攻击。 Steelcase说:“尽管网络攻击可能是无法预测的,但该公司目前预计该事件不会对其业务运营或财务业绩产生重大影响。”

UNC1878的Ryuk游戏计划

UNC1878传统上依靠Trickbot提供初始访问和可见性,并且对每一次入侵都使用了Cobalt Strike。 UNC1878使用Mimikatz,LaZagne和Kerbrute获得凭据。

Ta说:“使用合法的证书,UNC1878通过连接到网络共享以及通过RDP和SSH直接连接到系统来扩展了他们的访问权限。”

这个月, 微软被授予许可 禁用Trickbot的关键基础架构。中断发生一周后,微软声称已消除“ Trickbot的关键运营基础架构的94%,包括我们行动开始时正在使用的命令和控制服务器,以及Trickbot尝试使新的基础架构联机”。

但是,微软承认Trickbot的成熟和迫在眉睫的威胁,他说:“这是一项具有挑战性的工作,成功并不总是一条直线。”

Ryuk通常使用Emotet进行网络钓鱼或RDP攻击,但是 Sophos研究了9月的Ryuk袭击 在Emotet和Trickbot之外展示了一种不同的策略。根据Sophos的报告,“它标志着Ryuk的回归做了一些小的修改”和下一代攻击工具。

SonicWall首席执行官Bill Conner说:“人们认为勒索软件和恶意软件混合物只是重新流行。但是,如果您看一下Ryuk,他们就将其用作恶意软件混合物,而不仅仅是改变成分。”

在9月Sophos进行的攻击调查中,网络钓鱼电子邮件中的恶意文档被执行 布尔装载机,一种模块化的恶意软件即服务下载程序,以获取访问权限。

时间到琉克

Sophos调查了9月的Ryuk事件,发现有人打开了网络钓鱼电子邮件后,发现了从感染到部署的快速时间。花了3 1/2个小时。 Sophos表示,尽管每次安装尝试都失败了,但Ryuk的运营商还是坚持不懈,“包括重新进行钓鱼攻击以重新建立立足点”。

Conner说,Ryuk背后的运营商“确实在重新创建这些恶意软件鸡尾酒和捆绑软件,使它们更具杀伤力”,这提高了它们的速度和可扩展性。

UNC1878的“ Ryuk时间”(即侵入执行时间)平均大约需要5天17小时。根据2019年的数据,它显然比其他勒索软件的“驻留时间”快大约72天12个小时。斯蒂芬斯说,UNC1878可以“在相同的时间内勒索13个环境。”

当UNC1878准备部署Ryuk时,它将zip文件拖放到PerfLogs目录中。 Ta说:“然后,他们将解压缩到他们创建的名为“ 分享 $”的目录中。勒索软件二进制文件和补丁文件与文本文件结合在一起,用于恶意软件的传播。有三个“ .bat”脚本用于迭代计算机名称以执行琉克

年初,UNC1878使用了Trickbot,Cobalt Strike和Ryuk。但是Ryuk的归还并不一定意味着UNC1878也归还了。

斯蒂芬斯说:“新一波的Ryuk入侵已经基本上用Kegtap取代了Trickbot,Kegtap是一个相似但截然不同的恶意软件家族。” 凯格塔普 根据Mandiant的说法,这是不断变化的“投放策略,技巧和程序”针对目标的广告系列之一。诸如Kegtap之类的活动已从通过Sendgrid交付转变为让URL托管恶意软件有效载荷“与这些合法服务中的一项或多项相关联”。

甚至Cobalt Strike的使用都与以前不同,尤其是在TLS证书中。

Mandiant注意到证书的差异,域模式的细微差别以及活动的普遍重叠。 [R研究人员确定,新近开发的UNC2352是UNC1878的后继产品。 斯蒂芬斯说:“如果这两个小组确实应该相同,那么数据将告诉我们,在这种情况下,事实确实如此。”

跟随 推特

提起下: 卫生IT 医院管理