Ryuk, chủng ransomware (mã độc tống tiền) khét tiếng đã và đang hoành hành trên toàn thế giới thời gian qua, vừa tiếp tục về số tiền bất chính lên tới 34 triệu USD từ một nạn nhân để đổi lấy chìa key giải mã dữ liệu - một trong những mức tiền chuộc cao kỷ lục trong lịch sử hình thành của mã độc tống tiền trên toàn cầu.
Phương thức kiếm tiền bẩn đáng sợ
Trickbot, một trong những mạng botnet lớn nhất thế giới, chính là tác nhân tạo điều kiện cho phần mềm độc hại mã hóa tệp Ryuk xâm nhập vào mạng hệ thống mạng mục tiêu có giá trị cao (thường là các tổ chức, doanh nghiệp đa quốc gia quy mô lớn) và từ đó thu về số tiền khổng lồ qua các khoản thanh toán tiền chuộc dữ liệu.
Theo tiết lộ từ chuyên gia bảo mật Vitali Kremez của Advanced Intelligence, những nạn nhân gần đây của Ryuk bao gồm hàng loạt các công ty trong hoạt động trong lĩnh vực công nghệ, chăm sóc sức khỏe, năng lượng, dịch vụ tài chính và chính phủ. Cá biệt, các tổ chức trong lĩnh vực chăm sóc sức khỏe và dịch vụ xã hội chiếm hơn 13% trong tổng số nạn nhân bị mã độc này tấn công.
Một báo cáo khác từ Check Point cho thấy chỉ tính riêng trong quý 3 năm 2020, những kẻ đứng đứng sau vận hành Ryuk đã thực hiện trung bình 20 cuộc tấn công mỗi tuần, nhắm mục tiêu tới 20 công ty khác nhau trên toàn thế giới. Trong đó, khoản thanh toán tiền chuộc trung bình mà chủng ransomware này thu về là 48 bitcoin (gần 750.000 USD), và những kẻ vận hành mã độc đã bỏ túi được ít nhất 150 triệu USD tiền bất chính kể từ khi Ryuk được biết đến rộng rãi vào năm 2018.
Những kẻ điều hành mã độc tống tiền được mô tả là “có tay nghề cao” , cực kỳ cứng rắn trong các cuộc đàm phán và hiếm khi cho thấy bất kỳ sự khoan nhượng. Khoản thanh toán lớn nhất mà nhóm tin tặc này thu được từ một nạn nhân duy nhất là 2.200 bitcoin, tương đương gần 34 triệu USD theo tỉ giá hiện tại.
Chuỗi tấn công 15 bước
Sau khi phân tích luồng tấn công của mã độc, Kremez lưu ý rằng nhóm Ryuk chỉ cần thực hiện không quá 15 bước kỹ thuật cần thiết để tìm thấy các máy chủ có sẵn trên mạng, đánh cắp thông tin đăng nhập cấp quản trị viên và triển khai ransomware. Với các công cụ cần thiết được sử dụng bao gồm:
- Mimikatz - công cụ khai thác sau để kết xuất thông tin xác thực khỏi bộ nhớ
- PowerShell PowerSploit - tập hợp các tập lệnh PowerShell được sử dụng để khai thác hậu kỳ
- LaZagne - tương tự như Mimikatz, được sử dụng để thu thập mật khẩu từ phần mềm được lưu trữ cục bộ
- AdFind - công cụ truy vấn Active Directory
- Bloodhound - công cụ sau khai thác để liệt kê và mô tả miền Active Directory, hoàn chỉnh với thông tin thiết bị, hỏa động đăng nhập của người dùng, cũng như tài nguyên và quyền
- PsExec - cho phép thực thi các quy trình cần thiết trên những hệ thống từ xa
Chuỗi tấn công bắt đầu bằng cách thực thi tập lệnh "DACheck.ps1" để kiểm tra xem người dùng hiện tại có thuộc nhóm Quản trị viên miền (Domain Admin) hay không.
Từ đó, mật khẩu được truy xuất qua Mimikatz, mạng được ánh xạ và các máy chủ được xác định sau khi quét các giao thức FTP, SSH, SMB, RDP và VNC. Quy trình tấn công đầy đủ được mô tả như sau:
- Kiểm tra quản trị viên miền thông qua tập lệnh "Invoke-DACheck"
- Thu thập mật khẩu máy chủ qua Mimikatz "mimikatz's sekurlsa :: logonpasswords"
- Hoàn nguyên mã thông báo và tạo mã thông báo cho nhận xét quản trị từ đầu ra lệnh Mimikatz
- Xem lại mạng của máy chủ qua "net view"
- Port-scan các giao thức FTP, SSH, SMB, RDP, VNC
- Liệt kê quyền truy cập trên các máy chủ có sẵn
- Upload bộ công cụ tìm thư mục hoạt động "AdFind" với tập lệnh "adf.bat" từ "net view" và các máy chủ được quét qua cổng
- Hiển thị tên phần mềm antivirus trên máy chủ thông qua lệnh "WMIC"
- Tải lên công cụ khôi phục mật khẩu đa năng "LaZagne" để quét máy chủ
- Xóa công cụ khôi phục mật khẩu
- Chạy ADFind và lưu kết quả đầu ra
- Xóa các công cụ AdFind và tải xuống kết quả đầu ra
- Cấp quyền truy cập mạng chia sẻ đầy đủ cho mã độc Ryuk
- Upload phần mềm thực thi từ xa "PSExec" và gỡ cài đặt công cụ antivirus trên hệ thống
- Upload các tập lệnh thực thi và máy chủ mạng đã được phân tích cú pháp. Sau đó chạy phần mềm tống tiền Ryuk qua PsExec.
May thay trong thời gian gần đây, các nỗ lực lừa đảo với phần mềm độc hại Ryuk đã trở nên kém hiệu quả hơn do sự nâng cao cảnh giác và những biện pháp bảo mật cần thiết được áp dụng phổ biến trong cộng đồng doanh nghiệp.