Como proteger sua rede de um ataque de ransomware Ryuk

A Universal Health Services (UHS), uma empresa da Fortune 500 e prestadora de serviços de saúde, supostamente desligou sistemas em instalações nos Estados Unidos depois que o ransomware Ryuk atingiu sua rede em 27 de setembro, de acordo com um artigo no site Health IT Security.

O que é Ryuk ransomware?

Ryuk é uma ameaça de ransomware sofisticada que visa empresas, hospitais e instituições governamentais em todo o mundo. Ao contrário do ransomware comum que visa todo tipo de vítima, o Ryuk é normalmente usado para ataques personalizados. Os invasores usam técnicas manuais de hacking e ferramentas de código aberto para se mover lateralmente por uma rede privada e obter acesso administrativo. Ryuk é uma versão modificada do ransomware Hermes.

Tanto Hermes quanto Ryuk são conhecidos por identificar e criptografar dispositivos de rede e excluir cópias de sombra armazenadas em endpoints. O resgate exigido pelos invasores geralmente será exorbitante, pois o número de processos manuais para iniciar esse ataque é alto. Esses processos manuais incluem amplo mapeamento de rede, coleta de credenciais e exploração direta, que ocorrem antes de cada operação.

Como o ransomware Ryuk penetra nas redes?

Os diferentes estágios do ataque de ransomware Ryuk são:

  • Intrusão.
  • Movimento lateral.
  • Exfiltração de dados ou impacto do ataque.

Existem várias maneiras de iniciar um ataque, como e-mails phishing, visitas a sites não seguros ou clicando em pop-ups aleatórios. Ryuk quase sempre é distribuído por bots, como TrickBot ou Emotet, que fornecem acesso direto à rede da vítima.

Nem todas as infecções por TrickBot levam a um ataque de ransomware Ryuk. Mas, quando o fizerem, o ataque será letal. Normalmente, a implantação do Ryuk ocorre semanas após o bot aparecer pela primeira vez na rede. Essa lacuna permite que o bot roube informações confidenciais, tornando a organização vulnerável mesmo antes do ataque real. O invasor então usa os dados coletados pelo bot para identificar a rede potencial na qual o Ryuk pode ser implantado. Isso completa o ciclo de intrusão.

Uma vez dentro da rede, o invasor inicia atividades manuais de hacking, como reconhecimento de rede e movimento lateral, que ajudam a comprometer os controladores de domínio e dá a eles acesso ao maior número possível de sistemas.

O exercício de criptografia

Depois que os invasores encontram um sistema adequado, dois arquivos são carregados em uma subpasta dentro do diretório. O invasor então carrega dois arquivos dentro do diretório. Os dois arquivos são:

PÚBLICO: Chave Pública RSA

O processo de criptografia começa neste estágio.

O invasor varre os sistemas de arquivos, conectando unidades para iniciar a criptografia usando WNetOpenEnum e WNetEnumResource. Cada vez que um arquivo é criptografado, a chave de criptografia é destruída. Depois que um arquivo é criptografado, a extensão .ryk é anexada. Alguns arquivos podem não ter nenhuma extensão.

Ryuk é capaz de criptografar arquivos, exceto aqueles com extensões .dll, .lnk, .hrmlog, .ini e .exe. Os arquivos armazenados nos diretórios Windows System32, Chrome, Mozilla, Internet Explorer e Lixeira também são excluídos. Isso provavelmente permite que a vítima use um navegador para pagar o resgate.

Ryuk usa técnicas de criptografia fortes. Isso garante que os arquivos não serão recuperados facilmente. Os arquivos são normalmente criptografados usando AES-256 e as chaves dos arquivos são armazenadas em um arquivo com a extensão .ryk. As chaves AES são então criptografadas com um par de chaves públicas privadas RSA-4096, são controladas inteiramente pelo invasor.

Ryuk é considerado um ataque maligno, pois envolve a criptografia de várias chaves com outras chaves, e todo o processo é feito sob medida para vítimas específicas. Isso significa que, mesmo que a chave privada de uma vítima seja publicada, isso não ajudará a descriptografar os arquivos pertencentes a outra vítima.

O que torna o Ryuk letal?

Até agora, nenhuma ferramenta de código aberto foi capaz de descriptografar os arquivos Ryuk. Além disso, a chave do descriptografador fornecida pelo invasor, mesmo depois que o resgate foi pago, às vezes corrompe os arquivos. E, mesmo após o processo de recuperação, o invasor ainda pode corromper arquivos essenciais necessários para as operações do sistema. Como qualquer outro programa de ransomware, o Ryuk tenta acessar e excluir cópias de sombra de dados armazenados no sistema para evitar a recuperação por meios alternativos. Ele também contém um script kill.bat que desativa serviços importantes, como backups de rede e antivírus do Windows Defender.

Como mitigar o impacto do ataque

Para se defender com sucesso contra ataques operados por humanos, é essencial seguir algumas das melhores práticas básicas. Infelizmente, algumas organizações às vezes desabilitam temporariamente seus antivírus ou outros controles de segurança para melhorar o desempenho do sistema. No entanto, mesmo a desativação dos sistemas de segurança por um curto período de tempo apresenta aos hackers a oportunidade de entrar e interromper a rede. Nesses casos, os invasores podem aproveitar o malware previamente detectado pelo antivírus para realizar um novo ataque.

Alguns dos outros pontos fracos comumente explorados em uma rede são:

  • Falta de firewall ou proteção de autenticação multifator (MFA).
  • Ter credenciais de domínio fracas.
  • Desativando o sistema de prevenção de intrusão.
  • Acessando sites não seguros.

 Algumas práticas recomendadas que podem ajudar a mitigar o risco de um ataque são:

  1. Corrigir e atualizar aplicativos e programas regularmente. Isso garante que os pontos de entrada para possíveis ataques de ransomware sejam bloqueados.
  2. Certifique-se de que os firewalls e a prevenção de intrusões estejam ativados em sua rede.
  3. Exigir credenciais fortes para o domínio.
  4. Implante uma solução abrangente que pode monitorar sua rede e gerar alertas.

Como o Log360 pode ajudar?

O Log360 da ManageEngine, uma solução abrangente de gerenciamento de eventos e informações de segurança (SIEM), ajuda a monitorar sua rede e infraestrutura de TI e fornece alertas em tempo real e relatórios prontos para uso.

Log360 ajuda você a:

  • Proteger suas plataformas locais, híbridas e em nuvem.
  • Impedir ataques de segurança e proteger dados confidenciais de violações.
  • Obter percepções mais detalhadas sobre a atividade de rede por meio de auditoria aprofundada de dispositivos de rede.
  • Automatizar o processo de gerenciamento de log, incluindo logs da infraestrutura de nuvem pública.
  • Atender aos requisitos de conformidade com facilidade.
  • Implementar rapidamente ações pós-violação por meio de amplos recursos de análise forense.

e muito mais .

O Log360 também fornece informações sobre eventos como acesso a aplicativos, alterações de configuração, logon de firewall, alterações de registro e assim por diante.

O componente de gerenciamento de log do Log360, EventLog Analyzer, monitora a rede e detecta ameaças em potencial. A solução fornece alertas em tempo real e gera relatórios abrangentes que ajudam o administrador a tomar medidas para proteger a rede.

Para experimentar todos esses recursos e muito mais, comece sua avaliação gratuita de 30 dias do Log360 da ManageEngine, contando sempre com o apoio da equipe ACSoftware.

ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.

PodCafé da TI – Podcast, Tecnologia e Cafeína.

SpotifyApple PodcastsGoogle PodcastsDeezerYouTube

Deixe um comentário

Blog ACSoftware - ManageEngine