RYUK ランサムウェア

ransomware-3998798_1920

はじめに

Ryukと言うランサムウェアは、2018年にRyuk ドロッパーが添付されたスパムメールによって配布されたのが最初の出現です。ドロッパーはその後、TrickbotもしくはEmotetをダウンロードし、ランサムウェアもダウンロードします。
Ryukランサムウェアが関わる攻撃は、頻繁で、多くの国の中規模から大規模な組織を標的にしていると記録されています。
Ryukランサムウェアのアクティブな変異型の復号プログラムはなく、身代金要求額はビットコインで平均10万ドル、ランサムウェアのノートの中のEメールアドレス経由で支払うことができます。

手口

1. 初期アクセス

脅威アクターはフィッシングメールをMicrosoft Officeのワード文書ファイルとともに送付し、そこに悪意あるマクロスクリプトが含まれています。添付が開かれるとすぐに、マクロがPowerShellコードの実行をし、Emotetをダウンロードします。Emotetは次に、Trickbotをダウンロードしますが、このTrickbotは脅威アクターがMimikatzやCobalt Strikeなど、クレデンシャルを収集し、セキュリティ対策を無効化し、情報を採取するその他のツールをインストールすることを可能にし、水平移動や権限昇格を狙います。

2. インストール

最終的に、脅威アクターは、たとえばドメインコントローラやアクティブディレクトリなどの攻撃目標のサーバにリモートデスクトッププロトコル経由で接続を確立し、Ryukをそうしたサーバにダウンロードします。それが実行されると、Ryukはあらかじめ定義されているサービスやプロセスの名前のリストから、ウィルス対策、データベース、バックアップ、ドキュメント編集ソフトウェアに関連するプロセスやサービスを「taskkill」や「 net stop」を実行することで、終了、止めます。
次にRyukは、Runレジストリキーに自ら書き込むことで、感染したマシンの再起動後に実行できることを確認し、次にOpenProcessやVirtualAllocEx関数を使ってプロセスの中に入り込めるよう権限昇格を試みます。そして3つのダミーファイルを書こうとします。テストファイルと、RSAパブリックキーが含まれた「PUBLIC」と独自にハードコードを行ったキーを含む「UNIQUE_ID_DO_NOT_REMOVE」です。

3. 暗号化

Ryukは暗号化に3種類のキーが使われる3層のトラストモデルを使用しています。全体的に使用するグローバルRSAキーペア、被害者ごとのRSAキーペア、被害者のファイルごとに生成される AES対称暗号化キーです。CryptGenKey関数を使って1つのファイルが暗号化されると、暗号化されたファイルに暗号キーを添付する前に、AES対称暗号化キーは被害者ごとに異なる一意のRSAキーペアを使ってを暗号化されます。暗号化が完了すると、Ryukは暗号化に使用したキーは削除し、.BATファイルを実行することでシャドウコピーの削除を行います。

コマンド&コントロール

感染したマシンからEmotetとTrickbot が収集した情報、たとえばEメールやクレデンシャルは、攻撃中にC&Cサーバに送られます。