info[at]nsec.ir
(+98)-31-33915336

شراکت باج‌افزار Ryuk با بات‌نت TrickBot برای دسترسی به شبکه‌های آلود

خلاصه: از لحاظ تاریخی، Ryuk به‌عنوان یک باج‌افزار هدفمند شناخته شده است، که یک هدف را در نظر گرفته، از طریق سرویس‌های Remote Desktop یا دیگر روش‌های مستقیم به آن دسترسی پیدا می‌کند، مجوزها را می‌دزدد و سپس سرورها و داده‌های سطح بالا را برای درخواست بیشترین مقدار ممکن باج، مورد هدف قرار می‌دهد. تحقیقات جدید نشان می‌دهد که عوامل پشت Ryuk احتمالا از یک بدافزار دیگر مانند TrickBot برای ورود به یک شبکه استفاده می‌کنند. به عبارتی اپراتورهای TrickBot سرویسشان را به تعداد محدودی از مجرمان سایبری اجاره می‌دهند و آن‌ها از این سرویس برای گرفتن دسترسی به شبکه‌ها استفاده می‌کنند. باج‌افزار Ryuk فایل‌ها را با پسوند .RYK رمز می‌کند.

از لحاظ تاریخی، Ryuk به‌عنوان یک باج‌افزار هدفمند شناخته شده است، که یک هدف را در نظر گرفته، از طریق سرویس‌های Remote Desktop یا دیگر روش‌های مستقیم به آن دسترسی پیدا می‌کند، مجوزها را می‌دزدد و سپس سرورها و داده‌های سطح بالا را برای درخواست بیشترین مقدار ممکن باج، مورد هدف قرار می‌دهد.

Ryuk به‌خاطر تاثیر گسترده‌اش بر روی شبکه‌هایی که آلوده می‌کند، درخواست باج زیاد و گزارشاتی مبنی بر دستیابی به نزدیک به 3.7 میلیون دلار، یک باج‌افزار سطح بالا محسوب می‌شود. اخیرا نیز Ryuk در یک حمله که توزیع روزنامه‌ برای انتشارات بزرگی مانند ژورنال Wall Street، New York Times و Los Angeles Times را تحت تاثیر قرار داده، مورد استفاده قرار گرفته است.

تحقیقات جدید نشان می‌دهد که عوامل پشت Ryuk احتمالا از یک بدافزار دیگر برای ورود به یک شبکه استفاده می‌کنند.

در گزارشات جدید FireEye و CrowdStrike، محققان توضیح داده‌اند که چگونه TrickBot توسط دیگر عوامل برای گرفتن دسترسی به یک شبکه‌ی آلوده استفاده شده است.

هنگامی که این بات‌ها یک کامپیوتر را آلوده می‌کنند، می‌توانند یک شل معکوس برای دیگر عوامل مانند کسانی که پشت Ryuk هستند ایجاد کنند. بنابراین آن‌ها می‌توانند به‌صورت دستی به بقیه‌ی شبکه نفوذ و پیلودهایشان را نصب کنند.

FireEye این نوع از دسترسی را TEMP.MixMaster می‌نامد، آن‌ها معتقدند که اپراتورهای TrickBot سرویسشان را به تعداد محدودی از مجرمان سایبری اجاره می‌دهند و آن‌ها از این سرویس برای گرفتن دسترسی به شبکه‌ها استفاده می‌کنند.

Ryuk تنها باج‌افزاری نیست که سازمان‌ها را هدف قرار می‌دهد. FireEye همچنین بات Dridex را هم درحالی که توسط عوامل پشت BitPaymer استفاده شده است، مشاهده کرده است، این در حالی است که SamSam به هدف قرار دادن مستقیم قربانیان بدون استفاده از دیگر بدافزارها برای گرفتن دسترسی، ادامه می‌دهد.

TrickBot معمولا از طریق کمپین‌های بزرگ اسپم و از طریق ضمیمه‌هایی که بدافزار را بر روی کامپیوتر نصب می‌کنند، توزیع می‌شوند.

این کمپین‌های اسپم وانمود می‌کنند که شرکت‌های قانونی‌ای هستند که ایمیل‌هایی را با موضوع مشاوره‌ی پرداخت، حقوق و دستمزد و غیره ارسال می‌کنند. یکی از این کمپین‌ها که FireEye آن را شناسایی کرده است و به توزیع Ryuk می‌پردازد، وانمود می‌کند که یک برنامه‌ی حقوق و دستمزد است. این کمپین حاوی ضمیمه‌هایی است که زمانی که باز شده و ماکروها فعال می‌شوند، TrickBot را بر روی کامپیوتر قربانی دانلود و نصب می‌کند.

باج‌افزار Ryuk فایل‌ها را با پسوند .RYK رمز می‌کند و یادداشت باجی با نام RyukReadMe.txt را بر روی سیستم قربانی رها می‌کند.

محققان قبلا این باج‌افزار را به کره‌ی شمالی نسبت داده‌اند چراکه شباهت‌هایی بین کد باج‌افزار Hermes و Ryuk وجود دارد و به نظر می‌رسیده که عوامل باج‌افزار Hermes در کره‌ی شمالی هستند. در اکتبر 2017، باج‌افزار Hermes در حمله‌ای به تایوان استفاده شد. این حمله به گروه Lazarus نسبت داده شد، که یک گروه هک است که به نظر می‌رسد خارج از کره‌ی شمالی فعالیت می‌کند.