Na základe súborov nahratých do skenovacej služby VirusTotal bol útok ransomware na mesto New Orleans pravdepodobne vykonaný aktérmi hrozby spoločnosti Ryuk Ransomware.
14. decembra 2019, jeden deň po útoku ransomware mesta New Orleans, boli z adresy IP z USA do skenovacej služby VirusTotal nahraté tie, ktoré sa javia ako výpisy podozrivých spustiteľných súborov z pamäte.
Jeden z týchto výpisov pamäte, ktorý obsahoval početné odkazy na New Orleans a Ryuk, neskôr objavil Colin Cowie spoločnosti Red Flare Security a zdieľané s BleepingComputer.com.
Pretože výpisy z pamäte sú snímkou pamäte používanej aplikáciou, keď je spustená, možno ju použiť na extrahovanie užitočných reťazcov, názvov súborov, príkazov a ďalších informácií, s ktorými spustiteľný súbor interagoval alebo bol vykonaný. To umožňuje, aby sa výpisy pamäte použili počas forenzných vyšetrení pri kybernetickom útoku, aby sa dozvedeli viac o tom, ako sa útok uskutočnil.
Výpis z pamäte nájdený spoločnosťou Cowie je pre spustiteľný súbor s názvom „yoletby.exe 'a obsahuje početné odkazy na mesto New Orleans vrátane názvov domén, radičov domén, interných IP adries, užívateľských mien, zdieľaní súborov a odkazov na ransomware spoločnosti Ryuk.
Reťazce Ryuk ransomware zahrnuté v výpise boli značka súboru HERMES, názvy súborov končiace príponou .ryk a odkazy na vytvorené poznámky k výkupnému RyukReadMe.html.
Po ďalšom preskúmaní súboru našiel BleepingComputer zaujímavý odkaz na spustiteľný súbor C: Temp v2.exe, ktorý bol spustený na počítači. Ukazuje sa, že aj výpis pamäte pre tento súbor bol nahrané na VirusTotal,
reťazce v2.exeZvláštny záujem o výpis pamäte v2.exe je reťazec, ktorý odkazuje na New Orleans City Hall.
Po ďalšom kopaní okolo dokázal BleepingComputer nájsť a spustiteľný súbor v2.exeA po jeho vykonaní sa podarilo potvrdiť, že sa jedná o ransomware spoločnosti Ryuk.
Súbory šifrované spoločnosťou Ryuk po vykonaní v2.exeAj keď nie je známe, či je tento spustiteľný súbor ten, ktorý sa používa v útoku na mesto New Orleans, ukazuje, že tento názov súboru sa používa pri útokoch na Ryuk a výpisy z pamäte ukazujú, že na útok proti mestu bol použitý súbor s týmto menom. New Orleans.
Ak bolo mesto New Orleans skutočne šifrované spoločnosťou Ryuk, čo sa podľa dôkazov zdá byť pravdepodobné, potom je to len ďalšia obeť spoločnosti Ryuk, ktorá nedávno zaznamenala zvýšenú aktivitu.
BleepingComputer sa spojil s mestom New Orleans s cieľom potvrdiť, že boli infikovaní Ryukom, ale zatiaľ sa nepočuli.
Pravdepodobne sú prítomné aj Emotet a Trickbot
Ak spoločnosť Newukeans šifrovala spoločnosť Ryuk, existuje tiež vysoká pravdepodobnosť, že v sieti budú prítomné aj infekcie Emotet a TrickBot.
Emotet je infekcia škodlivým softvérom, ktorá sa bežne šíri prostredníctvom spamových e-mailov, ktoré obsahujú škodlivé prílohy. Po otvorení a povolení makier sa v týchto prílohách nainštaluje trojan Emotet do počítača obete.
Emotet potom použije tento infikovaný počítač na spamovanie iných počítačov škodlivými prílohami a tiež na stiahnutie ďalšieho škodlivého softvéru do počítača.
Jedným z najbežnejších škodlivých kódov nainštalovaných programom Emotet je trójsky kôň, ktorý ukradol informácie TrickBot.
Po spustení sa TrickBot pripojí späť k príkazovému a riadiacemu serveru, kde dostane príkazy na načítanie rôznych modulov, ktoré odcudzia informácie z počítača alebo nainštalujú ešte ďalší malware.
Keď herci TrickBot zhromaždia všetky cenné informácie a údaje z počítača, potom otvoria spätnú schránku späť k hercom Ryuk.
Odtiaľ bude tím Ryuk vykonávať prieskum siete, zhromažďovať heslá správcu, prevziať radiče domén a využívať nástroje na následné využitie, ako je napríklad PowerShell Empire.
Z tohto dôvodu si všetci správcovia siete musia uvedomiť, že ak sú šifrovaní spoločnosťou Ryuk, vo svojej sieti obyčajne existuje prítomnosť malvéru a iné údaje mohli byť ukradnuté alebo ohrozené.
Čo to znamená pre mesto New Orleans?
To znamená, že okrem infekcie Ryuk Ransomware sa musia tiež vysporiadať so skutočnosťou, že útočníci nejaký čas púšťajú okolo svojich údajov.
Mesto bude musieť usilovnejšie bojovať proti cieleným phishingovým útokom, sprísniť zabezpečenie svojej siete a zmeniť heslá.
Keďže nie je známe, aké finančné informácie mohli útočníci získať, mesto New Orleans by malo kontaktovať svojich bankových partnerov a zaviesť nové postupy týkajúce sa spôsobu prevodu peňazí.
Aktualizácia 15. 12. 19: Aktualizovaný článok obsahuje informácie o tom, ako sa Emotet a Trickbot zvyčajne vyskytujú pri infekciách Ryuk. Vďaka @ vagab0ndsec a @ QW5kcmV3,
