Công Nghệ

Ryuk: Chủng mã độc thu lợi bất chính cao ‘khó tin’, có trường hợp lên tới 34 triệu USD

Ryuk, dòng ransomware khét tiếng vẫy vùng khắp toàn cầu vừa qua, vừa nhận số tiền bất lương lên đến 34 triệu đô la từ 1 nạn nhân để đổi lấy chìa khóa giải mã dữ liệu, 1 trong những mức tiền chuộc cao nhất toàn cầu. toàn cầu. lịch sử của ransomware trên toàn toàn cầu.

Phương pháp đáng sợ để kiếm tiền bẩn

Trickbot, 1 trong những mạng botnet to nhất trên toàn cầu, là tác nhân giúp cho ứng dụng độc hại mã hóa tệp Ryuk thâm nhập vào các mạng chỉ tiêu có trị giá cao (thường là các tổ chức, công ty đa đất nước quy mô to, v.v.) và do đấy thu được 1 lượng to dữ liệu đòi tiền chuộc . Thanh toán

Như chuyên gia bảo mật Vitali Kremez của Advanced Intelligence đã mách nhỏ, những nạn nhân vừa qua của Ryuk bao gồm 1 loạt các doanh nghiệp hoạt động trong lĩnh vực công nghệ, sức khỏe, năng lượng, dịch vụ vốn đầu tư và chính phủ. Chi tiết, các tổ chức trong lĩnh vực y tế và dịch vụ xã hội chiếm hơn 13% tổng số nạn nhân bị mã độc này tấn công.

1 báo cáo khác của Check Point cho thấy chỉ trong quý 3 5 2020, những kẻ xếp sau hoạt động Ryuk đã tiến hành trung bình 20 cuộc tấn công mỗi tuần, nhắm vào 20 doanh nghiệp không giống nhau trên toàn cầu. Trong đấy, khoản tiền chuộc trung bình được tính bởi dòng ransomware này là 48 bitcoin (gần 750.000 đô la) và những kẻ quản lý mã độc này đã bỏ túi chí ít 150 triệu đô la tiền bất lương tính từ lúc lúc Ryuk được biết là bị tấn công phổ quát vào 5 2018. .

Những kẻ quản lý ransomware được miêu tả là “có tay nghề cao”, hết sức rắn rỏi trong các cuộc thương lượng và thi thoảng trình bày bất cứ sự khoan hồng nào. Khoản trả tiền to nhất nhưng mà nhóm tin tặc này tiến hành từ 1 nạn nhân là 2.200 bitcoin, tương đương gần 34 triệu đô la theo tỷ giá hối đoái hiện nay.

Phần mềm độc hại Ryuk

Chuỗi tấn công 15 bước

Sau lúc phân tách luồng tấn công của ứng dụng độc hại, Kremez xem xét rằng nhóm Ryuk chỉ cần tiến hành ko quá 15 bước kỹ thuật nhu yếu để tìm các máy chủ có sẵn trên mạng, đánh cắp thông tin đăng nhập cấp quản trị viên và khai triển ransomware. Với các phương tiện nhu yếu được sử dụng bao gồm:

  • Mimikatz – người khai thác tiếp theo đưa thông tin đăng nhập ra khỏi bộ nhớ
  • PowerShell PowerSploit – tập trung các tập lệnh PowerShell được sử dụng để khai thác sau
  • lazagne – gần giống như Mimikatz, được sử dụng để tích lũy mật khẩu cho ứng dụng được lưu trữ cục bộ
  • AdFind – Dụng cụ truy hỏi Active Directory
  • Chó săn – phương tiện sau khai thác để liệt kê và miêu tả các miền Active Directory, hoàn chỉnh với thông tin thiết bị, động lực đăng nhập của người mua, cũng như khoáng sản và quyền
  • PsExec – cho phép tiến hành các thứ tự nhu yếu trên các hệ thống từ xa

Chuỗi tấn công mở màn bằng việc thực thi tập lệnh “DACheck.ps1” để rà soát xem người mua hiện nay có thuộc nhóm quản trị viên miền hay ko.

Từ đấy, mật khẩu được truy xuất qua Mimikatz, mạng được ánh xạ và các máy chủ được xác định sau lúc quét các giao thức FTP, SSH, SMB, RDP và VNC. Quy trình tấn công đầy đủ được miêu tả dưới đây:

  • Kiểm tra quản trị viên miền phê duyệt tập lệnh “Invoke-DACheck”
  • Thu thập mật khẩu máy chủ qua Mimikatz “mimikatz’s sekurlsa :: logonpasswords”
  • Hoàn nguyên mã công bố và tạo mã công bố cho nhận xét của quản trị viên từ Mimikatz.
  • Kiểm tra mạng máy chủ phê duyệt “cơ chế xem mạng”
  • Cổng quét các giao thức FTP, SSH, SMB, RDP, VNC.
  • Liệt kê các quyền truy cập trên các máy chủ có sẵn
  • Tải bộ kiếm tìm folder hoạt động “AdFind” với tập lệnh “cơ chế xem mạng” “adf.bat” và các máy chủ được quét qua cổng
  • Hiển thị tên của ứng dụng chống vi-rút trên máy chủ phê duyệt lệnh “WMIC”
  • Tải phương tiện khôi phục mật khẩu đa năng “LaZagne” để quét máy chủ
  • Xóa phương tiện khôi phục mật khẩu
  • Chạy ADFind và lưu đầu ra
  • Loại bỏ các phương tiện AdFind và tải xuống kết quả.
  • Cấp quyền truy cập san sẻ mạng đầy đủ cho Ryuk .malware
  • Tải ứng dụng thực thi từ xa “PSExec” và gỡ thiết đặt phương tiện chống vi-rút trên hệ thống
  • Tải các tệp thực thi và máy chủ mạng đã phân tách. Sau đấy chạy Ryuk ransomware qua PsExec.

May mắn thay, chỉ cần khoảng vừa qua, các cố gắng ăn lận ứng dụng độc hại Ryuk đã phát triển thành kém hiệu quả hơn do sự cảnh giác được tăng lên và việc vận dụng phổ quát các giải pháp bảo mật nhu yếu trong tập thể công ty. .

Xem thêm thông tin Ryuk: Chủng mã độc thu lợi bất chính cao ‘khó tin’, có trường hợp lên tới 34 triệu USD

Ryuk: Chủng mã độc thu lợi bất lương cao ‘khó tin’, có trường hợp lên đến 34 triệu đô la

Ryuk, chủng ransomware (mã độc tống tiền) khét tiếng đã và đang hoành hành trên toàn toàn cầu thời kì qua, vừa tiếp diễn về số tiền bất lương lên đến 34 triệu đô la từ 1 nạn nhân để đổi lấy chìa key giải mã dữ liệu – 1 trong những mức tiền chuộc cao kỷ lục trong lịch sử tạo nên của mã độc tống tiền trên thế giới.
Phương thức kiếm tiền bẩn đáng sợ
Trickbot, 1 trong những mạng botnet to nhất toàn cầu, chính là tác nhân giúp cho ứng dụng độc hại mã hóa tệp Ryuk thâm nhập vào mạng hệ thống mạng chỉ tiêu có trị giá cao (thường là các tổ chức, công ty đa đất nước quy mô to) và từ đấy thu về số tiền đồ sộ qua các khoản trả tiền tiền chuộc dữ liệu.
Theo mách nhỏ từ chuyên gia bảo mật Vitali Kremez của Advanced Intelligence, những nạn nhân vừa qua của Ryuk bao gồm hàng loạt các doanh nghiệp trong hoạt động trong lĩnh vực công nghệ, sức khỏe, năng lượng, dịch vụ vốn đầu tư và chính phủ. Cá biệt, các tổ chức trong lĩnh vực sức khỏe và dịch vụ xã hội chiếm hơn 13% trong tổng số nạn nhân bị mã độc này tấn công.
1 báo cáo khác từ Check Point cho thấy chỉ tính riêng trong quý 3 5 2020, những kẻ đứng xếp sau vận hành Ryuk đã tiến hành trung bình 20 cuộc tấn công mỗi tuần, nhắm chỉ tiêu đến 20 doanh nghiệp không giống nhau trên toàn toàn cầu. Trong đấy, khoản trả tiền tiền chuộc trung bình nhưng mà chủng ransomware này thu về là 48 bitcoin (gần 750.000 đô la), và những kẻ vận hành mã độc đã bỏ túi được chí ít 150 triệu đô la tiền bất lương tính từ lúc lúc Ryuk được biết tới phổ quát vào 5 2018.
Những kẻ quản lý mã độc tống tiền được miêu tả là “có tay nghề cao” , hết sức rắn rỏi trong các cuộc thương lượng và thi thoảng cho thấy bất cứ sự nhân nhượng. Khoản trả tiền to nhất nhưng mà nhóm tin tặc này nhận được từ 1 nạn nhân độc nhất là 2.200 bitcoin, tương đương gần 34 triệu đô la theo tỉ giá hiện nay.

Chuỗi tấn công 15 bước
Sau lúc phân tách luồng tấn công của mã độc, Kremez xem xét rằng nhóm Ryuk chỉ cần tiến hành ko quá 15 bước kỹ thuật nhu yếu để tìm thấy các máy chủ có sẵn trên mạng, đánh cắp thông tin đăng nhập cấp quản trị viên và khai triển ransomware. Với các phương tiện nhu yếu được sử dụng bao gồm:
Mimikatz – phương tiện khai thác sau để kết xuất thông tin chính xác khỏi bộ nhớ
PowerShell PowerSploit – tập trung các tập lệnh PowerShell được sử dụng để khai thác hậu kỳ
LaZagne – gần giống như Mimikatz, được sử dụng để tích lũy mật khẩu từ ứng dụng được lưu trữ cục bộ
AdFind – phương tiện truy hỏi Active Directory
Bloodhound – phương tiện sau khai thác để liệt kê và miêu tả miền Active Directory, hoàn chỉnh với thông tin thiết bị, hỏa động đăng nhập của người mua, cũng như khoáng sản và quyền
PsExec – cho phép thực thi các thứ tự nhu yếu trên những hệ thống từ xa
Chuỗi tấn công mở màn bằng cách thực thi tập lệnh “DACheck.ps1” để rà soát xem người mua hiện nay có thuộc nhóm Quản trị viên miền (Domain Admin) hay ko.
Từ đấy, mật khẩu được truy xuất qua Mimikatz, mạng được ánh xạ và các máy chủ được xác định sau lúc quét các giao thức FTP, SSH, SMB, RDP và VNC. Quy trình tấn công đầy đủ được miêu tả như sau:
Kiểm tra quản trị viên miền phê duyệt tập lệnh “Invoke-DACheck”
Thu thập mật khẩu máy chủ qua Mimikatz “mimikatz’s sekurlsa :: logonpasswords”
Hoàn nguyên mã công bố và tạo mã công bố cho nhận xét quản trị từ đầu ra lệnh Mimikatz
Xem lại mạng của máy chủ qua “net view”
Port-scan các giao thức FTP, SSH, SMB, RDP, VNC
Liệt kê quyền truy cập trên các máy chủ có sẵn
Upload bộ phương tiện tìm folder hoạt động “AdFind” với tập lệnh “adf.bat” từ “net view” và các máy chủ được quét qua cổng
Hiển thị tên ứng dụng antivirus trên máy chủ phê duyệt lệnh “WMIC”
Tải lên phương tiện khôi phục mật khẩu đa năng “LaZagne” để quét máy chủ
Xóa phương tiện khôi phục mật khẩu
Chạy ADFind và lưu kết quả đầu ra
Xóa các phương tiện AdFind và tải xuống kết quả đầu ra
Cấp quyền truy cập mạng san sẻ đầy đủ cho mã độc Ryuk
Upload ứng dụng thực thi từ xa “PSExec” và gỡ thiết đặt phương tiện antivirus trên hệ thống
Upload các tập lệnh thực thi và máy chủ mạng đã được phân tách cú pháp. Sau đấy chạy ứng dụng tống tiền Ryuk qua PsExec.
May thay chỉ cần khoảng vừa qua, các cố gắng lừa lật với ứng dụng độc hại Ryuk đã phát triển thành kém hiệu quả hơn do sự tăng lên cảnh giác và những giải pháp bảo mật nhu yếu được vận dụng bình thường trong tập thể công ty.

[rule_2_plain] [rule_3_plain]

#Ryuk #Chủng #mã #độc #thu #lợi #bất #chính #cao #khó #tin #có #trường #hợp #lên #đến #triệu #đô la

Ryuk: Chủng mã độc thu lợi bất lương cao ‘khó tin’, có trường hợp lên đến 34 triệu đô la

Ryuk, chủng ransomware (mã độc tống tiền) khét tiếng đã và đang hoành hành trên toàn toàn cầu thời kì qua, vừa tiếp diễn về số tiền bất lương lên đến 34 triệu đô la từ 1 nạn nhân để đổi lấy chìa key giải mã dữ liệu – 1 trong những mức tiền chuộc cao kỷ lục trong lịch sử tạo nên của mã độc tống tiền trên thế giới.
Phương thức kiếm tiền bẩn đáng sợ
Trickbot, 1 trong những mạng botnet to nhất toàn cầu, chính là tác nhân giúp cho ứng dụng độc hại mã hóa tệp Ryuk thâm nhập vào mạng hệ thống mạng chỉ tiêu có trị giá cao (thường là các tổ chức, công ty đa đất nước quy mô to) và từ đấy thu về số tiền đồ sộ qua các khoản trả tiền tiền chuộc dữ liệu.
Theo mách nhỏ từ chuyên gia bảo mật Vitali Kremez của Advanced Intelligence, những nạn nhân vừa qua của Ryuk bao gồm hàng loạt các doanh nghiệp trong hoạt động trong lĩnh vực công nghệ, sức khỏe, năng lượng, dịch vụ vốn đầu tư và chính phủ. Cá biệt, các tổ chức trong lĩnh vực sức khỏe và dịch vụ xã hội chiếm hơn 13% trong tổng số nạn nhân bị mã độc này tấn công.
1 báo cáo khác từ Check Point cho thấy chỉ tính riêng trong quý 3 5 2020, những kẻ đứng xếp sau vận hành Ryuk đã tiến hành trung bình 20 cuộc tấn công mỗi tuần, nhắm chỉ tiêu đến 20 doanh nghiệp không giống nhau trên toàn toàn cầu. Trong đấy, khoản trả tiền tiền chuộc trung bình nhưng mà chủng ransomware này thu về là 48 bitcoin (gần 750.000 đô la), và những kẻ vận hành mã độc đã bỏ túi được chí ít 150 triệu đô la tiền bất lương tính từ lúc lúc Ryuk được biết tới phổ quát vào 5 2018.
Những kẻ quản lý mã độc tống tiền được miêu tả là “có tay nghề cao” , hết sức rắn rỏi trong các cuộc thương lượng và thi thoảng cho thấy bất cứ sự nhân nhượng. Khoản trả tiền to nhất nhưng mà nhóm tin tặc này nhận được từ 1 nạn nhân độc nhất là 2.200 bitcoin, tương đương gần 34 triệu đô la theo tỉ giá hiện nay.

Chuỗi tấn công 15 bước
Sau lúc phân tách luồng tấn công của mã độc, Kremez xem xét rằng nhóm Ryuk chỉ cần tiến hành ko quá 15 bước kỹ thuật nhu yếu để tìm thấy các máy chủ có sẵn trên mạng, đánh cắp thông tin đăng nhập cấp quản trị viên và khai triển ransomware. Với các phương tiện nhu yếu được sử dụng bao gồm:
Mimikatz – phương tiện khai thác sau để kết xuất thông tin chính xác khỏi bộ nhớ
PowerShell PowerSploit – tập trung các tập lệnh PowerShell được sử dụng để khai thác hậu kỳ
LaZagne – gần giống như Mimikatz, được sử dụng để tích lũy mật khẩu từ ứng dụng được lưu trữ cục bộ
AdFind – phương tiện truy hỏi Active Directory
Bloodhound – phương tiện sau khai thác để liệt kê và miêu tả miền Active Directory, hoàn chỉnh với thông tin thiết bị, hỏa động đăng nhập của người mua, cũng như khoáng sản và quyền
PsExec – cho phép thực thi các thứ tự nhu yếu trên những hệ thống từ xa
Chuỗi tấn công mở màn bằng cách thực thi tập lệnh “DACheck.ps1” để rà soát xem người mua hiện nay có thuộc nhóm Quản trị viên miền (Domain Admin) hay ko.
Từ đấy, mật khẩu được truy xuất qua Mimikatz, mạng được ánh xạ và các máy chủ được xác định sau lúc quét các giao thức FTP, SSH, SMB, RDP và VNC. Quy trình tấn công đầy đủ được miêu tả như sau:
Kiểm tra quản trị viên miền phê duyệt tập lệnh “Invoke-DACheck”
Thu thập mật khẩu máy chủ qua Mimikatz “mimikatz’s sekurlsa :: logonpasswords”
Hoàn nguyên mã công bố và tạo mã công bố cho nhận xét quản trị từ đầu ra lệnh Mimikatz
Xem lại mạng của máy chủ qua “net view”
Port-scan các giao thức FTP, SSH, SMB, RDP, VNC
Liệt kê quyền truy cập trên các máy chủ có sẵn
Upload bộ phương tiện tìm folder hoạt động “AdFind” với tập lệnh “adf.bat” từ “net view” và các máy chủ được quét qua cổng
Hiển thị tên ứng dụng antivirus trên máy chủ phê duyệt lệnh “WMIC”
Tải lên phương tiện khôi phục mật khẩu đa năng “LaZagne” để quét máy chủ
Xóa phương tiện khôi phục mật khẩu
Chạy ADFind và lưu kết quả đầu ra
Xóa các phương tiện AdFind và tải xuống kết quả đầu ra
Cấp quyền truy cập mạng san sẻ đầy đủ cho mã độc Ryuk
Upload ứng dụng thực thi từ xa “PSExec” và gỡ thiết đặt phương tiện antivirus trên hệ thống
Upload các tập lệnh thực thi và máy chủ mạng đã được phân tách cú pháp. Sau đấy chạy ứng dụng tống tiền Ryuk qua PsExec.
May thay chỉ cần khoảng vừa qua, các cố gắng lừa lật với ứng dụng độc hại Ryuk đã phát triển thành kém hiệu quả hơn do sự tăng lên cảnh giác và những giải pháp bảo mật nhu yếu được vận dụng bình thường trong tập thể công ty.

[rule_2_plain] [rule_3_plain]

#Ryuk #Chủng #mã #độc #thu #lợi #bất #chính #cao #khó #tin #có #trường #hợp #lên #đến #triệu #đô la


#Ryuk #Chủng #mã #độc #thu #lợi #bất #chính #cao #khó #tin #có #trường #hợp #lên #đến #triệu #đô la

Vik News

Vik News

Viknews Việt Nam chuyên chia sẻ những kiến thức hữu ích về hôn nhân – gia đình, làm đẹp, kinh nghiệm làm mẹ, chăm sóc dinh dưỡng khi mang thai kỳ, trước sau sinh, son môi , sữa ong chúa, nhà cửa nội thất (cửa gỗ, đèn chùm trang trí, bàn ăn, tủ bếp..)……

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Back to top button