瞄準大公司“黑”，新型勒索軟體Ryuk已非法獲利400萬美元

【獵雲網（微信號：ilieyun）】1月14日報導 （編譯：一晌貪歡）

自8月份以來，一種新型勒索軟體已非法獲取了近400萬美元，該病毒的攻擊對象極具針對性，在已經感染病毒的網絡中，它隻挑選資金雄厚的公司機構作為目標安裝惡意加密軟體。而以往的病毒軟體通常會感染所有可能的目標，不加以區分。該資訊來自周四發布的兩份分析報告，一份由網絡安全公司CrowdStrike發布，另一份由競爭對手FireEye發布。

兩份報告均稱，大型企業在遭到其它惡意軟體（多數情況下是Trickbot木馬病毒）攻擊後的數天、數周甚至一年後，才會感染Ryuk病毒。但是，感染木馬病毒的小公司則不會受到Ryuk的後續攻擊。CrowdStrike稱此為“大型獵物狩獵”（只針對資金雄厚的大公司機構），而且，從8月份以來，Ryuk的幕後團隊在52筆交易中獲益價值370萬美元的比特幣。

除了精確鎖定目標令其支付巨額贖金，Ryuk的一貫手法還有另一個關鍵好處：“延遲時間”——即最初感染病毒和安裝勒索軟體之間的時間，這段時間讓攻擊者有機會在受感染的網絡內進行有價值的偵察，攻擊者（CrowdStrike稱其為Grim Spider）在識別出網絡中最關鍵的系統並獲得通行密碼後，才會釋放出勒索軟體，從而將造成的損害最大化。

CrowdStrike研究員Alexander Hanel寫道：

TrickBot木馬的部分模塊（例如pwgrab）可以幫助恢復入侵網絡所需的憑證檔案，特別是SOCKS模塊可以為PowerShell Empire建立通道以執行偵察和橫向移動。CrowdStrike觀察到黑客在受害者網絡上執行以下事件，最終實現嵌入Ryuk二進製檔案：

執行PowerShell模糊腳本並連接到遠程IP地址；在受感染的主機上下載並執行反向shell命令；PowerShell防日誌腳本在主機上執行；使用標準Windows命令行工具以及外部上載工具進行網絡偵察；使用遠程桌面協定（RDP）啟用整個網絡的橫向移動；創建服務用戶账戶；下載PowerShell Empire並作為服務安裝；橫向移動，直到獲得對主控制器的訪問特權；PSEXEC（遠程控制程式）用於將Ryuk二進製檔案推送到單個主機；執行批處理腳本以終止進程或服務並刪除備份，然後執行Ryuk二進製檔案。

還記得Samsam病毒嗎？

雖然不常見，但這種偵察技術也並非Ryuk獨有。SamSam（另一款勒索軟體）也採用了相似的路徑，通過感染亞特蘭大市的電腦網絡、巴爾的摩911應急系統、波音公司等網絡導致了巨額損失。由此可見，該技術無疑是有效的。根據聯邦檢察官的說法，SamSam幕後操作者收取超過600萬美元的贖金，並造成逾3千萬美元的損失。

FireEye和CrowdStrike的報告提及Ryuk來自於北朝鮮黑客，但兩家都淡化了報告中的這一點。這個判斷很大程度上是因為Ryuk和Hermes（據推測是來自於朝鮮Lazarus集團的勒索病毒）兩者編碼相似。但Ryuk背後的攻擊者也可能來自俄羅斯，比如有證據顯示，一個俄羅斯IP地址用於將Ryuk使用的檔案上傳至掃描服務，且惡意軟體在受感染網絡上留下用俄語編寫的痕跡。

周四的報告顯示這種攻擊方法可能會變得更加普遍。

FireEye的研究人員表示：2018年，FireEye觀察到越來越多的案例，攻擊者以其它途徑進入受害者網絡後，即部署了勒索軟體，允許他們橫穿全網來識別關鍵系統，並造成最大的破壞。早在2015年底，SamSam就率先進行了這樣的操作，該操作越發受到黑客的青睞，Ryuk就是一個例子。FireEye Intelligence預計，既然黑客從受害者那裡嘗到了不少甜頭，2019年他們還會繼續用這種手法危害用戶。