何謂 RYUK 勒索病毒?
Ryuk 是由 WIZARD SPIDER 駭客集團所開發的一種勒索病毒,該集團專門攻擊政府、學術、醫療、製造、科技等產業。2019 年,Ryuk 創下有史裡來最高的勒索金額:1,250 萬美元,而且至 2020 年底總共大約得手了 15,000 萬美元的贖金。
Ryuk 勒索病毒攻擊
Ryuk (發音 ree-yook) 是 2018 下半年首次出現的一個勒索病毒家族。2018 年 12 月,紐約時報 (New York Times) 報導了一則新聞指出 Tribune Publishing 因遭到 Ryuk 感染而使得該媒體在聖地牙哥 (San Diego) 和佛羅里達 (Florida) 的印刷廠停擺。此外,紐約時報和華爾街日報 (Wall Street Journal) 兩家報社也共用了某家位於洛杉磯 (Los Angeles) 的印刷廠,而他們也受到這起攻擊衝擊,使得週末版日報的供貨受到影響。
Ryuk 是 Hermes 這個舊勒索病毒的變種,可說是當今最危險的勒索病毒之一。CrowdStrike 的 2020 年全球威脅報告 (Global Threat Report) 指出 Ryuk 囊括了該年十大最高勒贖金額排行榜其中三名,分別是:530 萬美元、990 萬美元以及 1,250 萬美元。Ryuk 在全球眾多產業和企業當中相當橫行,駭客稱其手法是「狩獵大型目標」(Big Game Hunting,簡稱 BGH),也就是專門攻擊大型企業。
令人玩味的是,這個勒索病毒家族的名字是取自日本動畫「死亡筆記本」中的一個角色名稱,其意為「神的禮物」。對一個勒索病毒來說,這樣一個名字倒是相當奇怪,因為它對受害者來說,意謂著資料或財務損失。或許從駭客的角度來看,這的確是神的禮物。
業界認為 Ryuk 勒索病毒背後的犯罪集團應該是俄羅斯的 WIZARD SPIDER。另外,東歐的 UNC1878 駭客集團也曾經發動過幾起針對醫療產業的攻擊。這個勒索病毒採用間接的散播方式,駭客會先下載其他惡意程式到一台電腦上。
當 Ryuk 感染系統時,它首先會終止系統上的 180 個服務以及 40 個處理程序,因為這些服務和處理程序會阻礙 Ryuk 的工作,或是在攻擊時有此必要。
此時,勒索病毒可能會開始執行加密動作,Ryuk 會使用 AES-256 演算法將照片、影片、資料庫、文件等所有您可能在乎的資料加密。接著再將此處用到的對稱加密金鑰透過 RSA-4096 非對稱加密演算法加密。
Ryuk 也可以執行遠端加密,例如系統遠端管理用到的 ADMIN$ 共用資料夾。此外,也具備網路喚醒 (Wake-On-Lan) 能力,可喚醒電腦來執行加密。這些功能會讓其加密更難破解,也會擴大其損害範圍。
駭客的勒索訊息會存放在系統上名為「RyukReadMe.txt」和「UNIQUE_ID_DO_NOT_REMOVE.txt」的檔案中,內容大致如下面的截圖所示。
資料來源:Malwarebytes
Ryuk 攻擊途徑
Ryuk 可經由下載服務 (DaaS) 感染目標系統,DaaS 是駭客集團之間為了彼此互相支援而發展出來的一種服務。例如某個駭客開發了一個勒索病毒但卻不曉得如何散播這個病毒,那麼其他具備這項技能的駭客就會協助幫忙散播。
一般來說,使用者都是因為遇到網路釣魚而在不知情的狀況下上當,才讓系統遭到首次感染。根據 AdvIntel 的報告指出,91% 的攻擊一開始都是經由網路釣魚郵件。因此,教育使用者如何分辨網路釣魚郵件至關重要,教育訓練可大幅減低感染的機率。查看 Phishing Insights。
Ryuk 是目前最知名、也最惡名昭彰且感染範圍最廣的一種勒索病毒服務 (RaaS)。所謂 RaaS (Ransomware as a Service) 勒索病毒服務是勒索病毒開發者提供勒索病毒給其他駭客使用的一種模式,開發者會從駭客收到的贖金當中抽取一定百分比的佣金。RaaS 可說是 SaaS (Software as a Service) 軟體服務的變體。
使用者一旦點選了網路釣魚電子郵件,Ryuk 就會額外下載一些所謂「植入器」(dropper) 的惡意程式。這些額外的惡意程式包括:Trickbot、Zloader、BazarBackdoor 等等,植入器也可能直接安裝 Ryuk。
植入器有時也用來安裝其他惡意程式,例如安裝 Cobalt Strike Beacon 以便和幕後操縱 (C&C) 網路通訊。Ryuk 會在惡意程式安裝之後下載。Ryuk 也會攻擊 Windows 伺服器的 ZeroLogon 漏洞。
下圖顯示 Ryuk 的感染途徑與攻擊流程。
英國資安廠商 Sophos Group 已研究出 Ryuk 的攻擊流程。請看下圖。
資料來源:Sophos
Trickbot
Trickbot 於 2016 年現身,據稱應該是由 WIZARD SPIDER 所開發,而這也是 Ryuk 背後的駭客集團。此惡意程式曾經被某個銀行木馬程式用來竊取使用者的登入憑證、個人身分識別資訊以及比特幣。
Trickbot 是由一群技術高超的駭客所設計,能滿足各種用途,例如在被感染的系統上搜尋檔案。此外,它還可經由網路從一台電腦橫向移動到另一台電腦。Trickbot 目前具備的功能包括:搜刮登入憑證、虛擬加密貨幣挖礦等等,但最重要的功能是部署 Ryuk 勒索病毒。
Ryuk 入侵指標
勒索病毒的破壞力是相當驚人的,所以能夠預先防範而不被感染才是上策。但這有時很難做到,所以營運團隊必須留意自己是否出現被攻擊的初期徵兆,一有就立即採取行動防止損害擴大。
由於 Ryuk 可經由多重途徑來感染系統,所以偵測工作會變得很複雜,不過網路與資安管理員有許多入侵指標 (IoC) 可用來判斷 Ryuk 的感染前兆。
BazarLoader 就是一個 Ryuk 經常用來突破企業防線的植入器程式。植入器 (或 DaaS) 是一種專門用來下載其他惡意程式的惡意程式。以下是企業應注意的 BazarLoader 入侵指標:
- Windows 系統登錄當中出現一個名為「StartAd-Ad」的排程工作,並且多了一個 AutoRun 開機自動執行機碼
- 發現含有雙重副檔名的執行檔,如「Report.DOC.exe」
還有,如前面提到,TrickBot 是 Ryuk 常用的一個入侵工具,其入侵指標是一個含有 12 個隨機產生字元檔名的執行檔。只要 TrickBot 一產生該檔案 (如 mnfjdieks.exe),就可以在下列目錄當中看到:
- C:\Windows\
- C:\Windows\SysWOW64
- C:\Users\[Username]\AppData\Roaming
如需 TrickBot 的完整入侵指標清單,請參見美國網路資安與基礎架構安全局 Cybersecurity & Infrastructure Security Agency (CISA) 的網站。
很多時候,企業看到的第一個入侵指標通常是以下這個螢幕畫面。看到這個畫面,就代表企業已經感染 Ryuk 且機敏資料已遭加密。此時如果企業平日就有所準備,並且有適當的事件應變團隊、教戰手冊以及離線備份資料的話,就能加快復原速度。
資料來源:2SPYWARE
2020 年 Ryuk 勒索病毒攻擊
由於 Ryuk 是一種專門狩獵大型獵物 (BGH) 的勒索病毒,因此它攻擊的大多是政府機關、科技公司以及學校系統。2020 年,法國一家擁有網路資安品牌的 IT 服務公司 Sopra Steria 就感染了 Ryuk。根據他們表示,他們需要數星期的時間才能讓營運完全恢復。
Ryuk 可說是醫療業最大的威脅之一,而且 Covid-19 疫情似乎也成了駭客的幫兇。Universal Health Services (UHS) 是一家在美國及英國都設有醫院的「財星 500 大」(Fortune 500) 醫療公司。該公司在 2020 年 9 月 27 日遭到 Ryuk 勒索病毒攻擊。
BleepingComputer 在報導中指出,UHS 最可能的感染途徑就是網路釣魚郵件,且其網路釣魚郵件可能含有 Emotet 木馬程式。Emotet 會安裝 Trickbot,進而讓 WIZARD SPIDER 駭客集團手動利用反向指令列介面 (reverse shell) 在系統上安裝 Ryuk。
2020 年 10 月,駭客又利用 Ryuk 感染了兩家醫療中心。一家位於美國俄勒岡州,也就是 Sky Lakes Medical Center,另一家位於紐約,也就是 Lawrence Health System。這兩起攻擊造成了電腦系統離線,電子化病歷系統無法使用。而且兩家醫院原本就為了收容 COVID-19 病患而焦頭爛額,又因為勒索病毒攻擊讓情況變得更加嚴峻。這些醫院的攻擊事件絕大部分都持續了數週之久。
勒索病毒防範最佳實務原則
企業和一般使用者有許多方法可保護自己以防止各種惡意程式感染,尤其是勒索病毒。例如以下幾點:
- 務必套用作業系統、軟體與韌體的修補更新。
- 盡可能隨時採用多重認證 (而且第二認證方式強度要夠),例如採用雙重認證。美國國家標準與技術局 (U.S. National Institute of Standards and Technology,簡稱 NIST) 建議不要使用手機簡訊作為第二認證方式。
- 經常檢查帳號、存取權限、記錄檔以及其他動作來確認組態設定與系統活動是否異常。
- 定期備份資料,將備份離線保存,尤其是關鍵系統。
- 提供使用者教育訓練,尤其是如何分辨網路釣魚郵件,因為使用者才是第一線接觸、閱讀、回覆電子郵件的人員。