Grupo Ryuk Ransomware explora a vulnerabilidade Zerologon para alcançar seu objetivo mais rápido
Ryuk ransomware é conhecido por ter como alvo várias grandes organizações em todo o mundo. Muitas vezes é distribuído por outro malware, como Emotet ou TrickBot.
Ryuk Ransomware descoberto inicialmente em agosto de 2018, desde então, ele infecta e compromete várias organizações e rouba milhões de dólares das vítimas afetadas.
A análise mostra que Ryuk é o resultado do desenvolvimento personalizado de um malware mais antigo conhecido como Hermes, que se acredita ter sido criado pelo Stardust Chollima da Coreia do Norte (também conhecido como APT38, que se acredita ser uma ramificação geradora de receita do conhecido APT Lazarus Grupo).
Ryuk com Zerologon
Zerologon é uma vulnerabilidade perigosa rastreada como CVE-2020-1472, é devido a uma falha no processo de login que permite que o invasor estabeleça uma conexão de canal seguro Netlogon vulnerável a um controlador de domínio, usando o protocolo remoto Netlogon (MS-NRPC).
Os atores da ameaça Ryuk usam a vulnerabilidade Zerologon (CVE-2020-1472) para completar o ransomware para todo o domínio em cerca de 5 horas.
“Vimos os agentes de ameaças aproveitarem o acesso a um ambiente por meio do malware Bazar Loader. Desta vez, vimos que eles alcançaram seu objetivo mais rapidamente, mas as táticas e técnicas gerais permaneceram semelhantes entre os incidentes ”, diz o relatório do DFIR.
Neste caso, Ryuk abandonou o sofisticado malware Bazar Loader, que faz parte do grupo TrickBot e se concentra principalmente em alvos de alto valor.
Os invasores começaram como um usuário de baixo nível e exploram a vulnerabilidade Zerologon recentemente divulgada ( CVE-2020-1472 ) para obter acesso ao controlador de domínio primário.
Movimentos laterais controlados por meio de transferências de arquivos SMB e execuções WMI, uma vez movidos com agentes de ameaça do controlador de domínio secundário, executam mais descoberta de domínio via Net e o módulo PowerShell Active Directory.
Em cerca de cinco horas, os invasores completaram seu objetivo executando o ransomware no controlador de domínio primário.
Aqui você encontra a linha do tempo completa
A primeira coisa que você deve fazer é trabalhar com seu departamento de TI para garantir que o patch da Microsoft seja implementado em sua rede imediatamente, caso ainda não tenha sido feito.
O patch de agosto da Microsoft adicionou cinco IDs de eventos para conexões Netlogon vulneráveis. Quando uma conexão de canal seguro durante a fase de implantação inicial é permitida, o ID de evento 5829 é gerado.
