Przeczytaj, zanim Ryuk zaszyfruje twoją firmę – bo możesz go zatrzymać

dodał 6 listopada 2020 o 09:35 w kategorii Info  z tagami:
Przeczytaj, zanim Ryuk zaszyfruje twoją firmę – bo możesz go zatrzymać

Trudno dzisiaj mówić o najnowszej fali ataków inaczej, jak o szaleństwie ransomware’u. Skala ofiar jest olbrzymia, straty gigantyczne, a zyski przestępców ogromne. Tak jednak nie musi być – i możecie w tym w swoich firmach pomóc.

Jak wiecie, od dawna nie publikujemy krótkich notek – wolimy pełne artykuły, wyczerpujące temat. Dla Ryuka jednak zrobimy wyjątek, ponieważ to jedno z najniebezpieczniejszych zagrożeń dla firm na całym świecie.

Autorem wpisu jest Wojtek Lesicki, team leader działu IT Security w Allegro.

Masz dwie godziny – albo nawet nie

Kilka dni temu pojawiły się informacje o kolejnych atakach ransomware’u Ryuk. Na celowniku znalazły się ponownie szpitale w USA. Już kolejnego dnia amerykańskie organizacje Cybersecurity and Infrastructure Security Agency (CISA), FBI oraz Department of Health and Human Services (HHS) opublikowały poradnik w kontekście tych ataków.

Warto na niego spojrzeć – nie dość, że zawiera opisy zmian w aktywności TrickBota czy BazarLoadera wykorzystywanych w ataku (pamiętacie ostatnie działania podejmowane przeciwko TrickBota?), IoC, ale też np. konkretne reguły YARA.

Część informacji nastawionych jest na USA (np. z jakimi organizacjami się skontaktować), ale zestaw najlepszych praktyk czy też instrukcja, jakie informacje zebrać w przypadku już zaszyfrowanych danych, przydadzą się każdemu.

Co warto jeszcze przeczytać? Również 28.10.20 badacze z firmy Mandiant, Van Ta oraz Aaron Stephens, brali udział w webcaście opisującym działanie Ryuka, jak i grupy, która za nim stoi (UNC1878, czy też WIZARD SPIDER według atrybucji z Crowdstrike). Jeśli temat was interesuje, to warto posłuchać tego nagrania.

FireEye opublikował informacje odnośnie malware’u używanego do dystrybucji Ryuka, a Lares podał, jak wprost w Splunku szukać potrzebnych danych. RedCanary opublikował zbiór 10 potencjalnych metod detekcji dla BazarLoadera (od niedawna można obserwować, że to właśnie ten malware wykorzystywany jest coraz częściej do dystrybucji niż TrickBot). Dodatkowe IoC może znaleźć u RiskIQ czy też u samego Aarona na jego GitHubie.

Pierwsze trzy szanse wykrycia Ryuka

Materiału do lektury jest sporo. Warto przejrzeć choć część i zastanowić się, czy nie pora utwardzić naszego środowiska lub też nie wzbogacić naszych reguł detekcyjnych. Do tego na reakcję będziecie mieli bardzo mało czasu. Jeszcze niedawno rekordem od infekcji do zaszyfrowania w scenariuszu z Ryukiem było 5 godzin. Od niedawna znany jest raport, w którym cały proces zajął przestępcom zaledwie dwie godziny. Zdążycie ich wykryć i im przeszkodzić?