Lazarus grubu ile ilişkili olduğu düşünülen Ryuk ransomware’in (fidye yazılımı) yeni varyantının yerel ağda diğer Windows cihazlara yayıldığı tespit edildi…

Ryuk Ransomware Nasıl Yayılıyor?

2021 yılında yapılan çalışmalarla Ryuk fidye yazılımının kendisini tıpkı bir solucan (worm) gibi bir sistemden diğerine yaydığı tespit edildi. Ryuk, Windows sistemlerdeki zamanlanmış görev özelliğini kullanarak Windows domain içerisindeki bir makineden diğerine sıçrıyor. Sıçrama işlemini RPC erişiminin mümkün olduğu her makine için gerçekleştirebiliyor. Böylelikle tüm kurum ağını etkisi altında alıyor.

Ryuk, bir makineden diğerine yayılmadan önce çalıştığı makinede ARP önbelleğindeki tüm IP adreslerini listeliyor. Daha sonra ise listelenen IP adreslerine LAN uyandırma – Wake-on LAN) (WOL) paketleri gibi görünen paketler gönderiyor.

 

Ryuk Sistemde Nasıl Kalıcılık Kazanıyor?

Ryuk ransomware, bulaştığı sistemlerde kalıcılığı sağlamak için Windows’un “Zamanlanmış Görev” özelliğini kullanıyor. Kendisini zararsız bir servismiş gibi zamanlayarak sürekli aktif kalıyor. Bir Ryuk zamanlanmış görevine ilişkin örnek BleepingComputer’dan alınan ekran görüntüsünde Şekil 1’de yer almaktadır.

ransomware

 

Ryuk Ransomware’e Karşı Alınabilecek Önlemler ve Çözüm Önerileri

Ryuk Ransomware sisteme bulaştıktan sonra ancak adli bilişim analizi gibi çalışmalarla sistemden atılabilir. Bunun yanında fidye yazılımının yayılmasını önlemek için kullanıcı hesabının parolası değiştirilebilir ve çifte KRBTGT etki alanı parolası kullanılabilir.

 

Ryuk Ransomware’e Ait IOC (Indicator of Compromise) Bilgileri

Ryuk fidye yazılımının saldırı sırasındaki yaygın etkinlikleri ve IOC bilgileri şunlardır:

  • Oltalama saldırısı için makro içeren Microsoft Office dökümanı (.doc, .xls vb.)
  • Macro tarafından kullanılan PowerShell komutları
  • PowerShell Empire/Cobalt Strike/PsExec indirmesi
  • 445 portunda çalışan SMB’nin exploiti (EternalBlue)
  • Olağandışı görevlenmiş zamanlar ve kayıt defteri girdileri
  • 446, 447, 449, 8082 gibi portlardan Tricbot C2 sunucusuna açılan bağlantı trafiği
  • Yetki yükseltme taktikleri
  • .ryk uzantılı dosyalar
  • txt veya RyukReadMe.html dosyası