根据CrowdStrike 和 FireEye的报告,自去年8月以来,一款新的Ryuk赎金软件通过在之前被感染的目标上安装恶意加密软件,已经赚了将近400万美元。研究人员发现,这种勒索软件有选择地为最初被感染且经济实力强的目标植入恶意加密软件。这与用勒索软件感染所有可能的受害者的共同策略不同。
FireEye报告称,“此活动主要分布在美国各组织,以及政府,金融服务,制造业,服务提供商和高科技等多个行业。一旦受害者打开附件并启用了宏,它就会从远程服务器下载并执行TrickBot恶意软件的实例。“
相比之下,小型企业在感染Trickbot后很少遭到Ryuk的攻击。 CrowdStrike表示,这种方法是“大狩猎”,自去年8月以来,其运营商已经在52笔交易中赢得了370万美元的比特币。
CrowdStrike研究员Alexander Hanel写道:
TrickBot的一些模块(例如pwgrab)可以帮助恢复破坏环境所需的凭证 - 特别是SOCKS模块已被观察到隧道化PowerShell Empire流量以执行侦察和横向移动。通过CrowdStrike IR活动,观察到GRIM SPIDER在受害者网络上执行以下事件,最终目标是推出Ryuk二进制文件:
- 执行模糊的PowerShell脚本并连接到远程IP地址。
- 在受感染的主机上下载并执行反向shell。
- PowerShell防日志脚本在主机上执行。
- 使用标准Windows命令行工具以及外部上载工具进行网络的侦察。
- 使用远程桌面协议(RDP)启用整个网络的横向移动。
- 创建服务用户帐户。
- PowerShell Empire已下载并作为服务安装。
- 继续横向移动,直到恢复特权以获得对域控制器的访问。
- PSEXEC用于将Ryuk二进制文件推送到单个主机。
- 执行批处理脚本以终止进程/服务并删除备份,然后执行Ryuk二进制文件。