瞄准大公司“黑”，新型勒索软件Ryuk已非法获利400万美元

【猎云网（微信号：）】1月14日报道 （编译：一晌贪欢）

自8月份以来，一种新型勒索软件已非法获取了近400万美元，该病毒的攻击对象极具针对性，在已经感染病毒的网络中，它只挑选资金雄厚的公司机构作为目标安装恶意加密软件。而以往的病毒软件通常会感染所有可能的目标，不加以区分。该信息来自周四发布的两份分析报告，一份由网络安全公司CrowdStrike发布，另一份由竞争对手FireEye发布。

两份报告均称，大型企业在遭到其它恶意软件（多数情况下是Trickbot木马病毒）攻击后的数天、数周甚至一年后，才会感染Ryuk病毒。但是，感染木马病毒的小公司则不会受到Ryuk的后续攻击。CrowdStrike称此为“大型猎物狩猎”（只针对资金雄厚的大公司机构），而且，从8月份以来，Ryuk的幕后团队在52笔交易中获益价值370万美元的比特币。

除了精确锁定目标令其支付巨额赎金，Ryuk的一贯手法还有另一个关键好处：“延迟时间”——即最初感染病毒和安装勒索软件之间的时间，这段时间让攻击者有机会在受感染的网络内进行有价值的侦察，攻击者（CrowdStrike称其为Grim Spider）在识别出网络中最关键的系统并获得通行密码后，才会释放出勒索软件，从而将造成的损害最大化。

CrowdStrike研究员Alexander Hanel写道：

TrickBot木马的部分模块（例如pwgrab）可以帮助恢复入侵网络所需的凭证文件，特别是SOCKS模块可以为PowerShell Empire建立通道以执行侦察和横向移动。CrowdStrike观察到黑客在受害者网络上执行以下事件，最终实现嵌入Ryuk二进制文件：

执行PowerShell模糊脚本并连接到远程IP地址；在受感染的主机上下载并执行反向 shell 命令；PowerShell防日志脚本在主机上执行；使用标准Windows命令行工具以及外部上载 工具 进行网络侦察；使用远程桌面协议（RDP）启用整个网络的横向移动；创建服务用户账户；下载PowerShell Empire并作为服务安装；横向移动，直到获得对主控制器的访问特权；PSEXEC（远程控制程序）用于将Ryuk二进制文件推送到单个主机；执行批处理脚本以终止进程或服务并删除备份，然后执行Ryuk二进制文件。

还记得Samsam病毒吗？

虽然不常见，但这种侦察技术也并非Ryuk独有。SamSam（另一款勒索软件）也采用了相似的路径，通过感染亚特兰大市的计算机网络、巴尔的摩911应急系统、波音公司等网络导致了巨额损失。由此可见，该技术无疑是有效的。根据联邦检察官的说法，SamSam幕后操作者收取超过600万美元的赎金，并造成逾3千万美元的损失。

FireEye和CrowdStrike的报告提及Ryuk来自于北朝鲜黑客，但两家都淡化了报告中的这一点。这个判断很大程度上是因为Ryuk和Hermes（据推测是来自于朝鲜Lazarus集团的勒索病毒）两者编码相似。但Ryuk背后的攻击者也可能来自俄罗斯，比如有证据显示，一个俄罗斯IP地址用于将Ryuk使用的文件上传至扫描服务，且恶意软件在受感染网络上留下用俄语编写的痕迹。

周四的报告显示这种攻击方法可能会变得更加普遍。

FireEye的研究人员表示：2018年，FireEye观察到越来越多的案例，攻击者以其它途径进入受害者网络后，即部署了勒索软件，允许他们横穿全网来识别关键系统，并造成最大的破坏。早在2015年底，SamSam就率先进行了这样的操作，该操作越发受到黑客的青睐，Ryuk就是一个例子。FireEye Intelligence预计，既然黑客从受害者那里尝到了不少甜头，2019年他们还会继续用这种手法危害用户。