راه حل امنیتی ایمیل سیسکو (Cisco Email Security)
ژانویه 10, 2021
اسکنر Nessus بهترین روش برای مسائل مشترک
ژانویه 10, 2021

چگونه می توان شبکه خود را از حمله باج افزار Ryuk ایمن کرد؟

باج افزار Ryuk یک تهدید پیچیده است که مشاغل ، بیمارستان ها و موسسات دولتی در سراسر جهان را هدف قرار می دهد. برخلاف باج افزارهای رایج که هر نوع قربانی را هدف قرار می دهد ، باج افزار Ryuk معمولاً برای حملات پیچیده استفاده می شود. مهاجمان از تکنیک های دستی هک و ابزارهای منبع باز برای جابجایی جانبی در یک شبکه خصوصی و دسترسی اداری استفاده می کنند. باج افزار Ryuk نسخه اصلاح شده باج افزار Hermes است.

باج افزار Ryuk چگونه به شبکه ها نفوذ می کند؟

مراحل مختلف حمله باج افزار Ryuk عبارتند از:

نفوذ

حرکت جانبی

نفوذ داده ها یا تأثیر حمله

روش های مختلفی برای شروع حمله وجود دارد مانند ایمیل های فیشینگ ، بازدید از وب سایت های ناامن یا کلیک روی پنجره های بازشو تصادفی. Ryuk تقریباً همیشه از طریق ربات هایی مانند TrickBot یا Emotet توزیع می شود که دسترسی مستقیم به شبکه قربانی را فراهم می کنند.

همه نفوذ های TrickBot منجر به حمله باج افزار Ryuk نمی شوند اما وقتی این کار را انجام دهند این حمله کشنده خواهد بود. به طور معمول استقرار Ryuk هفته ها پس از اولین نمایش ربات در شبکه انجام می شود. این شکاف باعث می شود ربات اطلاعات حساس را بدزدد و سازمان را حتی قبل از حمله واقعی آسیب پذیر کند. سپس مهاجم از داده های جمع آوری شده توسط ربات برای شناسایی شبکه بالقوه ای که می توان ریوک را در آن مستقر کرد استفاده می کند و این چرخه نفوذ را کامل می کند.

پس از ورود به داخل شبکه مهاجم فعالیت های دستی هک مانند شناسایی شبکه و حرکت جانبی را که به خطر انداختن کنترل کننده های دامنه کمک می کند ، آغاز می کند و به آن ها امکان دسترسی به بیشترین سیستم را می دهد.

اطلاعات کافی در مورد لایسنس cisco در این سایت برای استفاده کاربران عزیزمان قرار دارد.

آموزش رمزگذاری

هنگامی که مهاجمان یک سیستم مناسب پیدا می کنند دو پرونده در یک پوشه فرعی بارگذاری می کنند. سپس مهاجم دو پرونده را در داخل فهرست بارگذاری می کند.

مهاجم سیستم های پرونده را جارو می کند و درایوها را برای شروع رمزگذاری با استفاده از WNetOpenEnum و WNetEnumResource متصل می کند. هر بار که یک فایل رمزگذاری می شود کلید رمزگذاری از بین می رود. پس از رمزگذاری پرونده پسوند .ryk اضافه می شود. برخی از پرونده ها ممکن است هیچ پسوندی نداشته باشند.

باج افزار Ryuk قادر به رمزگذاری پرونده ها است به جز مواردی که دارای پسوندهای .dll ، .lnk ، .hrmlog ، .ini و .exe هستند. پرونده های ذخیره شده در دایرکتوری های Windows System32 ، Chrome ، Mozilla ، Internet Explorer و Recycle Bin نیز مستثنی هستند.

باج افزار Ryuk از تکنیک های قوی رمزگذاری استفاده می کند و این اطمینان را می دهد که پرونده ها به راحتی بازیابی نمی شوند. پرونده ها معمولاً با استفاده از AES-256 رمزگذاری می شوند و کلیدهای پرونده ها در پرونده ای با پسوند .ryk ذخیره می شوند. سپس کلیدهای AES با یک جفت کلید خصوصی RSA-4096 رمزگذاری می شوند که کاملاً توسط مهاجم کنترل می شود.

Ryuk یک حمله بدخیم تلقی می شود زیرا شامل رمزگذاری چندین کلید با کلیدهای دیگر است و کل مراحل برای قربانیان خاص طراحی شده است. این به این معنی است که حتی اگر کلید خصوصی قربانی نیز منتشر شود به رمزگشایی پرونده های متعلق به قربانی دیگر کمک نمی کند.

چه چیزی باج افزار Ryuk را کشنده می کند ؟

تاکنون هیچ ابزار منبع باز قادر به رمزگشایی پرونده های Ryuk نبوده است. علاوه بر این کلید رمزگشایی ارائه شده توسط مهاجم گاهی اوقات پرونده ها را خراب می کند و حتی پس از روند بازیابی مهاجم می تواند پرونده های اساسی مورد نیاز برای عملکرد سیستم را خراب کند. مانند هر برنامه باج افزار دیگری Ryuk سعی می کند به نسخه های سایه ای از داده های ذخیره شده در سیستم دسترسی پیدا کرده و آن ها را حذف کند تا از روش های جایگزین بازیابی نشود. همچنین شامل یک اسکریپت kill.bat است که سرویس های مهم مانند پشتیبان گیری از شبکه و آنتی ویروس Windows Defender را غیرفعال می کند.