Rozsáhlý útok ransomware RYUK na české firmy

Odborná analýza útoku - zajistil a popsal technický specialista Jakub Mazal

Jistě jste zaznamenali v médiích kybernetický incident, který postihl významnou českou těžební společnost OKD.

Z bezpečnostních důvodů byla zastavena těžba na 4 dny a IT pracovníci museli vytvořit oddělenou interní síť pro monitorování zaměstnanců v dolech a pro ovládání strojů v podzemí. Jak k danému incidentu pravděpodobně došlo a co konkrétního jej mohlo způsobit? Na uvedenou otázku se pokusíme odpovědět níže.

Co přesně spustilo incident?

Čím dál více zákazníků se na nás obrací s problémem, kterým je následující dokument. Uživatelé dokument nalézají ve svých emailových schránkách a celkem obstojně prochází přes emailové brány různých výrobců. Co může způsobit zmíněný dokument, pravděpodobně pocítila na vlastní kůži i známá národní česká těžební společnost, která se stala terčem útoku crypto ransomwaru. Než se ale ransomware dostane do systému, spouštěčem může být právě níže uvedený dokument.



Pozor na makra

To, co se stane po povolení obsahu a maker u tohoto souboru, tak má stále klasický průběh reprezentující spuštění makra a je to také první účinná možnost ochrany. Proces aplikace Microsoft Word spouští proces wscript.exe, který zpracuje kód obsažený v makru. Pokud tedy ve vaší firmě běžně nepoužíváte takováto makra, tak tuto činnost na uživatelských stanicích zakažte.



Jak problému zamezit a detekovat ho?

V prostředí McAfee Endpoint Security k tomu jde použít například politika pro Access Protection nebo vytvořená signatura pro Exploit Prevention. Dalším pokročilejším nástrojem, který tuto činnost dokáže detekovat a zastavit je modul Adaptive Threat Protection pro Endpoint Security. Zajímavé je, co se děje dále. Wscript.exe spouští script DASH-0.0.1.JSE a to s několika parametry obsahující čísla.


Tento script vytvořil v původním MS Word dokumentu další script.







Obsah scriptu je enkódovaný a spuštění s parametry obsahující čísla pravděpodobně sloužilo k dekódování tohoto scriptu a vyhnutí se možné detekce závadného obsahu v tomto souboru.


Eskalace oprávnění pomocí Google Chrome

Nejzajímavější činnost ale nastala následně: Došlo ke spuštění dalšího souboru. Na tom by nebylo nic zajímavého, kdyby k tomu nedošlo prostřednictvím komponenty prohlížeče Google Chrome sloužící k provádění aktualizací.


Zdroj souboru „79.0.3945.130_79.0.3945.117_chrome_updater.exe“ mně není jasný, ale pravděpodobně ho vytvořil nebo stáhl předchozí script „dash-0.0.1.jse“. Na endpoint firewallu jsem ale žádnou aktivitu nezaznamenal, takže je velká pravděpodobnost, že je obsahem předchozího scriptu. Využitím pravděpodobně chyby v GoogleUpdate.exe došlo ke spuštění tohoto souboru pod uživatelem SYSTEM a tím tento malware získal administrátorské oprávnění na daném stroji, což mu otevírá dveře k libovolné další aktivitě.

Soubor 79.0.3945.130_79.0.3945.117_chrome_updater.exe byl také první, ve kterém se mi podařilo detekovat malicious kód. Až do této doby veškerou aktivitu prováděly již nainstalované běžné aplikace v systému.

Jakub Mazal, COMGUARD a.s.

Rádi byste se probrali, jak tomu předejít? Kontaktujte nás na sales@comguard.cz 


Přidejte Váš názor

Opište text z obrázku, prosím:

Komentáře k článku - přidejte komentář jako první