DŮLEŽITÉ VAROVÁNÍ: Zvýšená aktivita TrickBot-Ryuk

30.10.2020

​Za posledních 48 hodin došlo k výraznému vzestupu aktivity malwaru TrickBot a ransomwaru Ryuk. Náš tým technologií zaznamenal tuto aktivitu v zákaznické bázi AEC, a to hned v několika různých segmentech. Proto doporučujeme brát toto upozornění s maximální vážností.

Aktualizace 2. 11. 2020:

Přidány další identifikátory kompromitace související mimo jiné s botnetem Emotet. Při investigaci incidentů u našich zákazníků jsme identifikovali další IOC, které jsou nově přidány v tabulce níže.

Tento škodlivý software můžete znát z úspěšných proběhlých útoků v letošním i loňském roce, malware TrickBot a ransomware Ryuk byly také součástí útoku na Benešovskou nemocnici loni v prosinci. O tomto útoku a i dalších aktivitách útočníků, kteří využívají botnet Emotet nebo zmíněný malware jsme již několikrát psali [1, 2].

Ve středu 28. 10. 2020 informovala The Cybersecurity and Infrastructure Security Agency (CISA) o zvýšené aktivitě tohoto malware a o pravděpodobných útocích na nemocnice a zařízení poskytující zdravotní péči [3]. Na zvýšenou aktivitu botnetu Emotet na začátku října upozornil i český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) [4].

Aktuální verze malwaru TrickBot už není jen běžným bankovním trojanem. Útočníci mají po napadení počítače nyní možnost odcizit přihlašovací údaje, e-mailové zprávy, těžit kryptoměny, odcizit data z platebních systémů nebo stáhnout další malware nebo ransomware na napadený systém. 

Všem našim zákazníkům doporučujeme zkontrolovat aktuálnost jejich řešení pro ochranu koncových stanic a provést sken zranitelností, neboť právě zneužitím zranitelností se tento malware nejčastěji šíří v síti. Firmy, které disponují nástrojem pro vyhledávání IOC, mohou prohledat spravovaná zařízení na IOC uvedená v tabulce níže.

Typ IOC

IOC

Poznámka

Název souboru12 znaků (včetně „.exe“)Například mfjdieks.exe
anchorDiag.txt
Umístění podezřelého souboru v adresářiC:\Windows\
C:\Windows\SysWOW64\
C:\Users\\AppData\Roaming\
StringGlobal\fde345tyhoVGYHUJKIOuyTypicky přítomný v běžící paměti
/anchor_dns/[COMPUTERNAME]_
[WindowsVersionBuildNo].[32CharacterString]/		Typicky přítomný v komunikaci na C&C server
Plánovaná úloha[random_folder_name_in_%APPDATA%_excluding_Microsoft]
autoupdate#[5_random_numbers]
CMD příkazcmd.exe /c timeout 3 && del C:\Users\[username]\[malware_sample]
cmd.exe /C PowerShell \"Start-Sleep 3; Remove-Item C:\Users\[username]\[malware_sample_location]\"
DNSkostunivo[.]comDNS názvy spojované s Anchor_DNS (součást malwaru TrickBot)
chishir[.]com
mangoclone[.]com
onixcellent[.]com
innhanmacquanaogiare[.]com - aktualizováno 2020-11-02
edgeclothingmcr[.]com - aktualizováno 2020-11-02
DNSipecho[.]netDNS názvy použité pro ověření konektivity
api[.]ipify[.]org
checkip[.]amazonaws[.]com
ip[.]anysrc[.]net
wtfismyip[.]com
ipinfo[.]io
icanhazip[.]com
myexternalip[.]com
IP adresa23[.]95[.]97[.]59IP adresy C&C serverů
51[.]254[.]25[.]115
193[.]183[.]98[.]66
91[.]217[.]137[.]37
87[.]98[.]175[.]85
81[.]214[.]253[.]80 - aktualizováno 2020-11-02
94[.]23[.]62[.]116 - aktualizováno 2020-11-02
104[.]28[.]27[.]212 - aktualizováno 2020-11-02
172[.]67[.]169[.]203 - aktualizováno 2020-11-02
104[.]28[.]26[.]212 - aktualizováno 2020-11-02
93[.]114[.]234[.]109 - aktualizováno 2020-11-02

Pokud byste zaznamenali některé z výše uvedených IOC ve vaší síti nebo jinou podezřelou aktivitu, neváhejte se na nás přímo obrátit pro konzultaci, analýzu incidentu nebo implementaci konkrétních bezpečnostních opatření.

Zdroje:

[1]: https://aec.cz/cz/novinky/Stranky/zprava-o-bezpecnosti-v-prosinci-2019.aspx
[2]: https://www.antivirus.cz/Blog/Stranky/pozvanka-na-vanocni-vecirek-poradany-botnetem-emotet.aspx
[3]: https://us-cert.cisa.gov/ncas/alerts/aa20-302a
[4]: https://www.nukib.cz/cs/infoservis/hrozby/1638-upozorneni-na-zvysenou-aktivitu-malwaru-emotet/