DÔLEŽITÉ VAROVANIE: Zvýšená aktivita TrickBot-Ryuk

30.10.2020

Za posledných 48 hodín došlo k výraznému nárastu aktivity malwaru TrickBot a ransomwaru Ryuk. Náš tím technológií zaznamenal túto aktivitu v zákazníckej báze AEC, a to hneď v niekoľko rôznych segmentoch. Preto odporúčame aby ste brali toto upozornenie s maximálnou vážnosťou.

Aktualizácia 2. 11. 2020:

Pridané sú ďalšie identifikátory kompromitácie súvisiace okrem iného s botnetom Emotet. Pri investigácii incidentov u našich zákazníkov sme identifikovali ďalšie IOC, ktoré sú novo pridané v tabuľke nižšie.

Tento škodlivý software môžete poznať z úspešne uskutočnených útokov v súčasnom a aj minulom roku, malware TrickBot a ransomware Ryuk boli taktiež súčasťou útoku na Benešovskú nemocnicu minulý rok v decembri. O tomto útoku a ďalších aktivitách útočníkov, ktorí využívajú botnet Emotet alebo zmienený malware sme už niekoľkokrát písali [1, 2].

V stredu 28. 10. 2020 informovala The Cybersecurity and Infrastructure Security Agency (CISA) o zvýšenej aktivite tohto malwaru a o pravdepodobných útokoch na nemocnice a zariadenia poskytujúce zdravotnú starostlivosť [3]. Na zvýšenú aktivitu botnetu Emotet na začiatku októbra upozornil aj český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) [4].

Aktuálna verzia malwaru TrickBot už nie je len bežným bankovým trojanom. Útočníci majú po napadnutí počítača v súčasnosti aj možnosť odcudziť prihlasovacie údaje, e-mailové správy, ťažiť kryptomeny, odcudziť dáta z platobných systémov alebo stiahnuť ďalší malware, či ransomware do napadnutého systému.

Všetkým našim zákazníkom odporúčame skontrolovať aktuálnosť ich riešení na ochranu koncových staníc a rovnako vykonať sken zraniteľností, pretože práve zneužitím zraniteľností sa tento malware najčastejšie šíri v sieti. Firmy, ktoré disponujú nástrojom na vyhľadávanie IOC, môžu prehľadať spravované zariadenia na IOC, ktoré sú uvedené v tabuľke nižšie.

Typ IOC

IOC

Poznámka

Názov súboru12 znakov (vrátane „.exe“)Napríklad mfjdieks.exe
anchorDiag.txt
Umiestenie podozrivého súboru v adresáriC:\Windows\
C:\Windows\SysWOW64\
C:\Users\\AppData\Roaming\
StringGlobal\fde345tyhoVGYHUJKIOuyTypicky prítomný v bežiacej pamäti
/anchor_dns/[COMPUTERNAME]_
[WindowsVersionBuildNo].[32CharacterString]/		Typicky prítomný v komunikácii na C&C server
Plánovaná úloha[random_folder_name_in_%APPDATA%_excluding_Microsoft]
autoupdate#[5_random_numbers]
CMD príkazcmd.exe /c timeout 3 && del C:\Users\[username]\[malware_sample]
cmd.exe /C PowerShell \"Start-Sleep 3; Remove-Item C:\Users\[username]\[malware_sample_location]\"
DNSkostunivo[.]comDNS názvy spájané s Anchor_DNS (súčasť malwaru TrickBot)
chishir[.]com
mangoclone[.]com
onixcellent[.]com
innhanmacquanaogiare[.]com - aktualizácia 2020-11-02
edgeclothingmcr[.]com - aktualizácia 2020-11-02
DNSipecho[.]netDNS názvy použité na overenie konektivity
api[.]ipify[.]org
checkip[.]amazonaws[.]com
ip[.]anysrc[.]net
wtfismyip[.]com
ipinfo[.]io
icanhazip[.]com
myexternalip[.]com
IP adresa23[.]95[.]97[.]59IP adresy C&C serverov
51[.]254[.]25[.]115
193[.]183[.]98[.]66
91[.]217[.]137[.]37
87[.]98[.]175[.]85
81[.]214[.]253[.]80 - aktualizácia 2020-11-02
94[.]23[.]62[.]116 - aktualizácia 2020-11-02
104[.]28[.]27[.]212 - aktualizácia 2020-11-02
172[.]67[.]169[.]203 - aktualizácia 2020-11-02
104[.]28[.]26[.]212 - aktualizácia 2020-11-02
93[.]114[.]234[.]109 - aktualizácia 2020-11-02

Pokiaľ by ste zaznamenali niektoré z vyššie uvedených IOC vo Vašej sieti, alebo aj inú podozrivú aktivitu, neváhajte sa na nás priamo obrátiť vo veci konzultácie, analýzy incidentu alebo implementácie konkrétnych bezpečnostných opatrení.

Zdroje:

[1]: https://aec.cz/cz/novinky/Stranky/zprava-o-bezpecnosti-v-prosinci-2019.aspx
[2]: https://www.antivirus.cz/Blog/Stranky/pozvanka-na-vanocni-vecirek-poradany-botnetem-emotet.aspx
[3]: https://us-cert.cisa.gov/ncas/alerts/aa20-302a
[4]: https://www.nukib.cz/cs/infoservis/hrozby/1638-upozorneni-na-zvysenou-aktivitu-malwaru-emotet/