Ryuk (ransomware)

Del av en serie om
informationssäkerhet
Relaterade säkerhetskategorier
Datorsäkerhet Bilsäkerhet Cyber ​​brott Cybersexhandel Datorbedrägeri Cybergeddon Cyber ​​terrorism Cyberkrigföring Elektronisk krigföring Informationskrigföring Internet säkerhet Mobil säkerhet Nätverkssäkerhet Kopieringsskydd Digital rättighetshantering
Hot
Reklamprogram Avancerat ihållande hot Exekvering av godtycklig kod Bakdörrar Hårdvara bakdörrar Kodinjektion Crimeware Skripting på flera webbplatser Cryptojacking skadlig kod Botnät Dataintrång Drive-by nedladdning Hjälpobjekt för webbläsare Virus Dataskrapning Förnekande av tjänsten Tjuvlyssning E-postbedrägeri E-postförfalskning Exploater Keyloggers Logiska bomber Tidsbomber Gaffelbomber Zip bomber Bedrägliga uppringare Skadlig programvara Nyttolast Nätfiske Polymorf motor Privilegiumupptrappning Ransomware Rootkits Bootkits Skrämselföremål Skalkod Spamming Social ingenjörskonst Skärmskrapning Spionprogram Programvarubuggar trojan hästar Hårdvara trojaner Fjärråtkomst trojaner Sårbarhet Webbskal Torkare Maskar SQL-injektion Rogue säkerhetsprogramvara Zombie
Försvar
Applikationssäkerhet Säker kodning Säkert som standard Säkert genom design Missbruksfodral Datorns åtkomstkontroll Autentisering Flerfaktorsautentisering Tillstånd Programvara för datorsäkerhet Antivirus mjukvara Säkerhetsfokuserat operativsystem Datacentrerad säkerhet Kodförvirring Datamaskering Kryptering Brandvägg Intrångsdetekteringssystem Värdbaserat intrångsdetekteringssystem (HIDS) Anomali upptäckt Säkerhetsinformation och händelsehantering (SIEM) Mobil säker gateway Självskydd för runtime-applikationer

Ryuk är en typ av ransomware känd för att rikta in sig på stora, offentliga enheter Microsoft Windows cybersystem . Det krypterar vanligtvis data på ett infekterat system, vilket gör datan otillgänglig tills en lösensumma betalas i ospårbar bitcoin . Ryuk tros användas av två eller flera kriminella grupper, troligen ryska, som riktar sig mot organisationer snarare än enskilda konsumenter.

Ursprung

  Ryuk ransomware dök upp först 2018. Även om Ryuk från början misstänktes vara av nordkoreanskt ursprung, har Ryuk på senare tid misstänkts för att ha skapats av två eller flera ryska kriminella karteller. Till skillnad från många andra illvilliga datorhackare, strävar Ryuk-kriminalgruppen främst efter att pressa ut lösensummor för att släppa de data som dess skadliga program har gjort värdelösa genom kryptering. Som en analytiker för cybersäkerhetshot sa till Baltimore Sun efter en attack mot skolsystemet i Baltimore County (Maryland) i november 2020, "tenderar den kriminella gruppen Ryuk att vara all verksamhet ... de gillar bara att få jobbet gjort": att pressa ut en stor lösensumma.

Hur det fungerar

I Storbritannien noterar National Cyber ​​Security Center att Ryuk använder Trickbot- datorskadlig programvara för att installera sig själv, när man väl har fått tillgång till ett nätverks servrar. Den har förmågan att besegra många motåtgärder mot skadlig programvara som kan finnas och kan helt inaktivera ett datornätverk. Det kan till och med söka upp och inaktivera säkerhetskopieringsfiler om de förvaras på delade servrar. Emotet används också av Ryuk-hackare för att få tillgång till datorer som den initiala laddaren eller " trojansk häst" .

US Cybersecurity and Infrastructure Security Agency (CISA) webbplats tillhandahåller detaljerad information om hur Ryuk infekterar och tar kontroll över ett datornätverk, och säger att åtkomst initialt kan erhållas genom: "... nätfiskekampanjer som antingen innehåller länkar till skadliga webbplatser som är värdar för skadlig programvara eller bilagor med skadlig programvara. Laddare startar infektionskedjan genom att distribuera nyttolasten; de distribuerar och kör bakdörren från kommando- och kontrollservern och installerar den på offrets maskin". Nätfiskeförsöken innehåller vanligtvis skadliga dokument (eller hyperlänkar till dem). När offret aktiverar det startar ett skadligt makro eller laddare infektionssekvensen.

När Ryuk väl tar kontroll över ett system, krypterar det lagrad data, vilket gör det omöjligt för användare att komma åt om inte en lösensumma betalas av offret i ospårbar bitcoin . I många fall kan det gå dagar eller veckor mellan det att hackare initialt får tillgång till ett system innan den massiva krypteringen inträffar, eftersom brottslingarna tränger djupare in i nätverket för att orsaka maximal skada. Ryuk är en särskilt skadlig typ av skadlig programvara eftersom den också hittar och krypterar nätverksenheter och resurser. Den inaktiverar också Systemåterställning i Microsoft Windows som annars skulle tillåta återställning av datorns systemfiler, applikationer och Windows-registret till deras tidigare okrypterade tillstånd.

För att bekämpa dessa ransomware-attacker inledde US Cyber ​​Command en motattack i september 2020 för att koppla bort Trickbot från internetservrar. Kort därefter åberopade Microsoft varumärkeslagstiftningen för att störa ett Ryuk- botnät .

Ransomware offer

Ryuk riktar sig till stora organisationer med förmågan att betala betydande summor pengar för att återfå tillgång till deras värdefulla data. Allt som allt betalades mer än 61 miljoner dollar i lösen på grund av Ryuk malware-attacker 2018–2019, enligt FBI . I december 2018 påverkade en Ryuk-baserad attack publiceringen av Los Angeles Times och tidningar över hela landet med hjälp av programvaran Tribune Publishing . Tryckningen av Fort Lauderdale Sun Sentinel i Florida stoppades och inte ens tidningens telefoner fungerade. Den 20 oktober 2020 drabbades ett IT-konsultföretag baserat i Paris , Sopra Steria , själv av en Ryuk ransomware-attack. Cyberbrottslingarna krypterade företagets data med en variant av Ryuk, vilket gjorde den otillgänglig om inte en lösensumma betalas. Attacken kommer att kosta företaget 47–59 miljoner dollar, beräknas det. I kölvattnet av attacken beskrevs Ryuk som "en av de farligaste ransomware-grupperna som verkar genom nätfiskekampanjer".

Mellan 2019 och 2020 har amerikanska sjukhus i Kalifornien, New York och Oregon, såväl som i Storbritannien och Tyskland, drabbats av Ryuk skadlig programvara, vilket resulterat i svårigheter med att komma åt patientjournaler och till och med försämra kritisk vård. Läkare på drabbade sjukhus har tillgripit att skriva pappersinstruktioner istället för att använda sina datorer som inte fungerar. I USA utfärdades ett gemensamt uttalande den 29 oktober 2020 av tre federala myndigheter, FBI, CISA och Department of Health and Human Services, som varnar för att sjukhus bör förutse en "ökad och överhängande" våg av ransomware cyberattacker som kan äventyra patientvård och avslöja personlig information", troligen från Ryuk-attacker. Mer än ett dussin amerikanska sjukhus drabbades av Ryuk-attacker i slutet av 2020, vilket stängde av tillgången till patientjournaler och till och med störde cellgiftsbehandlingar för cancerdrabbade.

Också utsatta offentliga enheter som ofta använder äldre mjukvara och inte följer de bästa protokollen för datorsäkerhet är målet. Lake City, Florida , till exempel, betalade 460 000 USD i lösen efter att en av dess anställda öppnade ett e-postmeddelande som innehöll en variant av Ryuk malware i juni 2019.

Ransomware har använts för att attackera dussintals amerikanska skolsystem, som ofta är bristfälliga i cybersäkerhet. Sedan 2019 har mer än tusen skolor utsatts för offer. Ibland tar den resulterande försämringen veckor att reparera. År 2020 har skolor från Havre, Montana , till Baltimore County, Maryland , upplevt Ryuk ransomware-attacker. Lösen som begärts av förövarna har varierat från $100 000 till $377 000 eller mer. Onlineutbildningsleverantören Stride, Inc. attackerades av Ryuk ransomware-kriminella i november 2020, vilket gjorde några av K12:s register otillgängliga och ledde till hot om att elevernas personliga information släpptes. Det Virginia-baserade företaget betalade ett hemligt lösensumma och sa: "Baserat på fallets specifika egenskaper och den vägledning vi har fått om attacken och hotaktören, anser vi att betalningen var en rimlig åtgärd att vidta för att förhindra missbruk av all information som angriparen erhållit".

Det stora Baltimore County Public Schools- systemet i Maryland, som betjänar 115 000 elever och har en budget på 1,5 miljarder dollar, var tvungen att stänga av alla klasser efter att problem upplevdes med dess datornätverk från och med den 24 november 2020, enligt uppgift på grund av Ryuk. Systemets krasch visade sig först när lärare som försökte skriva in elevernas betyg blev utelåsta och lade märke till Ryuk-filtilläggen. Länsskoletjänstemän karakteriserade det som "en katastrofal attack mot vårt tekniksystem" och sa att det kan ta veckor innan återhämtningen är klar. Skolsystemets chef för informationsteknologi sa: "Detta är en ransomware-attack som krypterar data när den sitter och inte kommer åt eller tar bort den från vårt system." Före den förödande attacken med skadlig programvara utförde statliga revisorer från Maryland Office of Legislative Audits. en periodisk granskning av Baltimore County School Systems datornätverk under 2019. De hittade flera sårbarheter i systemet, såsom otillräcklig övervakning av säkerhetsaktiviteter, offentligt tillgängliga servrar som inte är isolerade från skolsystemets interna nätverk och brist på "intrångsdetektion . .. för opålitlig trafik". Avi Rubin , teknisk chef för Information Security Institute vid Johns Hopkins University , sa att revisorernas upptäckt av "datorer som kördes på det interna nätverket utan intrångsdetektering" var särskilt oroande. Även om slutrapport från Maryland Office of Legislative Audits släpptes den 19 november 2020, revisorerna varnade först skolsystemet för sina resultat i oktober 2019.

Ryuks räckvidd är global och träffar råd och myndigheter över hela världen. En sådan attack landade på staden Onkaparinga i södra Australien. I december 2019 tog Ryuk-viruset tag i stadens IT-infrastruktur. Attacken lämnade hundratals anställda i limbo när stadens IT-avdelning arbetade med att återinföra verksamheten. Varje gång säkerhetskopior återställdes skulle Ryuk-viruset starta processen att attackera systemet igen. Attacken fortsatte i fyra dagar innan IT-teamet kunde stoppa viruset och återställa nödvändiga säkerhetskopior.

I början av 2021 upptäcktes en ny stam av Ryuk ransomware som har maskliknande funktioner som kan leda till att den självförökar sig och distribueras till andra enheter i den lokala databasen den infiltrerar.

Se även

• Wizard Spider - grupp känd för att använda programvaran