Comunidade
© 2025 Avance Network
SobreDiretórioContatoDesenvolvedoresPrivacidadeTermos de UsoReembolso
Ciência e Tecnologia

O que é Ryuk ransomware? E quem está por trás disso?

User Image
2223 Visualizações

Ryuk é um ransomware mortal que criptografa sistemas Microsoft Windows e mantém empresas para resgate de Bitcoin. Atacando empresas, hospitais e governos desde 2018, Ryuk e a gangue por trás dele continuam sendo uma ameaça formidável.

O que é Ryuk ransomware?

 

Ransomware

 

1. Uma categoria de malware que bloqueia (criptografa) seus arquivos ou sistemas e os retém para resgate.

 

Ryuk

 

[Ry-yookay]

 

2. Um personagem fictício da série de mangá Death Note. Ryuk lança um “death note” que permite ao usuário matar qualquer pessoa simplesmente sabendo seu nome e rosto.

 

O Ryuk ransomware infecta um sistema com malware que criptografa arquivos essenciais – prejudicando a empresa.

Depois que os arquivos ou sistemas são bloqueados, os invasores deixam uma nota de resgate ou enviam um e-mail de acompanhamento explicando a quantidade de Bitcoin a ser paga para descongelar sistemas e arquivos.

Um pedido de resgate típico de Ryuk pode chegar a algumas centenas de milhares de dólares. Em janeiro de 2019 (apenas cinco meses após sua criação), estima-se que a gangue que opera Ryuk tenha arrecadado mais de 705,8 BTC em 52 transações por um valor total de US$ 3.701.893,98.

Em 2021, os pesquisadores estimaram que a gangue criminosa do ransomware Ryuk valia mais de US$ 150.000.000.

Detalhes técnicos

 

Como funciona um ataque de ransomware Ryuk?

 

Um ataque de ransomware Ryuk tem uma queima lenta, levando várias horas para atingir o impacto máximo. Conhecido por suas habilidades de auto-replicação semelhantes a worms, as vítimas raramente percebem que os braços e pernas de seus sistemas ficam desativados, já que o coração do sistema é o último a ser criptografado.

 

Ryuk ransomware funciona nas seguintes etapas:

 

Infecção: A infecção inicial acontece quando o malware Ryuk encontra seu caminho em uma rede. O malware Ryuk é espalhado por muitos métodos diferentes, incluindo Emotet (recentemente desativado pelas agências de fiscalização), TrickBot e ZLoader.

Verificação de IP: Ryuk então procura por compartilhamentos de rede na infraestrutura de TI da vítima. Para fazer isso, alguns intervalos de IP são verificados:

 

10.0.0.0/8

172.16.0.0/16

192.168.0.0/16

 

(Esses são intervalos locais muito comuns de endereços IP.)

 

3. Criptografia: Ryuk agora procurará unidades de rede e locais do sistema que podem ser encontrados nesses intervalos de endereços IP para que possa criptografá-los.

 

O Ryuk criptografa arquivos com o algoritmo AES256 da CryptoAPI da Microsoft e uma chave AES exclusiva envolvida com uma chave pública RSA armazenada no código binário de cada arquivo. Arquivos congelados terão “.RYK” no final deles.

 

Nota: Os pesquisadores notaram que o Ryuk começará a criptografar os compartilhamentos de rede primeiro, então você não notará os efeitos no sistema host (aquele que está propagando a infecção) até que todo o resto seja criptografado.

 

Como o sistema host é o último a ser criptografado, isso impede que muitos investigadores possam localizar e isolar rapidamente a fonte da infecção.

 

Como o ransomware Ryuk é distribuído

 

A infecção inicial do Ryuk ransomware é realizada por meio do TrickBot, que normalmente usa e-mail de spam para distribuir o código infectado na máquina da vítima. Esses e-mails são enviados de endereços de e-mail falsificados para induzir as vítimas a abrir um documento armado anexado a um e-mail de phishing, por exemplo.

 

Abrir o documento faz com que uma macro maliciosa execute um comando do PowerShell que tenta baixar um trojan bancário como o TrickBot. Alguns trojans têm a capacidade de baixar malware e spyware adicionais em uma máquina infectada.

 

Os invasores podem coletar credenciais de administrador, o que permite que eles se movam para ativos críticos conectados à rede. Ryuk é então executado em cada um desses ativos, prejudicando recursos, arquivos e sistemas.

 

Notas de resgate de Ryuk

 

Agora para o grande momento suculento dos atacantes: a nota de resgate. Os invasores do Ryuk sempre deixam uma nota de resgate exigindo que centenas de milhares de dólares sejam transferidos para um endereço específico da carteira Bitcoin (BTC).

 

A nota de resgate do Ryuk geralmente é gravada em um arquivo chamado “RyukReadMe.txt”. O corpo da nota contém as seguintes informações:

 

Um aviso de que sua rede foi penetrada.

Que todos os arquivos em cada host na rede foram criptografados com um algoritmo forte.

Que seus backups foram criptografados ou excluídos ou que os discos de backup e cópias de sombra foram formatados ou removidos.

Avisos de que não há software de descriptografia disponível publicamente para reverter o ataque e não para redefinir, desligar, renomear, mover ou excluir arquivos “readme”, pois isso pode levar a nunca mais recuperar seus arquivos.

E, finalmente, um endereço de e-mail (geralmente Tutanota ou ProtonMail) para entrar em contato para descriptografar seus arquivos e o endereço da carteira Bitcoin.

A nota de resgate é assinada com firmeza – “Ryuk, nenhum sistema é seguro”.

 

Pagamentos de resgate

 

Com base em transações para endereços conhecidos do Ryuk BTC, a demanda de resgate pode variar. Os pesquisadores sugeriram que o valor do resgate é calculado com base no tamanho e no valor da empresa atacada.

 

Em 2019, as demandas de resgate de Ryuk estavam entre US$ 130.000 e US$ 450.000 para duas cidades da Flórida afetando serviços de emergência e sistemas administrativos.

 

Em 2020, Ryuk atacou o Sistema Público do Condado de Baltimore e mais de 250 instalações médicas nos EUA. Embora as duas empresas não tenham admitido pagar um resgate, elas relataram que custou US$ 10 milhões e US$ 67 milhões para se recuperar dos ataques, mas ainda não está claro se esse dinheiro foi gasto pagando resgates.

 

Tipos de ransomware Ryuk

 

Uma nova variante 2021

 

Uma nova variante do ransomware Ryuk surgiu em janeiro de 2021, com recursos de autorreplicação “semelhantes a worms”. As versões anteriores do Ryuk não conseguiam se mover lateralmente através de uma rede, exigindo que eles se movessem manualmente.

 

Um worm de computador pode espalhar cópias de si mesmo de dispositivo para dispositivo sem interação humana ou a necessidade de se enraizar em um programa específico. Isso significa que a nova variante Ryuk pode se mover automaticamente pelas redes, espalhando a infecção.

 

Nota: Esta nova variante do Ryuk está atualmente limitada a máquinas Windows.

 

Uma breve história do ransomware Ryuk

 

Hermes ransomware, 2017

 

Hermes ransomware, o antecessor do Ryuk, foi criado pela primeira vez em fevereiro de 2017 e foi instantaneamente temido. Apenas um mês após seu lançamento, um decodificador foi escrito para Hermes, seguido pelo lançamento do Hermes versão 2.0 em abril de 2017 e versão 2.1 em agosto de 2017.

 

A única maneira de uma vítima recuperar arquivos é com a chave de criptografia privada, que só pode ser recebida mediante o pagamento de um resgate alto.

 

Ransomware Ryuk, 2018

 

Em meados de agosto de 2018, uma versão modificada do Hermes, denominada Ryuk, começou a aparecer em um repositório público de malware.

 

Ryuk foi construído para atingir grandes empresas, e algumas modificações incluem a remoção de verificações anti-análise. Assim, o Ryuk pode impedir que uma máquina depure seus sistemas, além de realizar verificações vitais, como ver se o host está executando o VirtualBox e garantir que o idioma do host não tenha mudado para russo ou bielorrusso.

 

Semelhanças entre Hermes e Ryuk ransomware

 

A principal diferença entre Hermes e Ryuk é que Ryuk usa uma segunda chave RSA pública incorporada. Mas eles ainda têm muito em comum. Ambos:

 

Criptografe arquivos usando RSA-2048 e AES-256

 

Armazenar chaves no executável usando o formato Microsoft SIMPLEBLOB

 

Criptografe dispositivos montados e hosts remotos

 

Use o marcador de arquivo “Hermes” para marcar ou verificar se um arquivo foi criptografado

 

Quem está por trás do ransomware Ryuk?

 

A inteligência sugere que o grupo de hackers WIZARD SPIDER está por trás do ransomware Ryuk.

 

WIZARD SPIDER poderia estar operando na Rússia, já que Hermes foi originalmente anunciado em “exploit(.)in”. Este fórum de língua russa é um mercado bem conhecido para a venda de malware para gangues criminosas.

 

Além disso, durante uma investigação forense de uma rede violada pelo WIZARD SPIDER, artefatos foram recuperados com nomes de arquivos em russo. Um desses arquivos foi nomeado “!!! arquivos dlya raboty !!!” que se traduz em “arquivos para trabalho”.

 

Os maiores ataques de ransomware Ryuk

 

O ransomware Ryuk vem causando caos há mais de três anos. Aqui estão três dos maiores e piores ataques de Ryuk que conhecemos.

 

Nº 3 de maio de 2021, Volume

 

Quando Ryuk atacou a empresa norueguesa de tecnologia de energia Volue, 85% da população do país sofreu os efeitos. O ataque afetou a infraestrutura de sistemas das instalações de água e esgoto da Noruega em mais de 200 municípios.

 

Nº 2 de setembro de 2020, Serviços Universais de Saúde

 

As consequências desse ataque devastador custou ao UHS, um dos maiores provedores de assistência médica dos EUA, US$ 67 milhões para se recuperar. Os pacientes foram forçados a ir para outras salas de emergência, e os resultados dos exames e as consultas foram adiados.

 

#1 de novembro de 2020, o sistema de escolas públicas do condado de Baltimore

 

Ouvir que a escola tinha um orçamento de US $ 1,5 bilhão é provavelmente o que permitiu que o WIZARD SPIDER estacionasse qualquer senso de humanidade que o grupo pudesse ter. Atacando alguns dias antes do Dia de Ação de Graças, todos os serviços escolares remotos foram interrompidos. O tempo de inatividade aparentemente custou à escola US$ 10 milhões para se recuperar.

 

Como prevenir ataques Ryuk

 

A infecção inicial geralmente começa com um e-mail de spam, portanto, aprender a diferenciar o spam do negócio real é crucial. Mas podemos tomar muitas outras ações mais técnicas para evitar esses desagradáveis ​​ataques de Ryuk.

 

1. Verifique seus logs de rede

 

Seus logs de rede podem indicar jogo sujo e, como os invasores do Ryuk começam criptografando arquivos fora do host principal, você pode detectar qualquer comportamento estranho logo no início.

 

2. Faça backup de seus dados

 

Sempre crie backups seguros de seus dados regularmente. É melhor usar o armazenamento em nuvem com criptografia de alto nível e autenticação multifator para proteger adequadamente seus preciosos recursos. Você também pode fazer backup de seus dados em discos rígidos externos, mas certifique-se de que eles estejam fisicamente desconectados de seus dispositivos principais no trabalho após o backup ou então eles também podem ser infectados.

 

3. Proteja sua rede

 

É crucial proteger sua rede porque é onde os processos Ryuk são executados e onde os arquivos são criptografados. Algumas ferramentas antimalware/antivírus impedem o ransomware de manter arquivos como reféns e até oferecem tecnologia de reversão projetada para reverter os efeitos do ransomware.

 

3. Use uma VPN

 

Uma VPN vai incluir proteção em seus dispositivos contra ameaças, quando você liga o aplicativo, ele o protege ativamente contra malware e outras ameaças à sua rede. Você pode usá-lo em laptops, tablets, smartphones e PCs e é especialmente projetado para uso em toda a empresa.

Strong

5178 Blog Postagens

Missão Mundial de Luta Contra o Tabaco Estilo de Vida

Missão Mundial de Luta Contra o Tabaco

Maior privacidade para usuários do Avance Network, graças ao Master-Bit nossa criptografia Ciência e Tecnologia

Maior privacidade para usuários do Avance Network, graças ao Master-Bit nossa criptografia

Creme de abobrinha whey e alho-poró Estilo de Vida

Creme de abobrinha whey e alho-poró

Comentários