Proč by se firmy měly zabezpečit před ransomwarem Ryuk?

Ransomware je forma malwaru, která útočníkům umožňuje pomocí šifrovacích technik infikovat celé sítě (včetně souborů a připojených zařízení) a znepřístupnit je, dokud cílová organizace nezaplatí výkupné. Výkupné je obvykle požadováno v některé z kryptoměn, například v bitcoinech, a může dosahovat tisíců nebo i milionů dolarů. Průměrná výše výkupného v roce 2019 dosáhla 12 762 USD, přičemž průměrné náklady na odstávku související s incidentem za pouhé jedno čtvrtletí dosáhly 64 645 USD na firmu.

Útočníci se běžně zaměřují na velké organizace nebo podniky, které pracují s vysoce citlivými a kritickými daty, jako jsou například nemocnice – tato technika se nazývá „lov velké zvěře“. Na rozdíl od jiných forem ransomwaru se kyberzločinci používající malware Ryuk navíc zaměřují na konkrétní jednotlivce a ručně pronikají do sítí firmy. Pomocí opensourcových nástrojů dostupných v síti sbírají útočníci citlivá data, získávají přístup do co nejvíce oblastí firmy a podrobně se seznamují s interním provozem.

Ransomware Ryuk, který vychází ze staršího ransomwaru Hermes, byl poprvé identifikován v roce 2018. Předpokládá se, že byl upraven a vyvinut kyberzločineckou organizací v Rusku. Od roku 2019 zvýšily zločinecké skupiny počet útoků a získaly miliony dolarů na platbách výkupného od finančních institucí, nemocnic a dokonce i obecní státní správy.

Jakmile útočník pomocí ransomwaru Ryuk prolomí zabezpečení sítě a serveru, vypne až 180 služeb a 40 procesů, které systém potřebuje k provozu, a dojde k zašifrování důležitých informací, což je podobné jako u ransomwaru Locky, ransomwaru Cerber a ransomwaru REvil/Sodinokibi.

Když jsou soubory zašifrovány, odstraní ransomware Ryuk původní kopie a všechny stínové kopie pomocí souboru .BAT. To znamená, že všechny pokusy obětí o obnovení dat budou neúspěšné.

Ryuk používá k zakódování souborů symetrické i asymetrické šifrovací algoritmy – podobný způsob jako ransomware Petya a Mischa, který k zašifrování uživatelských dat používá několik metod.

Když ransomware Ryuk dosáhne svých cílů a zasáhne všechny soubory a aplikace v dané síti, vloží do každé složky textový soubor s názvem „RyukReadMe.txt“, ve kterém jsou uvedeny podrobnosti o požadovaném výkupném. Kyberzloději tvrdí, že po zaplacení výkupného bude možné získat kopii šifrovacího klíče, která umožní obnovení souborů.

Vzhledem k tomu, že počet útoků ransomwaru Ryuk stále roste, musí být úřady státní správy a firmy neustále ve střehu. K nejznámějším útokům ransomwaru Ryuk od roku 2018 patří:

• Nemocnice v USA, Německu a Spojeném království (2019–2020): Různé nemocnice v těchto zemích se staly obětí opakovaných útoků malwaru Ryuk. V září 2020 byla společnost Universal Health Services (UHS), která provozuje zdravotnická zařízení ve Spojeném království a USA, napadena malwarem Ryuk. Tento incident stál tuto společnost 67 milionů USD a trvalo měsíc, než se podařilo obnovit veškerý provoz. V září 2020 byla malwarem Ryuk zasažena také síť více než 400 nemocnic v USA a Spojeném království, přičemž v USA bylo při jednom z dosud největších útoků malwaru Ryuk na zdravotnická zařízení postiženo všech 250 zařízení. Malware Ryuk byl v říjnu 2020 údajně zodpovědný za 75 % útoků na zdravotnický sektor v USA.
• Lake City, Florida (2019): Poté, co se zaměstnanec rozhodl otevřít e‑mail, který obsahoval formu malwaru Ryuk, bylo za IT systémy města požadováno výkupné ve výši 460 000 USD. Starosta Lake City potvrdil, že městský úřad zaplatil výkupné, aby znovu získal přístup ke svým datům.
• City of Onkaparinga, Jižní Austrálie (2019): V prosinci 2019 byly IT systémy městské rady Onkaparinga v Adelaide infikovány ransomwarem Ryuk, což si vyžádalo týdenní ztrátu produktivity.
• EMCOR (2020): Společnost EMCOR, která patří do žebříčku Fortune 500, v únoru potvrdila, že několik jejích IT systémů bylo napadeno malwarem Ryuk. Společnost nepotvrdila, zda bylo zaplaceno výkupné.