Hvordan målretter Ryuk-malwaren sig mod virksomheder?

Som de fleste typer malware angriber Ryuk ransomware på flere måder:

• Afsendelse af en spam- eller phishing-mail med en inficeret vedhæftet fil, der giver hackeren mulighed for at få fjernadgang til dit netværk, hvis du åbner den
• Afsendelse af en spear-phishing-mail, hvor Ryuk-angriberen går efter grupper eller organisationer ved at udgive sig for at være en person i eller relateret til virksomheden. Alle mails med en vedhæftet fil med Ryuk ransomware kan også sendes fra en spoofed (forfalsket) mailadresse, så angriberne kan undgå at blive opdaget.
• Gennem en RDP-port, hvor den udnytter en eventuel svag sikkerhedsbeskyttelse og gør det muligt for hackere at få fjernadgang til dit system.

Ved nogle Ryuk-angreb bliver netværket først inficeret med en trojansk hest (skadeligt indhold skjult i tilsyneladende legitim kode), kendt som Emotet. Den trojanske hest bruges som en 'dropper' til at downloade Trickbot, der er en anden form for malware. Dette gøres på flere systemer, så angriberen kan overvåge flere mål og få adgang til følsomme oplysninger og administrative legitimationsoplysninger. Den cyberkriminelle implementerer derefter Ryuk på sit udvalgte mål.

I lighed med Locky-ransomware, Cerber-ransomware og REvil/Sodinokibi-ransomware vil trusselsaktøren, når den har brudt dit netværk og serversikkerhed med Ryuk ransomware, lukke ned for op til 180 tjenester og 40 processer, som dit system skal bruge for at fungere, hvilket resulterer i at dine kritiske oplysninger bliver krypteret.

Når dine filer er blevet krypteret, sletter Ryuk ransomware de originale kopier og eventuelle sikkerhedskopier ved hjælp af en .BAT-fil. Det betyder, at alle ofrenes forsøg på at gendanne deres data vil mislykkes.

Ryuk bruger både symmetriske krypterings og asymmetriske krypteringsalgoritmer til at kryptere filer på samme måde som Petya- og Mischa-ransomware, der bruger mange forskellige metoder til at kryptere brugerdata.

Ryuk ransomware påvirker alle filer og programmer i netværket. Når den har fuldført sin funktion, placerer den en tekstfil kaldet "RyukReadMe.txt" med de nødvendige oplysninger til at betale løsepenge i alle filmapper. Hvis løsesummen betales, vil en kopi af krypteringsnøglen, ifølge cybertyvene, gøre det muligt at gendanne filerne.

Eksempler (berømte angreb)

Da antallet af Ryuk-ransomwareangreb fortsætter med at stige, skal myndigheder og virksomheder forblive årvågne. Nogle af de højest profilerede Ryuk-angreb siden 2018:

• Hospitaler i USA, Tyskland og Storbritannien (2019-2020): Adskillige hospitaler i disse lande var alle ofre for gentagne Ryuk-malwareangreb. I september 2020 blev Universal Health Services (UHS), som driver hospitaler og sundhedscentre i Storbritannien og USA, ramt af Ryuk-malware. Hændelsen kostede 67 millioner dollars, og det tog en måned, før al drift kunne genoptages. Et netværk på over 400 hospitaler i USA og Storbritannien blev også ramt af Ryuk-malware i september 2020, hvor 250 hospitaler og sundhedscentre i USA blev ramt i et af de største Ryuk-angreb rettet mod sundhedsplejen til dato. Ryuk-malware var angiveligt ansvarlig for 75 % af angrebene på den amerikanske sundhedssektor i oktober 2020.
• Lake City, Florida (2019): Fordi en medarbejder valgte at åbne en mail med Ryuk-malware, blev byen afkrævet en løsesum på 460.000 dollars for at frigive deres IT-systemer. Borgmesteren i Lake City har bekræftet, at byens myndigheder betalte løsesummen for at genoprette driften.
• Onkaparinga, Sydaustralien (2019): I december 2019 blev IT-systemerne hos Onkaparinga Council i Adelaide inficeret med Ryuk ransomware, hvilket kostede en uges produktivitet.
• EMCOR (2020): I februar bekræftede Fortune 500-virksomheden EMCOR, at flere af deres IT-systemer var blevet ramt af et Ryuk-malwareangreb. Virksomheden har ikke bekræftet, om der blev betalt løsepenge.

Sådan beskytter du din virksomhed mod Ryuk

Man estimerede, at ransomware ville koste virksomheder 1,85 millioner dollars i 2021, og at det vil koste verden 265 milliarder dollars i 2031. Virksomheder kan reducere deres sårbarhed online betydeligt, hvis de forstår at forhindre malwareangreb. På nuværende tidspunkt kan flere faktorer øge din risiko for at blive angrebet, herunder forældet software eller enheder, browsere og/eller operativsystemer, der ikke er opdaterede, svage eller ikke-eksisterende backups eller manglende investering i cybersikkerhedsværktøjer.

Det er afgørende at sikre, at dine systemer regelmæssigt bliver opdateret ved at installere antivirus- og antimalwareløsninger på hele dit virksomhedsnetværk for at beskytte dig mod nye og kommende cybertrusler. Denne software bør også understøttes af andre defensive mekanismer, f.eks:

• Implementering af et IT-katastrofeberedskab: Det kan understøtte processer og protokoller på tværs af din organisation og definere rollerne for de personer og kontakter, der skal underrettes i tilfælde af et cyberangreb.
• Rollebaseret adgangskontrol: Indførelse af backups og adgangsprotokoller med færrest mulige privilegier bør implementeres for at minimere risikoen for ransomwareangreb. Rollebaseret adgangskontrol (RBAC) kan også give et ekstra lag af sikkerhed ved at begrænse medarbejdernes adgang til data, som de ikke har brug for, for at kunne udføre deres specifikke job.

Sådan fjerner du Ryuk ransomware fra din computer

Selvom det kan være muligt at fjerne Ryuk ransomware fra en pc eller Mac, er der ingen garantier. Malwaren fortsætter med at udvikle sig og skabe nye udfordringer for organisationer.

Ved at implementere forebyggende foranstaltninger, såsom at installere beskyttelse mod malware, kan du beskytte din virksomhed mod cybersikkerhedstrusler og indarbejde regelmæssige opdateringer af software og programmer, herunder opdateringer til at rette eventuelle sårbarheder på dit netværk.