Wat is Ryuk-ransomware?
Ransomware is een vorm van malware waarmee aanvallers versleutelingstechnieken kunnen gebruiken om hele netwerken te infecteren (inclusief bestanden en bijbehorende apparaten). Deze worden dan ontoegankelijk voor het doelbedrijf totdat er losgeld wordt betaald. Het geëiste losgeld is meestal een vorm van cryptovaluta, zoals Bitcoin, en kan duizenden, zo niet miljoenen dollars bedragen. In 2019 bedroeg de gemiddelde losgeldbetaling $ 12.762 en bedroegen de gemiddelde kosten van downtime als gevolg van ransomware $ 64.645 per bedrijf in slechts één kwartaal.
Aanvallers richten zich vooral op grote organisaties of bedrijven met zeer gevoelige, kritieke bedrijfsmiddelen, zoals ziekenhuizen. Deze techniek wordt ook wel 'jacht op groot wild' genoemd. In tegenstelling tot andere vormen van ransomware richten cybercriminelen die Ryuk-malware gebruiken zich ook op specifieke personen en infiltreren ze de bedrijfsnetwerken handmatig. Met behulp van opensourcetools die op het netwerk beschikbaar zijn, verzamelen aanvallers gevoelige gegevens en krijgen ze toegang tot veel gebieden van het bedrijf. Zo bouwen ze gedetailleerde kennis op van de interne bedrijfsvoering.
Geschiedenis
Ryuk-ransomware, gebaseerd op de oudere ransomware Hermes, werd voor het eerst geïdentificeerd in 2018. Er wordt algemeen aangenomen dat Ryuk aangepast en ontwikkeld is door een cybercriminele organisatie in Rusland. Sinds 2019 hebben criminele groeperingen het aantal aanvallen opgevoerd en miljoenen dollars aan losgeld losgepeuterd van financiële instellingen, ziekenhuizen en zelfs lokale overheden.
Ryuk-ransomware wordt nog steeds verder ontwikkeld door cybercriminele groeperingen, zoals WIZARD SPIDER en hun spin-off GRIM SPIDER. Door de opkomst van een nieuwe variant in januari 2021 heeft Ryuk-ransomware wormachtige mogelijkheden verworven. Hierdoor kan de malware zich automatisch binnen gehackte netwerken verspreiden, net als een virus. Zo kan het zonder menselijke tussenkomst overspringen van systeem naar systeem binnen een Windows-domein. Door zich snel te vermenigvuldigen, is er nog minder tijd nodig om netwerken en apparaten te infecteren, wat voor bedrijven heel gevaarlijk is.
Hoe richt Ryuk zich op bedrijven?
Zoals de meeste malware wordt Ryuk-ransomware op verschillende manieren afgeleverd:
-
Door verzending van spam of een phishingmail met een geïnfecteerde bijlage. Wanneer de bijlage wordt geopend, krijgt de hacker op afstand toegang tot uw netwerk
-
Het verzenden van een spear phishingmail. Hierbij valt de Ryuk-aanvaller groepen of organisaties aan door zich voor te doen als iemand binnen of gerelateerd aan het bedrijf. Alle e‑mails met een Ryuk-ransomwarebijlage kunnen ook worden verzonden vanaf een gespoofd (vervalst) e‑mailadres, zodat aanvallers niet worden opgemerkt.
- Via een RDP-poort. Hierbij wordt misbruik gemaakt van de zwakke beveiliging en verschaffen hackers zich op afstand toegang tot uw systeem.
Bij sommige Ryuk-aanvallen wordt het netwerk eerst geïnfecteerd met een Trojaans paard (schadelijke content verborgen in ogenschijnlijk legitieme code), die bekend staat als Emotet. Het Trojaanse paard wordt gebruikt als een 'dropper' om Trickbot, een andere vorm van malware, te downloaden. Dit gebeurt op meerdere systemen. Hierdoor kan de aanvaller meerdere doelen in de gaten houden en toegang krijgen tot gevoelige informatie en inloggegevens. Vervolgens implementeert de cybercrimineel Ryuk in het gekozen doelwit.
Zodra de aanvaller uw netwerk en serverbeveiliging is binnengedrongen met Ryuk-ransomware, kunnen net als bij Locky-ransomware, Cerber-ransomware en REvil/Sodinokibi-ransomware 180 services en 40 processen worden uitgeschakeld die uw systeem nodig heeft om te werken. Hierdoor wordt uw kritieke informatie versleuteld.
Zodra uw bestanden zijn versleuteld, verwijdert Ryuk-ransomware de originele kopieën en eventuele schaduwkopieën met behulp van een .BAT-bestand. Zo hebben slachtoffers geen kans om hun gegevens terug te krijgen.
Ryuk gebruikt zowel symmetrische als asymmetrische versleutelingsalgoritmen om bestanden te versleutelen. Deze methode is vergelijkbaar met die van Petya- en Mischa-ransomware, die verschillende methoden gebruikt om gebruikersgegevens te versleutelen.
De Ryuk-ransomware is gericht op alle bestanden en toepassingen in het netwerk. Zodra de ransomware zijn doel heeft bereikt, wordt in elke map een tekstbestand geplaatst met de naam RyukReadMe.txt. Hierin staan de details van het losgeldverzoek. De cyberdieven beweren vervolgens dat het slachtoffer de bestanden na betaling van het losgeld kan terugkrijgen met een kopie van de versleutelingscode.
Voorbeelden (bekende aanvallen)
Aangezien het aantal aanvallen met Ryuk-ransomware blijft toenemen, moeten overheden en bedrijven waakzaam blijven. Enkele bekende Ryuk-aanvallen sinds 2018 zijn:
-
Ziekenhuizen in de VS, Duitsland en het VK (2019-2020): Verschillende ziekenhuizen in deze landen waren het slachtoffer van herhaalde aanvallen van Ryuk-malware. In september 2020 werd Universal Health Services (UHS), die faciliteiten beheert in het Verenigd Koninkrijk en de Verenigde Staten, getroffen door Ryuk-malware. Het incident kostte het bedrijf 67 miljoen dollar en het duurde een maand voordat alle activiteiten weer voortgezet konden worden. In september 2020 werd ook een netwerk van meer dan 400 ziekenhuizen in de VS en het VK getroffen door Ryuk-malware. Hierbij ging het om alle 250 faciliteiten in de VS in een van de grootste medische Ryuk-aanvallen tot nu toe. Ryuk-malware was naar verluidt verantwoordelijk voor 75% van de aanvallen op de gezondheidszorg in de VS in oktober 2020.
- Lake City, Florida (2019): Nadat een werknemer een e‑mail opende met een vorm van Ryuk-malware, werden de IT-systemen van de stad in de greep van criminelen gehouden voor een losgeld van $ 460.000. De burgemeester van Lake City bevestigde dat het stadsbestuur aan het losgeldverzoek had voldaan om weer toegang te krijgen tot zijn activiteiten.
- City of Onkaparinga, Zuid-Australië (2019): In december 2019 werden de IT-systemen van de Onkaparinga Council in Adelaide geïnfecteerd met Ryuk-ransomware, wat tot een week productiviteitsverlies leidde.
- EMCOR (2020): In februari meldde het Fortune 500-bedrijf EMCOR dat verschillende IT-systemen waren getroffen door een aanval van Ryuk-malware. Het bedrijf heeft niet bevestigd of er losgeld is betaald.
Hoe u uw bedrijf beschermt tegen Ryuk
Er is voorspeld dat bedrijven in 2021 een verlies van $ 1,85 miljoen zouden leiden als gevolg van ransomware en dat de kosten in 2031 wereldwijd $ 265 miljard zullen bedragen. Bedrijven die weten hoe ransomwareaanvallen worden voorkomen, kunnen hun online kwetsbaarheid aanzienlijk beperken. Er zijn verschillende factoren waardoor u meer risico loopt om doelwit te worden, zoals verouderde software of apparaten, niet-gepatchte browsers en/of besturingssystemen, zwakke of niet-bestaande back-ups of onvoldoende geïnvesteerd in tools voor cyberbeveiliging.
Het is uiterst belangrijk dat uw systemen regelmatig worden bijgewerkt om bescherming te bieden tegen nieuwe en opkomende cyberbedreigingen. Hiervoor moet u antimalware- en antivirussoftware installeren op uw bedrijfsnetwerk. Deze software moet ook worden aangevuld met andere verdedigingsmechanismen, zoals:
-
De implementatie van een plan voor noodherstel: Hiermee kunnen de processen en protocollen binnen uw organisatie worden ondersteund en worden de rollen gedefinieerd voor individuen en contactpersonen die op de hoogte moeten worden gebracht bij een cyberaanval.
- Op rollen gebaseerde toegangscontrole: Definieer back-ups en toegang met minimale rechten om het risico op ransomwareaanvallen te minimaliseren. Op rollen gebaseerde toegangscontrole (RBAC) kan ook een extra beveiligingslaag bieden door werknemers geen toegang te geven tot gegevens die ze niet nodig hebben voor hun specifieke functievereisten.
Hoe verwijder ik Ryuk-ransomware uit mijn activiteiten?
Ryuk-ransomware kan weliswaar van een pc of Mac worden verwijderd, maar er is geen garantie dat dit lukt. Deze malware wordt steeds verder ontwikkeld en brengt nieuwe uitdagingen voor organisaties met zich mee.
Het implementeren van preventieve maatregelen, zoals het installeren van antimalware, kan uw bedrijf beschermen tegen dreigingen voor de cyberbeveiliging. Ook is het belangrijk om regelmatig software en toepassingen bij te werken, inclusief patches om eventuele kwetsbaarheden in het netwerk te verhelpen.
Ryuk blijft een aanzienlijke impact hebben op de bedrijfsprestaties
Ryuk en andere soorten malware veranderen voortdurend, omdat criminele groepen de gevaarlijke malware delen en aanpassen. Het is belangrijk dat bedrijven op de hoogte blijven van alle dreigingen voor de bedrijfsbeveiliging. Ryuk-ransomware is nu ook aangepast zodat webservers kunnen worden aangevallen. Bovendien worden de mogelijkheden van een computerworm gebruikt die de bedrijfsvoering verder verslechterd.
Ook een robuuste serverbeveiliging is essentieel om het risico van malware te verkleinen. De gekozen cyberbeveiligingsoplossing moet zowel de bedrijfsprestaties verbeteren als aanvallen blokkeren, detecteren en voorkomen.
© 2024 Gen Digital Inc.