Hva er Ryuk-løsepengevirus?
Løsepengevirus er en type skadeprogram som gjør det mulig for angripere å bruke krypteringsteknikker for å infisere hele nettverk (inkludert filer og tilhørende enheter), slik at de blir utilgjengelige for bedriften inntil løsepenger er betalt. Løsepengene kreves vanligvis i en form for kryptovaluta, for eksempel Bitcoin, og kan beløpe seg til tusenvis, om ikke millioner av dollar. Gjennomsnittlig løsepengeutbetaling var USD 12 762 i 2019, og den gjennomsnittlige kostnaden for hendelsesrelatert nedetid i løpet av bare ett kvartal var på USD 64 645 per bedrift.
Angriperne retter seg rutinemessig mot store organisasjoner eller bedrifter med svært sensitive, kritiske ressurser, for eksempel sykehus, med en teknikk som kalles «storviltjakt». I motsetning til andre former for løsepengevirus, retter nettkriminelle som bruker Ryuk-skadeprogram seg mot bestemte personer og infiltrerer bedriftens nettverk manuelt. Ved hjelp av verktøy med åpen kildekode som er tilgjengelige på nettverket, høster angriperne sensitive data og får tilgang til så mange deler av virksomheten som mulig, slik at de får detaljert kunnskap om den interne driften.
Historie
Ryuk-løsepengeviruset er basert på det eldre løsepengeviruset Hermes og ble oppdaget i 2018, og det antas å ha blitt tilpasset og utviklet av en nettkriminell organisasjon i Russland. Siden 2019 har kriminelle grupper økt antallet angrep og fått inn millioner av dollar i løsepenger fra finansinstitusjoner, sykehus og til og med lokale myndigheter.
Ryuk-løsepengevirus blir stadig videreutviklet av nettkriminelle grupper som WIZARD SPIDER og avleggeren GRIM SPIDER. Med fremveksten av en ny variant i januar 2021 har Ryuk-løsepengeviruset utviklet ormlignende egenskaper, slik at skadeprogrammet kan spre seg automatisk i nettverk det kommer inn i, som et virus. Dette gjør at det kan spre seg fra system til system i et Windows-domene uten menneskelig inngripen. Gjennom rask kopiering reduseres tiden det tar å infisere nettverk og enheter ytterligere, noe som utgjør en fare for bedrifter.
Hvordan angriper Ryuk bedrifter?
Som de fleste skadeprogrammer leveres Ryuk på flere måter:
-
Spam eller nettfisking via e-post sendes med et infisert vedlegg, som når det åpnes gjør at hackeren får ekstern tilgang til nettverket
-
Spydfisking via e-post er en annen metode der Ryuk-angriperen retter seg mot grupper eller organisasjoner ved å utgi seg for å være en intern eller tilknyttet person. E-poster med Ryuk-løsepengevirusvedlegg kan også sendes fra en falsk e-postadresse, slik at angriperne unngår å bli oppdaget.
- Angrep kan også skje via en RDP-port ved å utnytte svak sikkerhetsbeskyttelse slik at hackere får ekstern tilgang til systemet.
I noen Ryuk-angrep blir nettverket først infisert med en trojaner (ondsinnet innhold skjult i tilsynelatende legitim kode) kjent som Emotet. Trojaneren brukes som et «dropp» for å laste ned Trickbot, en annen form for skadeprogram. Dette gjøres på flere systemer, slik at angriperen kan overvåke flere mål og få tilgang til sensitiv informasjon og påloggingsinformasjon på administratornivå. Deretter sender den nettkriminelle Ryuk til det valgte målet.
I likhet med løsepengevirusene Locky, Cerber og REvil/Sodinokibi, vil Ryuk etter å ha brutt seg inn i nettverket og overlistet serversikkerheten, stenge ned opptil 180 tjenester og 40 prosesser som systemet trenger for å fungere, og deretter krypteres forretningskritisk informasjon.
Når filene er kryptert, sletter Ryuk originaler og eventuelle skyggekopier ved hjelp av en BAT-fil. Dette betyr at alle forsøk på å gjenopprette dataene vil mislykkes.
Ryuk bruker både symmetriske og asymmetriske krypteringsalgoritmer for å kryptere filer, med en metode som ligner på løsepengevirusene Petya og Mischa, som bruker flere metoder for å kryptere brukerdata.
Ryuk påvirker alle filer og programmer i hele nettverket, og når det har nådd målene sine legger den inn en tekstfil kalt RyukReadMe.txt i hver mappe som inneholder opplysninger om løsepengekravet. Hvis det betales løsepenger i henhold til nettyvenes krav, vil en kopi av krypteringsnøkkelen gjøre det mulig å hente ut filene.
Eksempler (kjente angrep)
Ettersom antallet løsepengevirusangrep fra Ryuk fortsetter å øke, må myndigheter og bedrifter være på vakt. Noen av de mest profilerte Ryuk-angrepene siden 2018:
-
Sykehus i USA, Tyskland og Storbritannia (2019–2020): Flere sykehus i disse landene ble utsatt for gjentatte angrep fra skadeprogrammet Ryuk. I september 2020 ble Universal Health Services (UHS), som driver klinikker i Storbritannia og USA, rammet av Ruyk-skadeprogram. Hendelsen kostet selskapet 67 millioner dollar, og det tok en måned før all drift var gjenopptatt. Et nettverk med over 400 sykehus i USA og Storbritannia ble også rammet av skadeprogrammet Ryuk i september 2020, og hele 250 klinikker i USA ble rammet i et av de største Ryuk-angrepene mot sykehus hittil. Ryuk-skadeprogram var angivelig ansvarlig for 75 % av angrepene mot den amerikanske helsesektoren i oktober 2020.
- Lake City i Florida (2019): Etter at en ansatt valgte å åpne en e-post som inneholdt Ryuk-skadeprogram, ble byens IT-systemer kryptert og 460 000 dollar krevd i løsepenger. Borgermesteren i Lake City bekreftet at byens myndigheter betalte løsepengekravet for å få tilbake drifstilgangen.
- Byen Onkaparinga i Sør-Australia (2019): I desember i 2019 ble IT-systemene til Onkaparinga Council i Adelaide infisert med løsepengeviruset Ryuk, noe som kostet en ukes tapt produktivitet.
- EMCOR (2020): I februar bekreftet Fortune 500-selskapet EMCOR at flere av selskapets IT-systemer var rammet av et Ryuk-angrep. Selskapet har ikke bekreftet om det ble betalt løsepenger.
Slik kan bedrifter beskytte seg mot Ryuk
Det ble spådd at løsepengevirus ville koste bedrifter 1,85 millioner dollar i 2021, og innen 2031 vil det utgjøre 265 milliarder dollar på verdensbasis. Bedrifter som forstår hvordan de skal forebygge angrep med løsepengevirus, kan redusere sårbarheten på nett betraktelig. I dag er det flere faktorer som kan øke risikoen for å bli utsatt for angrep, blant annet utdatert programvare eller utdaterte enheter, nettlesere og/eller operativsystemer, svake eller ikke-eksisterende sikkerhetskopier eller manglende investeringer i verktøy for nettsikkerhetsbeskyttelse.
Det er viktig å sørge for at systemene oppdateres regelmessig mot nye og kommende nettrusler ved å installere antivirus- og antiskadeprogramløsninger i hele bedriftsnettverket. Denne programvaren bør også støttes av andre forsvarsmekanismer, som for eksempel:
-
Implementering av en plan for katastrofegjenoppretting: Dette kan understøtte prosessene og protokollene i hele organisasjonen og definere rollene til enkeltpersoner og kontakter som må varsles i tilfelle nettangrep.
- Rollebasert tilgangskontroll: For å minimere risikoen for løsepengevirusangrep, bør man innføre sikkerhetskopiering og prinsippet om minste privilegium. Rollebasert tilgangskontroll (RBAC) kan også gi et ekstra sikkerhetslag ved å begrense de ansattes tilgang til data de ikke trenger for å utføre jobben sin.
Hvordan fjerner jeg Ryuk-løsepengevirus fra virksomheten?
Selv om det kan være mulig å fjerne Ryuk fra en PC eller Mac, er det ikke garantert. Skadevaren fortsetter å utvikle seg og skape nye utfordringer for organisasjoner.
Ved å iverksette forebyggende tiltak, som for eksempel å installere beskyttelse mot skadeprogram, kan du beskytte bedriften mot nettsikkerhetstrusler og sørge for regelmessige oppdateringer av programvare og apper, inkludert korreksjoner for å fikse sårbarheter i nettverket.
Ryuk fortsetter å ramme virksomheter i betydelig grad
Ryuk og andre typer skadeprogram fortsetter å utvikle seg i takt med at kriminelle grupper deler og tilpasser farlige skadeprogrammer, og bedrifter må holde seg oppdatert om alle trusler mot bedriftssikkerheten. Ryuk har også blitt tilpasset til å angripe webservere og utnytter egenskapene til en orm, noe som påvirker driften ytterligere.
For å redusere risikoen for skadeprogram, er det også viktig med robust serversikkerhet, og den valgte nettsikkerhetsløsningen må i tillegg til å beskytte driften også blokkere, oppdage og forebygge risikoen for angrep.