Hvordan angriper Ryuk bedrifter?

Som de fleste skadeprogrammer leveres Ryuk på flere måter:

• Spam eller nettfisking via e-post sendes med et infisert vedlegg, som når det åpnes gjør at hackeren får ekstern tilgang til nettverket
• Spydfisking via e-post er en annen metode der Ryuk-angriperen retter seg mot grupper eller organisasjoner ved å utgi seg for å være en intern eller tilknyttet person. E-poster med Ryuk-løsepengevirusvedlegg kan også sendes fra en falsk e-postadresse, slik at angriperne unngår å bli oppdaget.
• Angrep kan også skje via en RDP-port ved å utnytte svak sikkerhetsbeskyttelse slik at hackere får ekstern tilgang til systemet.

I noen Ryuk-angrep blir nettverket først infisert med en trojaner (ondsinnet innhold skjult i tilsynelatende legitim kode) kjent som Emotet. Trojaneren brukes som et «dropp» for å laste ned Trickbot, en annen form for skadeprogram. Dette gjøres på flere systemer, slik at angriperen kan overvåke flere mål og få tilgang til sensitiv informasjon og påloggingsinformasjon på administratornivå. Deretter sender den nettkriminelle Ryuk til det valgte målet.

I likhet med løsepengevirusene Locky, Cerber og REvil/Sodinokibi, vil Ryuk etter å ha brutt seg inn i nettverket og overlistet serversikkerheten, stenge ned opptil 180 tjenester og 40 prosesser som systemet trenger for å fungere, og deretter krypteres forretningskritisk informasjon.

Når filene er kryptert, sletter Ryuk originaler og eventuelle skyggekopier ved hjelp av en BAT-fil. Dette betyr at alle forsøk på å gjenopprette dataene vil mislykkes.

Ryuk bruker både symmetriske og asymmetriske krypteringsalgoritmer for å kryptere filer, med en metode som ligner på løsepengevirusene Petya og Mischa, som bruker flere metoder for å kryptere brukerdata.

Ryuk påvirker alle filer og programmer i hele nettverket, og når det har nådd målene sine legger den inn en tekstfil kalt RyukReadMe.txt i hver mappe som inneholder opplysninger om løsepengekravet. Hvis det betales løsepenger i henhold til nettyvenes krav, vil en kopi av krypteringsnøkkelen gjøre det mulig å hente ut filene.

Eksempler (kjente angrep)

Ettersom antallet løsepengevirusangrep fra Ryuk fortsetter å øke, må myndigheter og bedrifter være på vakt. Noen av de mest profilerte Ryuk-angrepene siden 2018:

• Sykehus i USA, Tyskland og Storbritannia (2019–2020): Flere sykehus i disse landene ble utsatt for gjentatte angrep fra skadeprogrammet Ryuk. I september 2020 ble Universal Health Services (UHS), som driver klinikker i Storbritannia og USA, rammet av Ruyk-skadeprogram. Hendelsen kostet selskapet 67 millioner dollar, og det tok en måned før all drift var gjenopptatt. Et nettverk med over 400 sykehus i USA og Storbritannia ble også rammet av skadeprogrammet Ryuk i september 2020, og hele 250 klinikker i USA ble rammet i et av de største Ryuk-angrepene mot sykehus hittil. Ryuk-skadeprogram var angivelig ansvarlig for 75 % av angrepene mot den amerikanske helsesektoren i oktober 2020.
• Lake City i Florida (2019): Etter at en ansatt valgte å åpne en e-post som inneholdt Ryuk-skadeprogram, ble byens IT-systemer kryptert og 460 000 dollar krevd i løsepenger. Borgermesteren i Lake City bekreftet at byens myndigheter betalte løsepengekravet for å få tilbake drifstilgangen.
• Byen Onkaparinga i Sør-Australia (2019): I desember i 2019 ble IT-systemene til Onkaparinga Council i Adelaide infisert med løsepengeviruset Ryuk, noe som kostet en ukes tapt produktivitet.
• EMCOR (2020): I februar bekreftet Fortune 500-selskapet EMCOR at flere av selskapets IT-systemer var rammet av et Ryuk-angrep. Selskapet har ikke bekreftet om det ble betalt løsepenger.

Slik kan bedrifter beskytte seg mot Ryuk

Det ble spådd at løsepengevirus ville koste bedrifter 1,85 millioner dollar i 2021, og innen 2031 vil det utgjøre 265 milliarder dollar på verdensbasis. Bedrifter som forstår hvordan de skal forebygge angrep med løsepengevirus, kan redusere sårbarheten på nett betraktelig. I dag er det flere faktorer som kan øke risikoen for å bli utsatt for angrep, blant annet utdatert programvare eller utdaterte enheter, nettlesere og/eller operativsystemer, svake eller ikke-eksisterende sikkerhetskopier eller manglende investeringer i verktøy for nettsikkerhetsbeskyttelse.

Det er viktig å sørge for at systemene oppdateres regelmessig mot nye og kommende nettrusler ved å installere antivirus- og antiskadeprogramløsninger i hele bedriftsnettverket. Denne programvaren bør også støttes av andre forsvarsmekanismer, som for eksempel:

• Implementering av en plan for katastrofegjenoppretting: Dette kan understøtte prosessene og protokollene i hele organisasjonen og definere rollene til enkeltpersoner og kontakter som må varsles i tilfelle nettangrep.
• Rollebasert tilgangskontroll: For å minimere risikoen for løsepengevirusangrep, bør man innføre sikkerhetskopiering og prinsippet om minste privilegium. Rollebasert tilgangskontroll (RBAC) kan også gi et ekstra sikkerhetslag ved å begrense de ansattes tilgang til data de ikke trenger for å utføre jobben sin.

Hvordan fjerner jeg Ryuk-løsepengevirus fra virksomheten?

Selv om det kan være mulig å fjerne Ryuk fra en PC eller Mac, er det ikke garantert. Skadevaren fortsetter å utvikle seg og skape nye utfordringer for organisasjoner.

Ved å iverksette forebyggende tiltak, som for eksempel å installere beskyttelse mot skadeprogram, kan du beskytte bedriften mot nettsikkerhetstrusler og sørge for regelmessige oppdateringer av programvare og apper, inkludert korreksjoner for å fikse sårbarheter i nettverket.