W jaki sposób Ryuk atakuje firmy?

Ryuk przedostaje się do sieci na kilka sposobów, podobnie jak większość oprogramowania destrukcyjnego:

• Wysłanie spamu lub wiadomości e‑mail wyłudzającej dane i zawierającej zainfekowany załącznik, którego otwarcie daje hakerowi zdalny dostęp do sieci.
• Wysłanie ukierunkowanej wiadomości wyłudzającej dane (tzw. „spear-phishing”). W ten sposób haker używający oprogramowania Ryuk podszywa się pod pracownika firmy lub osobę z nią powiązaną. Wszystkie wiadomości e‑mail z załącznikami zawierającymi oprogramowanie Ryuk mogą też być wysyłane ze sfałszowanego adresu, dzięki czemu hakerzy mogą uniknąć wykrycia.
• Poprzez port RDP i wykorzystanie jego słabych zabezpieczeń. Umożliwia to hakerom zdalne uzyskanie dostępu do systemu.

Niektóre ataki oprogramowania Ryuk są poprzedzane infekcją trojanem (złośliwą treścią ukrytą w pozornie zwyczajnym kodzie) o nazwie Emotet. Ten trojan jest wykorzystywany do pobrania innego oprogramowania destrukcyjnego o nazwie Trickbot. Ten proces powtarza się w wielu systemach, co pozwala hakerom obserwować firmę z wielu punktów, aby dostać się do poufnych informacji i poświadczeń administratora. Wtedy cyberprzestępca przesyła oprogramowanie Ryuk do wybranego celu.

Atak za pomocą oprogramowania Ryuk działa podobnie jak w przypadku oprogramowania Locky, Cerber lub REvil/Sodinokibi. Gdy haker ominie zabezpieczenia serwera i dostanie się do sieci za pomocą programu Ryuk, może zamknąć nawet 180 usług i 40 procesów wymaganych przez system, doprowadzając do zaszyfrowania kluczowych informacji.

Po zaszyfrowaniu plików Ryuk usuwa ich oryginalne kopie oraz kopie tymczasowe w formacie .BAT. Próby odzyskania danych zakończą się więc niepowodzeniem.

Ryuk używa do kodowania zarówno plików szyfrowania symetrycznego, jak i asymetrycznego. To metoda podobna do oprogramowania Petya i Misha, które szyfruje dane użytkowników na kilka sposobów.

Oprogramowanie Ryuk atakuje wszystkie pliki i aplikacje w sieci. Gdy osiągnie swój cel, umieszcza w każdym folderze plik tekstowy „RyukReadMe.txt” zawierający szczegółowe żądanie okupu. Cyberzłodzieje zapewniają, że po zapłaceniu okupu udostępnią klucz pozwalający odszyfrować i odzyskać pliki.

Przykłady (słynne ataki)

Liczba ataków za pomocą oprogramowania Ryuk stale rośnie, więc rządy i firmy muszą zachować czujność. Niektóre z najbardziej znanych ataków oprogramowania Ryuk od 2018 roku obejmują:

• Szpitale w USA, Niemczech i Wielkiej Brytanii (2019-2020): Szpitale w tych trzech krajach zostały wielokrotnie zaatakowane za pomocą oprogramowania Ryuk. Firma Universal Health Services (UHS), kierująca placówkami w Wielkiej Brytanii i USA, była celem niektórych z tych ataków we wrześniu 2020 roku. Firma straciła przez ten incydent 67 mln USD, a pełne wznowienie pracy zajęło miesiąc. Oprogramowanie Ryuk zaatakowało też sieć ponad 400 szpitali w USA i Wielkiej Brytanii we wrześniu 2020 roku. Szkody poniosły wszystkie z 250 placówek w USA, co stanowi jeden z największych odnotowanych ataków za pomocą oprogramowania Ryuk. Oprogramowanie Ryuk było według niektórych raportów odpowiedzialne za 75% ataków na amerykańskie placówki zdrowotne w październiku 2020 roku.
• Lake City, Floryda (2019): Po otworzeniu przez pracownika wiadomości e‑mail zawierającej formę oprogramowania Ryuk systemy informatyczne zostały zablokowane i zażądano okupu w wysokości 460 tys. USD. Burmistrz Lake City potwierdziła, że władze miasta zapłaciły okup w celu odzyskania dostępu do niezbędnych systemów.
• City of Onkaparinga, Australia Południowa (2019): Systemy rady miasta Onkaparinga zostały zainfekowane przez oprogramowanie Ryuk w grudniu 2019 roku, co spowodowało tygodniowy przestój w pracy.
• EMCOR (2020): Firma EMCOR z listy Fortune 500 potwierdziła w lutym, że niektóre z jej systemów informatycznych były celem ataku oprogramowania Ryuk. Nie potwierdziła, czy zapłacono okup.

Jak chronić firmę przed oprogramowaniem Ryuk

Przewidywany koszt dla firm spowodowany oprogramowaniem wymuszającym okup wyniósł 1,85 miliona USD w 2021 roku. Szacuje się, że do 2031 roku te koszty wzrosną do 265 miliardów USD. Firmy, które wiedzą, jak zapobiegać atakom oprogramowania wymuszającego okup, mogą znacząco zredukować swoje luki w zabezpieczeniach online. Istnieje obecnie kilka czynników mogących zwiększyć ryzyko ataku. Obejmują one nieaktualne oprogramowanie lub urządzenia, brak najnowszych poprawek przeglądarek lub systemów operacyjnych, niekompletne kopie zapasowe lub ich brak oraz niewystarczająca inwestycja w narzędzia ochrony bezpieczeństwa w Internecie.

Instalacja aktualnych rozwiązań antywirusowych i chroniących przed oprogramowaniem destrukcyjnym w całej sieci firmowej to bardzo ważny środek ochrony systemów przed nowymi i przyszłymi cyberzagrożeniami. Takie oprogramowanie należy uzupełnić innymi metodami obrony, takimi jak:

• Wdrożenie awaryjnego planu odzyskiwania danych: Może to oznaczać procesy i protokoły w całej organizacji oraz określenie kluczowych osób i podmiotów, z którymi należy nawiązać kontakt w razie cyberataku.
• Kontrola dostępu oparta na rolach: Należy stosować kopie zapasowe i zasadę minimalnego dostępu, aby zmniejszyć ryzyko ataków oprogramowania wymuszającego okup. Kontrola dostępu oparta na rolach (RBAC) może także zapewniać dodatkową warstwę ochrony. Ogranicza ona dostęp pracowników do danych, których nie wymaga ich zakres obowiązków.

Jak usunąć oprogramowanie Ryuk z systemów firmy?

Usunięcie oprogramowania Ryuk z komputera PC lub Mac jest możliwe, ale nie ma gwarancji powodzenia. To oprogramowanie stale ewoluuje i stwarza nowe problemy dla organizacji.

Stosowanie środków zaradczych, takich jak ochrona przed oprogramowaniem destrukcyjnym, może ochronić firmę przed zagrożeniami pochodzącymi z Internetu. Może to również pomóc regularnie aktualizować oprogramowanie i aplikacje, w tym instalować poprawki łatające luki w zabezpieczeniach sieci.