Hur riktar Ryuk in sig på företag?

Liksom de flesta andra malware levereras utpressningsprogrammet Ryuk på flera olika sätt:

• Genom att skräppost eller nätfiskemeddelanden med en infekterad bilaga skickas. När bilagan öppnas kan hackaren få fjärråtkomst till nätverket
• Genom att skicka ett riktat nätfiskemeddelande, där Ryuk-angriparen riktar in sig på grupper eller organisationer genom att utge sig för att vara någon inom eller relaterad till företaget. Alla e-postmeddelanden med en bilaga från utpressningsprogrammet Ryuk kan också skickas från en spoofad (förfalskad) e-postadress. Detta gör att angriparna kan undvika att bli upptäckta.
• Via en RDP-port, som utnyttjar svaga säkerhetsskydd och gör det möjligt för hackare att få fjärråtkomst till systemet.

I vissa Ryuk-angrepp infekteras nätverket först med en trojan (skadligt innehåll dolt i till synes legitim kod) som kallas Emotet. Trojanen används som en ”dropper” för att ladda ner Trickbot, en annan form av malware. Detta görs på flera system, vilket gör att angriparen kan övervaka flera mål och komma åt känslig information och administratörsuppgifter. Nätbrottslingen skickar sedan Ryuk till utvalt mål.

I likhet med utpressningsprogrammen Locky, Cerber och REvil/Sodinokibi kommer utpressningsprogrammet Ruyk, när väl hotaktören har brutit sig in i nätverket och serversäkerheten, att stänga ner upp till 180 tjänster och 40 processer som systemet behöver för att fungera. Detta leder till att kritisk information krypteras.

När filerna har krypterats tar utpressningsprogrammet Ryuk bort originalkopiorna och eventuella skuggkopior med hjälp av en .BAT-fil. Detta innebär att alla försök att återställa data kommer att misslyckas.

Ryuk använder både symmetrisk kryptering och asymmetriska krypteringsalgoritmer för att koda filer. En metod som liknar den som används av utpressningsprogrammen Petya och Mischa som använder flera metoder för att kryptera användardata.

Utpressningsprogrammet Ryuk påverkar alla filer och program i nätverket och när det har uppnått sina mål lämnas en textfil som heter ”RyukReadMe.txt” som innehåller de uppgifter som krävs för att begära lösen i alla mappar. När nätbrottslingarna kommit åt lösensumman, om den betalas ut, kommer en kopia av krypteringsnyckeln göra det möjligt att återskapa filerna.

Exempel (kända attacker)

Eftersom antalet angrepp med utpressningsprogrammet Ryuk fortsätter att öka måste myndigheter och företag vara fortsatt vaksamma. Några av de mest uppmärksammade Ryuk-angreppen sedan 2018 inkluderar:

• Sjukhus i USA, Tyskland och Storbritannien (2019–2020): Olika sjukhus i dessa länder drabbades alla av upprepade Ryuk-malwareangrepp. I september 2020 angreps Universal Health Services (UHS), som driver anläggningar i Storbritannien och USA, av Ryuk-malware. Incidenten kostade företaget 67 miljoner USD och det tog en månad innan all verksamhet kunde återupptas. Ett nätverk med över 400 sjukhus i USA och Storbritannien påverkades också av Ryuk-malware i september 2020. Alla 250 anläggningar i USA påverkades i ett av de största Ryuk-angreppen mot medicinska faciliteter hittills. Ryuk-malware uppgavs vara ansvarigt för 75 % av angreppen mot den amerikanska hälso- och sjukvårdssektorn i oktober 2020.
• Lake City, Florida (2019): Efter att en medarbetare öppnat ett e-postmeddelande som innehöll en form av Ryuk-malware krävdes en lösensumma på 460 000 dollar för stadens IT-system. Borgmästaren i Lake City bekräftade att staden betalat den begärda lösensumman för att återfå tillgång till sina verksamheter.
• Onkaparinga, södra Australien (2019): I december 2019 infekterades IT-systemen i Onkaparingas kommun i Adelaide med utpressningsprogrammet Ryuk. Detta ledde till en veckas förlorad produktivitet.
• EMCOR (2020): I februari bekräftade Fortune 500-företaget EMCOR att flera av deras IT-system hade drabbats av ett Ryuk-malwareangrepp. Företaget har inte bekräftat om en lösensumma betalades ut eller inte.

Så här skyddar du företaget mot Ryuk

Det förutspåddes att utpressningsprogram skulle kosta företag 1,85 miljoner dollar år 2021 och att det kommer ha kostat världen 265 miljarder dollar tills år 2031. Företagare som förstår hur de kan förebygga angrepp med utpressningsprogram kan på ett betydande sätt minska sårbarheten i sina onlinelösningar. För närvarande finns det flera faktorer som kan öka risken att utsättas för angrepp, t.ex. föråldrad programvara eller föråldrade enheter, webbläsare och/eller operativsystem som inte har uppdaterats, svaga eller obefintliga säkerhetskopior eller bristande investeringar i verktyg för datorsäkerhetsskydd.

Det är viktigt att se till att systemen regelbundet uppdateras mot nya och kommande hot på internet genom att installera antivirus- och antimalwarelösningar i företagsnätverket. Programvaran bör också stödjas av andra försvarsmekanismer, såsom:

• Implementering av en katastrofplan: Detta kan ligga till grund för processer och protokoll i hela organisationen och definiera rollerna för personer och kontakter som måste underrättas i händelse av ett internetangrepp.
• Rollbaserad åtkomstkontroll: För att minimera risken för angrepp med utpressningsprogram bör man införa säkerhetskopiering och privilegierad åtkomst. Rollbaserad åtkomstkontroll (RBAC) kan också ge ytterligare ett lager av säkerhet genom att begränsa medarbetarnas åtkomst till data som de inte behöver för sina specifika jobbkrav.

Hur tar jag bort utpressningsprogrammet Ryuk från verksamheten?

Även om det kan vara möjligt att ta bort utpressningsprogrammet Ryuk från en PC eller Mac, är det inte garanterat. Malware fortsätter ständigt att utvecklas vilket innebär nya utmaningar för organisationer.

Genom att vidta förebyggande åtgärder, såsom att installera skydd mot malware, kan du skydda företaget mot eventuella hot mot datorsäkerheten. Regelbundna uppdateringar av programvara och program, inklusive uppdateringar för att korrigera eventuella sårbarheter i nätverket bör även införlivas.