Ryuk 是一种勒索软件,通常针对非常大的组织。操作 Ryuk 的团体要求受害者支付昂贵的赎金。
阅读本文后,您将能够:
复制文章链接
Ryuk 是一种勒索软件*,攻击者从 2018 年开始使用此软件向企业勒索钱财。运营 Ryuk 的各方追求更大的目标,并收取比大多数勒索软件攻击者更高的赎金。Ryuk 攻击的不寻常之处在于,它们通过大量的监视和人工努力来感染其目标。(对于典型的勒索软件集团来说,在攻击中投入如此多的精力会使其成本效益降低)。
据称,大多数 Ryuk 勒索软件攻击背后的组织被称为 Wizard Spider。Wizard Spider 还经营 TrickBot,这是一个恶意软件特洛伊木马,它是一个伪装成良性的恶意文件。
*勒索软件是一种恶意软件,它锁住文件和数据(最常见的方式是通过 加密 )并以此索取赎金。一旦受害机构支付赎金,控制勒索软件的攻击者或团体就会远程解锁文件。
大多数情况下,Ryuk“病毒”通过 TrickBot 感染进入网络。TrickBot 可以通过多种方式进入组织。垃圾邮件是最常见的方法之一。TrickBot 还通过先前存在的 Emotet 僵尸网络传播,该僵尸网络使用恶意电子邮件(特别是 Word 文档电子邮件附件)来感染计算机。
一旦 TrickBot 感染了一个设备,Wizard Spider 组织就可以利用它来安装 Ryuk 勒索软件。然后 Ryuk 在网络内横向移动,在不触发安全警报的情况下感染尽可能多的连接设备。
Wizard Spider 利用各种技术和漏洞,在网络内传播 Ryuk 感染,同时不被发现。有时这是一个手动过程——该集团可以在 PowerShell(Windows 操作系统中的一个工具)中远程运行恶意脚本,或利用远程桌面协议 (RDP) 以及其他方法。
一旦 Ryuk 执行,它将加密所有受感染的计算机、网络驱动器和网络资源上的文件和数据。
据安全公司 CrowdStrike 称,Ryuk 使用 RSA-2048 和 AES-256 算法来加密文件。RSA 是一种公钥加密算法,意味着它生成一对用于加密文件和数据的密钥:公钥和私钥。Wizard Spider 持有私钥,防止受害者自行解密文件。
与大多数勒索软件不同,Ryuk 积极尝试加密系统文件。正如 CrowdStrike 所观察到的,它试图加密启动文件,这将使主机系统不稳定,或者在重新启动时完全崩溃。
通常情况下,勒索信以文本 (.txt) 文件的形式出现在受感染的系统上。 Ryuk 在执行时会生成这个文件。勒索信指示受害者如何联系攻击者并支付赎金。
Wizard Spider 通常要求用比特币付款,经常要求价值 10 万美元或更多的赎金。一个美国城市在遭受 Ryuk 攻击后支付了 46 万美元作为赎金。
专家估计,Wizard Spider 在 2021 年已经赚取了超过 1.5 亿美元的赎金。
2018 年,Ryuk 通过被感染的 Tribune Publishing 软件传播到美国各地的几家报纸。这些攻击使报纸印刷中断了几天。
2020 年,Universal Health Services (UHS) 的 IT 基础设施被 Ryuk 勒索软件锁定。该组织的电话系统和病人健康记录无法访问。UHS 花了大约三周的时间来恢复他们的系统,他们估计这次攻击造成的损失为 6700 万美元。
除 UHS 医院外,其他几家美国医院在 2020 年也成为 Ryuk 勒索软件攻击的受害者。这些攻击加密了关键数据,扰乱了治疗,延误了许多病人的手术。
Hermes 是一种不同但相关的勒索软件,于 2017 年首次投入使用。Hermes 在勒索软件的地下世界中被广泛传播。多年来,许多攻击者都使用过 Hermes,而且它未关联至某个特定团体。
Ryuk 勒索软件主要基于 Hermes。起初,Ryuk 与 Hermes 共享大量代码,但随着时间的推移,Wizard Spider 进一步改变了 Ryuk。
即使使用这些方法,也无法保证 Ryuk 勒索软件的攻击不会发生,就像无法 100% 防止任何威胁一样。然而,这些步骤可以大大减少感染的机会。
如在实施零信任安全模式方面需要帮助,可使用 Cloudflare One。Cloudflare One 是一个安全访问服务边缘 (SASE) 平台,具有广泛的网络连接和内置的零信任安全。