Ryukはランサムウェアの一種で、通常は大規模な組織を標的にしています。Ryukを扱うグループは、被害者に高額な身代金を要求します。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
Ryukは、2018年以降攻撃者が企業から金銭を搾取するために使用しているランサムウェア*の一種です。Ryukを操る組織は、他のランサムウェア攻撃者と比較してより大きな標的を追跡し、高額な身代金を要求します。Ryukの攻撃は、標的に感染するために、かなりの監視と手作業を伴うという点で特殊性があります。(一般的なランサムウェアグループでは、攻撃に多くの労力をかけると、費用対効果が悪くなります)。
多くのランサムウェア「Ryuk」の攻撃の背後にいるとされるグループは「Wizard Spider」と呼ばれています。Wizard Spiderは、無害なものに偽装された悪意のあるファイルであるTrickBot(マルウェアであるトロイの木馬)も扱っています。
*ランサムウェアとは、主に暗号化によってファイルやデータを開けなくして、身代金を要求する悪意のあるソフトウェア(マルウェア)です。被害を受けた組織が身代金を支払うと、ランサムウェアを操る攻撃者またはグループはリモートでファイルのロックを解除します。
ほとんどの場合、「ウイルス」であるRyukはTrickBotの感染を通じてネットワークに侵入します。TrickBotは様々な方法で組織に侵入します。最も一般的な方法の一つはスパムメールです。また、TrickBotは以前から存在が知られているボットネット「Emotet」を通じた拡散もします。Emotetは悪意のある電子メール(特にWord文書の電子メール添付ファイル)を使用してコンピュータに感染します。
TrickBotがデバイスに感染すると、Wizard Spiderグループはそれを使ってランサムウェア「Ryuk」をインストールします。Ryukはその後、ネットワーク内を水平移動して、セキュリティ警告を作動させることなく接続されたデバイスにできるだけ多く感染します。
Wizard Spiderは、様々な技術を駆使してエクスプロイトを行い、検知されないままネットワーク内にRyukの感染を広めます。これは、グループが、PowerShell(Windowsオペレーティングシステムのユーティリティー)で悪意のあるスクリプトをリモートで実行したり、リモートデスクトッププロトコル(RDP)などを悪用した手動のプロセスである場合もあります。
Ryukが実行されると、感染したすべてのコンピュータ、ネットワークドライブ、およびネットワークリソース上のファイルやデータが暗号化されます。
セキュリティ企業であるCrowdStrike社によると、RyukはRSA-2048とAES-256のアルゴリズムを使用してファイルを暗号化します。RSAは公開鍵暗号化アルゴリズムであり、ファイルやデータを暗号化するための2つの鍵(公開鍵と秘密鍵)を生成します。Wizard Spiderは秘密鍵を保持し、被害者が自分でファイルを復号化できないようにします。
多くのランサムウェアとは異なり、Ryukが積極的に暗号化を試みるのはシステムファイルです。CrowdStrikeの観測によると、Ryukはブートファイルの暗号化を試みるため、これによりホストシステムが不安定になったり、再起動した場合完全にクラッシュすることがあります。
通常、感染したシステムには身代金請求がテキスト(.txt)ファイルとして表示されます。Ryukは、実行時にこのファイルを生成します。身代金要求メッセージには、攻撃者への連絡方法と身代金の支払い方法が指示されています。
通常、Wizard Spiderはビットコインでの支払いを要求し、多くの場合10万ドル以上の身代金を要求します。米国のある都市では、Ryukによる攻撃を受けた後、身代金として46万ドルを支払いました。
2021年、専門家の推定によると、Wizard Spiderが身代金の支払いで得た金額は、1億5,000万ドル以上とされています。
2018年 、Ryukは、感染したTribune Publishing社のソフトウェアを介して、米国内の複数の新聞社に拡散しました。この攻撃により、新聞の印刷が数日間にわたって中断されました。
2020年 、ユニバーサル・ヘルス・サービス社(UHS)は、ランサムウェア「Ryuk」によってITインフラストラクチャがロックされました。同組織の電話システムおよび患者の健康記録へのアクセスができなくなりました。UHSのシステム復旧には約3週間かかり、この攻撃による損失額は6,700万ドルと推定されています。
2020年、UHSの病院に加え、複数の米国の病院がランサムウェア「Ryuk」の攻撃の被害に遭いました。この攻撃により、重要なデータが暗号化され、多くの患者の治療が中断され、処置を遅らせる事態へとなりました。
Hermesは、2017年に初めて使用されるようになった、Ryukとは異なるものの関連するランサムウェアの系統です。Hermesは、ランサムウェアを扱う裏社会で広く流通しています。多くの攻撃者が長年にわたってHermesを使用しており、特定のグループに関連付けられているわけではありません。
ランサムウェア「Ryuk」は、「Hermes」の大部分をベースにしていました。当初、RyukはHermesと多くのコードが共通していましたが、時間の経過とともにWizard SpiderはさらにRyukを改変してきました。
あらゆる脅威を100%防止することができないのと同様に、これらの方法を用いてもランサムウェア「Ryuk」の攻撃を受けないことを保証する方法はありません。しかし、これらの手順によって、感染の可能性を大幅に減らすことはできます。
Zero Trustセキュリティモデルの導入には、Cloudflare Oneがお役に立ちます。Cloudflare Oneは、セキュアアクセスサービスエッジ(SASE)プラットフォームであり、広く拡散したネットワークへの接続性とZero Trustセキュリティを組み込んでいます。
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集