ランサムウェア「Ryuk」とは?

Ryukはランサムウェアの一種で、通常は大規模な組織を標的にしています。Ryukを扱うグループは、被害者に高額な身代金を要求します。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • ランサムウェア「Ryuk」の仕組みを説明する
  • Ryukの背後にいるグループの動きを理解する
  • ランサムウェア「Ryuk」の重大な攻撃を挙げる

記事のリンクをコピーする

ランサムウェア「Ryuk」とは?

Ryukは、2018年以降攻撃者が企業から金銭を搾取するために使用しているランサムウェア*の一種です。Ryukを操る組織は、他のランサムウェア攻撃者と比較してより大きな標的を追跡し、高額な身代金を要求します。Ryukの攻撃は、標的に感染するために、かなりの監視と手作業を伴うという点で特殊性があります。(一般的なランサムウェアグループでは、攻撃に多くの労力をかけると、費用対効果が悪くなります)。

多くのランサムウェア「Ryuk」の攻撃の背後にいるとされるグループは「Wizard Spider」と呼ばれています。Wizard Spiderは、無害なものに偽装された悪意のあるファイルであるTrickBot(マルウェアであるトロイの木馬)も扱っています。

*ランサムウェアとは、主に暗号化によってファイルやデータを開けなくして、身代金を要求する悪意のあるソフトウェア(マルウェア)です。被害を受けた組織が身代金を支払うと、ランサムウェアを操る攻撃者またはグループはリモートでファイルのロックを解除します。

ランサムウェア「Ryuk」が組織に侵入する仕組みは?

ほとんどの場合、「ウイルス」であるRyukはTrickBotの感染を通じてネットワークに侵入します。TrickBotは様々な方法で組織に侵入します。最も一般的な方法の一つはスパムメールです。また、TrickBotは以前から存在が知られているボットネット「Emotet」を通じた拡散もします。Emotetは悪意のある電子メール(特にWord文書の電子メール添付ファイル)を使用してコンピュータに感染します。

TrickBotがデバイスに感染すると、Wizard Spiderグループはそれを使ってランサムウェア「Ryuk」をインストールします。Ryukはその後、ネットワーク内を水平移動して、セキュリティ警告を作動させることなく接続されたデバイスにできるだけ多く感染します。

Wizard Spiderは、様々な技術を駆使してエクスプロイトを行い、検知されないままネットワーク内にRyukの感染���広めます。これは、グループが、PowerShell(Windowsオペレーティングシステムのユーティリティー)で悪意のあるスクリプトをリモートで実行したり、リモートデスクトッププロトコル(RDP)などを悪用した手動のプロセスである場合もあります。

ランサムウェア「Ryuk」の仕組みとは?

Ryukが実行されると、感染したすべてのコンピュータ、ネットワークドライブ、およびネットワークリソース上のファイルやデータが暗号化されます。

セキュリティ企業であるCrowdStrike社によると、RyukはRSA-2048とAES-256のアルゴリズムを使用してファイルを暗号化します。RSAは公開鍵暗号化アルゴリズムであり、ファイルやデータを暗号化するための2つの鍵(公開鍵と秘密鍵)を生成します。Wizard Spiderは秘密鍵を保持し、被害者が自分でファイルを復号化できないようにします。

多くのランサムウェアとは異なり、Ryukが積極的に暗号化を試みるのはシステムファイルです。CrowdStrikeの観測によると、Ryukはブートファイルの暗号化を試みるため、これによりホストシステムが不安定になったり、再起動した場合完全にクラッシュすることがあります。

通常、感染したシステムには身代金請求がテキスト(.txt)ファイルとして表示されます。Ryukは、実行時にこのファイルを生成します。身代金要求メッセージには、攻撃者への連絡方法と身代金の支払い方法が指示されています。

Ryukによる身代金の支払い

通常、Wizard Spiderはビットコインでの支払いを要求し、多くの場合10万ドル以上の身代金を要求します。米国のある都市では、Ryukによる攻撃を受けた後、身代金として46万ドルを支払いました。

2021年、専門家の推定によると、Wizard Spiderが身代金の支払いで得た金額は、1億5,000万ドル以上とされています。

ランサムウェア「Ryuk」の重大な攻撃は?

Tribune Publishing社への攻撃

2018年 、Ryukは、感染したTribune Publishing社のソフトウェアを介して、米国内の複数の新聞社に拡散しました。この攻撃により、新聞の印刷が数日間にわたって中断されました。

ユニバーサル・ヘルス・サービス社(UHS)への感染

2020年 、ユニバーサル・ヘルス・サービス社(UHS)は、ランサムウェア「Ryuk」によってITインフラストラクチャがロックされました。同組織の電話システムおよび患者の健康記録へのアクセスができなくなりました。UHSのシステム復旧には約3週間かかり、この攻撃による損失額は6,700万ドルと推定されています。

2020年、米国の病院への攻撃

2020年、UHSの病院に加え、複数の米国の病院がランサムウェア「Ryuk」の攻撃の被害に遭いました。この攻撃により、重要なデータが暗号化され、多くの患者の治療が中断され、処置を遅らせる事態へとなりました。

ランサムウェア「Ryuk」とランサムウェア「Hermes」との関係は?

Hermesは、2017年に初めて使用されるようになった、Ryukとは異なるものの関連するランサムウェアの系統です。Hermesは、ランサムウェアを扱う裏社会で広く流通しています。多くの攻撃者が長年にわたってHermesを使用しており、特定のグループに関連付けられているわけではありません。

ランサムウェア「Ryuk」は、「Hermes」の大部分をベースにしていました。当初、RyukはHermesと多くのコードが共通していましたが、時間の経過とともにWizard SpiderはさらにRyukを改変してきました。

ランサムウェア「Ryuk」の感染を防ぐには

  • 予期しない電子メールや電子メールの添付ファイルを開かないようにユーザーを教育する:マルウェア感染のほとんどはユーザーの過失によって引き起こされますが、Ryukも例外ではありません。Wizard Spiderグループは多くの場合、独自に組織内にRyukを拡散させることはできますが、最初の感染は通常、ユーザーが悪意のある電子メールの添付ファイルを開いたりダウンロードしたりすることから始まり、結果的にTrickBotやEmotetに感染します。ユーザーへセキュリティトレーニングを実施することで、このような事態の発生を抑えることができます。
  • 既存システムへの感染状況を分析する:Ryukの攻撃の多くは、ネットワークがすでにTrickBotやEmotetといったマルウェアに感染していることが原因です。エンドポイントセキュリティの重要な実施内容であるマルウェア対策製品によるスキャンは、これらの感染を検出し、ネットワーク管理者が感染したデバイスを隔離するのに役立ちます。
  • Zero Trustセキュリティモデルを使用する: Zero Trustネットワークでは、コンピュータデバイスはデフォルトでは信頼されず、デバイスは継続的に再検証される必要があります。このアプローチは、感染したデバイスのアクセスを制限し、ネットワークの侵害を防ぎます。
  • ファイルやデータを定期的にバックアップする:場合によっては、組織は身代金を支払ったり、ITインフラストラクチャ全体を再構築したりする代わりに、バックアップからデータを復元できることもあります。

あらゆる脅威を100%防止することができないのと同様に、これらの方法を用いてもランサムウェア「Ryuk」の攻撃を受けないことを保証する方法はありません。しかし、これらの手順によって、感染の可能性を大幅に減らすことはできます。

Zero Trustセキュリティモデルの導入には、Cloudflare Oneがお役に立ちます。Cloudflare Oneは、セキュアアクセスサービスエッジ(SASE)プラットフォームであり、広く拡散したネットワークへの接続性とZero Trustセキュリティを組み込んでいます。