O que é o ransomware Ryuk?

Ryuk é um tipo de ransomware que normalmente tem como alvo grandes organizações. O grupo que opera o Ryuk exige resgates elevados de suas vítimas.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Descreva como funciona o ransomware Ryuk
  • Entenda como opera o grupo por trás do Ryuk
  • Liste alguns dos principais ataques do ransomware Ryuk

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é o ransomware Ryuk?

Ryuk é um tipo de ransomware* que os invasores usam para extorquir dinheiro das empresas desde 2018. As partes que operam o Ryuk perseguem alvos maiores e cobram resgates mais elevados do que a maioria dos invasores de ransomware. Os ataques de Ryuk são incomuns, pois envolvem vigilância e esforço manual consideráveis para infectar seus alvos. (Para os grupos de ransomware típicos, aplicar tanto esforço em um ataque o torna menos rentável).

O grupo supostamente por trás da maioria dos ataques do ransomware Ryuk é chamado Wizard Spider. O Wizard Spider também opera o TrickBot, um malware do tipo cavalo de Troia, que é um arquivo malicioso disfarçado de algo benigno.

*Ransomware é um software malicioso (malware) que bloqueia arquivos e dados, na maioria das vezes por meio de criptografia , e os detém para obter resgate. O invasor ou o grupo que controla o ransomware desbloqueia remotamente os arquivos assim que a organização vitimada paga o resgate.

Como o ransomware Ryuk entra em uma organização?

Na maioria das vezes, o "vírus" Ryuk entra em uma rede por meio de uma infecção pelo TrickBot. O TrickBot pode entrar em uma organização de várias maneiras. O envio de e-mails de spam é um dos métodos mais comuns. O TrickBot também se espalha por meio da botnet Emotet preexistente, que usa e-mails maliciosos, especificamente, anexos de e-mails de documentos do Word, para infectar computadores.

Depois que o TrickBot infecta um dispositivo, o grupo Wizard Spider pode usá-lo para instalar o ransomware Ryuk, que em seguida se move lateralmente dentro da rede, infectando o máximo de dispositivos conectados possível, sem acionar alertas de segurança.

O Wizard Spider usa várias técnicas e exploits para espalhar a infecção Ryuk dentro de uma rede enquanto permanece sem ser detectado. Às vezes este é um processo manual: o grupo pode executar remotamente scripts maliciosos no PowerShell (um utilitário do sistema operacional Windows) ou pode executar o exploit no Protocolo de Desktop Remoto (RDP), entre outros métodos.

Como funciona o ransomware Ryuk?

Uma vez executado, o Ryuk criptografa arquivos e dados em todos os computadores, drives de rede e recursos de rede infectados.

Segundo a empresa de segurança CrowdStrike, o Ryuk usa os algoritmos RSA-2048 e AES-256 para criptografar arquivos. O RSA é um algoritmo de criptografia de chave pública, isto é, ele gera um par de chaves para criptografar arquivos e dados: uma chave pública e uma chave privada. O Wizard Spider detém a chave privada, impedindo que a vítima descriptografe arquivos por conta própria.

Ao contrário da maioria dos ransomwares, o Ryuk tenta ativamente criptografar os arquivos do sistema. Como a CrowdStrike observou, ele tentou criptografar os arquivos de boot, o que tornaria o sistema hospedeiro instável ou o travaria completamente caso fosse reinicializado.

Normalmente, a nota de resgate aparece em um sistema infectado como um arquivo de texto (.txt). O Ryuk gera esse arquivo ao ser executado. A nota de resgate instrui as vítimas sobre como contatar os invasores e pagar o resgate.

Pagamentos de resgate ao Ryuk

O Wizard Spider normalmente solicita o pagamento em Bitcoins, muitas vezes exigindo resgates no valor de US$ 100 mil ou mais. Uma cidade dos EUA pagou US$ 460 mil de resgate após um ataque do Ryuk.

Em 2021, os especialistas estimaram que o Wizard Spider havia ganhado mais de 150 milhões de dólares em pagamentos de resgate.

Quais são alguns dos principais ataques de ransomware Ryuk?

O ataque à Tribune Publishing

Em 2018, o Ryuk se espalhou por vários jornais dos Estados Unidos por meio do software infectado da Tribune Publishing. Os ataques interromperam a impressão dos jornais por vários dias.

A infecção da Universal Health Services (UHS)

Em 2020, a Universal Health Services (UHS) teve sua infraestrutura de TI bloqueada pelo ransomware Ryuk. O sistema telefônico da organização e os prontuários dos pacientes não puderam ser acessados. Levou cerca de três semanas para a UHS restaurar seus sistemas, e eles estimaram perdas de US$ 67 milhões devido ao ataque.

2020 ataques a hospitais americanos

Além dos hospitais da UHS, vários outros hospitais americanos foram vítimas dos ataques do ransomware Ryuk em 2020. Os ataques criptografaram dados essenciais interrompendo tratamentos e atrasando procedimentos de muitos pacientes.

Qual a relação do ransomware Ryuk com o ransomware Hermes?

Hermes é uma cepa de ransomware diferente, mas relacionada, que foi usada pela primeira vez em 2017. O Hermes é amplamente distribuído no submundo dos ransomwares. Muitos invasores têm usado o Hermes ao longo dos anos e ele não está associado a um grupo específico.

O ransomware Ryuk foi amplamente baseado no Hermes. No início, o Ryuk compartilhou muitos códigos com o Hermes, mas com o tempo o Wizard Spider alterou ainda mais o Ryuk.

Como evitar uma infecção pelo ransomware Ryuk

  • Treinar os usuários para evitar a abertura de e-mails e anexos de e-mail inesperados: A maioria das infecções por malware ocorre devido a um erro do usuário, e o Ryuk não é exceção. Embora o grupo Wizard Spider frequentemente possa espalhar o Ryuk em uma organização por conta própria, a infecção inicial geralmente começa porque um usuário abriu ou baixou um anexo de e-mail malicioso, resultando em uma infecção por TrickBot ou Emotet. O treinamento de segurança do usuário pode reduzir a possibilidade de isso acontecer.
  • Analise os sistemas com relação a infecções pré-existentes: Muitos ataques do Ryuk ocorrem porque uma rede já está infectada com um malware TrickBot ou Emotet. O escaneamento feito por um antimalware - uma importante prática de segurança do endpoint - pode ajudar a detectar essas infecções e permitir que os administradores de rede isolem os dispositivos infectados.
  • Use um modelo de segurança Zero Trust: Em uma rede Zero Trust, nenhum dispositivo de computação é confiável por padrão e os dispositivos precisam ser continuamente verificados. Essa abordagem restringe o acesso de dispositivos infectados, evitando o comprometimento da rede.
  • Faça backup de arquivos e dados regularmente: Em alguns casos, uma organização pode restaurar seus dados a partir de um backup em vez de pagar o resgate ou reconstruir toda sua infraestrutura de TI.

Mesmo com esses métodos, não há como garantir que um ataque de ransomware Ryuk não irá ocorrer, assim como não é possível evitar 100% de qualquer ameaça. Entretanto, essas medidas podem reduzir enormemente as chances de uma infecção.

Para obter ajuda na implementação de um modelo de segurança Zero Trust, utilize a Cloudflare One. A Cloudflare One é uma plataforma de serviço de acesso seguro de borda (SASE) com ampla conectividade de rede e modelo de segurança Zero Trust integrado.