Ryuk é um tipo de ransomware que normalmente tem como alvo grandes organizações. O grupo que opera o Ryuk exige resgates elevados de suas vítimas.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Ryuk é um tipo de ransomware* que os invasores usam para extorquir dinheiro das empresas desde 2018. As partes que operam o Ryuk perseguem alvos maiores e cobram resgates mais elevados do que a maioria dos invasores de ransomware. Os ataques de Ryuk são incomuns, pois envolvem vigilância e esforço manual consideráveis para infectar seus alvos. (Para os grupos de ransomware típicos, aplicar tanto esforço em um ataque o torna menos rentável).
O grupo supostamente por trás da maioria dos ataques do ransomware Ryuk é chamado Wizard Spider. O Wizard Spider também opera o TrickBot, um malware do tipo cavalo de Troia, que é um arquivo malicioso disfarçado de algo benigno.
*Ransomware é um software malicioso (malware) que bloqueia arquivos e dados, na maioria das vezes por meio de criptografia , e os detém para obter resgate. O invasor ou o grupo que controla o ransomware desbloqueia remotamente os arquivos assim que a organização vitimada paga o resgate.
Na maioria das vezes, o "vírus" Ryuk entra em uma rede por meio de uma infecção pelo TrickBot. O TrickBot pode entrar em uma organização de várias maneiras. O envio de e-mails de spam é um dos métodos mais comuns. O TrickBot também se espalha por meio da botnet Emotet preexistente, que usa e-mails maliciosos, especificamente, anexos de e-mails de documentos do Word, para infectar computadores.
Depois que o TrickBot infecta um dispositivo, o grupo Wizard Spider pode usá-lo para instalar o ransomware Ryuk, que em seguida se move lateralmente dentro da rede, infectando o máximo de dispositivos conectados possível, sem acionar alertas de segurança.
O Wizard Spider usa várias técnicas e exploits para espalhar a infecção Ryuk dentro de uma rede enquanto permanece sem ser detectado. Às vezes este é um processo manual: o grupo pode executar remotamente scripts maliciosos no PowerShell (um utilitário do sistema operacional Windows) ou pode executar o exploit no Protocolo de Desktop Remoto (RDP), entre outros métodos.
Uma vez executado, o Ryuk criptografa arquivos e dados em todos os computadores, drives de rede e recursos de rede infectados.
Segundo a empresa de segurança CrowdStrike, o Ryuk usa os algoritmos RSA-2048 e AES-256 para criptografar arquivos. O RSA é um algoritmo de criptografia de chave pública, isto é, ele gera um par de chaves para criptografar arquivos e dados: uma chave pública e uma chave privada. O Wizard Spider detém a chave privada, impedindo que a vítima descriptografe arquivos por conta própria.
Ao contrário da maioria dos ransomwares, o Ryuk tenta ativamente criptografar os arquivos do sistema. Como a CrowdStrike observou, ele tentou criptografar os arquivos de boot, o que tornaria o sistema hospedeiro instável ou o travaria completamente caso fosse reinicializado.
Normalmente, a nota de resgate aparece em um sistema infectado como um arquivo de texto (.txt). O Ryuk gera esse arquivo ao ser executado. A nota de resgate instrui as vítimas sobre como contatar os invasores e pagar o resgate.
O Wizard Spider normalmente solicita o pagamento em Bitcoins, muitas vezes exigindo resgates no valor de US$ 100 mil ou mais. Uma cidade dos EUA pagou US$ 460 mil de resgate após um ataque do Ryuk.
Em 2021, os especialistas estimaram que o Wizard Spider havia ganhado mais de 150 milhões de dólares em pagamentos de resgate.
Em 2018, o Ryuk se espalhou por vários jornais dos Estados Unidos por meio do software infectado da Tribune Publishing. Os ataques interromperam a impressão dos jornais por vários dias.
Em 2020, a Universal Health Services (UHS) teve sua infraestrutura de TI bloqueada pelo ransomware Ryuk. O sistema telefônico da organização e os prontuários dos pacientes não puderam ser acessados. Levou cerca de três semanas para a UHS restaurar seus sistemas, e eles estimaram perdas de US$ 67 milhões devido ao ataque.
Além dos hospitais da UHS, vários outros hospitais americanos foram vítimas dos ataques do ransomware Ryuk em 2020. Os ataques criptografaram dados essenciais interrompendo tratamentos e atrasando procedimentos de muitos pacientes.
Hermes é uma cepa de ransomware diferente, mas relacionada, que foi usada pela primeira vez em 2017. O Hermes é amplamente distribuído no submundo dos ransomwares. Muitos invasores têm usado o Hermes ao longo dos anos e ele não está associado a um grupo específico.
O ransomware Ryuk foi amplamente baseado no Hermes. No início, o Ryuk compartilhou muitos códigos com o Hermes, mas com o tempo o Wizard Spider alterou ainda mais o Ryuk.
Mesmo com esses métodos, não há como garantir que um ataque de ransomware Ryuk não irá ocorrer, assim como não é possível evitar 100% de qualquer ameaça. Entretanto, essas medidas podem reduzir enormemente as chances de uma infecção.
Para obter ajuda na implementação de um modelo de segurança Zero Trust, utilize a Cloudflare One. A Cloudflare One é uma plataforma de serviço de acesso seguro de borda (SASE) com ampla conectividade de rede e modelo de segurança Zero Trust integrado.