Ryuk 是一種勒索軟體,通常針對非常大的組織。操作 Ryuk 的團體要求受害者支付昂貴的贖金。
閱讀本文後,您將能夠:
複製文章連結
Ryuk 是一種勒索軟體*,攻擊者從 2018 年開始使用此軟體向企業勒索錢財。操作 Ryuk 的各方追求更大的目標,並收取比大多數勒索軟體攻擊者更高的贖金。Ryuk 攻擊的不尋常之處在於,它們透過大量的監視和人工努力來感染其目標。(對於典型的勒索軟體團夥來說,在攻擊中投入如此多的精力會使其成本效益降低)。
據稱,大多數 Ryuk 勒索軟體攻擊背後的組織被稱為 Wizard Spider。Wizard Spider 還操作 TrickBot,這是一個惡意程式碼特洛伊木馬,它是一個偽裝成良性的惡意檔案。
*勒索軟體是一種惡意軟體(惡意程式碼),它鎖住檔案和資料(最常見的方式是透過加密 )並以此索取贖金。一旦受害機構支付贖金,控制勒索軟體的攻擊者或團體就會遠端解鎖檔案。
大多數情況下,Ryuk「病毒」透過 TrickBot 感染進入網路。TrickBot 可以透過多種方式進入組織。垃圾郵件是最常見的方法之一。TrickBot 還透過先前存在的 Emotet 殭屍網路傳播,該殭屍網路使用惡意電子郵件(特別是 Word 文件電子郵件附件)來感染電腦。
一旦 TrickBot 感染了一個裝置,Wizard Spider 組織就可以利用它來安裝 Ryuk 勒索軟體。然後 Ryuk 在網路內橫向移動,在不觸發安全警示的情況下感染盡可能多的連線裝置。
Wizard Spider 利用各種技術和漏洞,在網路內傳播 Ryuk 感染,同時不被發現。有時這是一個手動過程——該團夥可以在 PowerShell(Windows 作業系統中的一個工具)中遠端執行指令碼,或利用遠端桌面通訊協定 (RDP) 以及其他方法。
Ryuk 執行後,將加密所有受感染的電腦、網路磁碟機和網路資源上的檔案和資料。
據安全公司 CrowdStrike 稱,Ryuk 使用 RSA-2048 和 AES-256 演算法來加密檔案。RSA 是一種公開金鑰加密演算法,意味著它產生一對用於加密檔案和資料的金鑰:公開金鑰和私密金鑰。Wizard Spider 持有私密金鑰,防止受害者自行解密檔案。
與大多數勒索軟體不同,Ryuk 積極嘗試加密系統檔案。正如 CrowdStrike 所觀察到的,它試圖加密啟動檔案,這將使主機系統不穩定,或者在重新啟動時完全崩潰。
通常情況下,勒索信以文字 (.txt) 檔案的形式出現在受感染的系統上。Ryuk 在執行時會產生這個檔案。勒索信指示受害者如何聯絡攻擊者並支付贖金。
Wizard Spider 通常要求用比特幣付款,經常要求價值 10 萬美元或更多的贖金。一個美國城市在遭受 Ryuk 攻擊後支付了 46 萬美元作為贖金。
專家估計,Wizard Spider 在 2021 年已經賺取了超過 1.5 億美元的贖金。
2018 年,Ryuk 透過被感染的 Tribune Publishing 軟體傳播到美國各地的幾家報紙。這些攻擊使報紙印刷中斷了幾天。
2020 年,Universal Health Services (UHS) 的 IT 基礎結構被 Ryuk 勒索軟體鎖定。該組織的電話系統和病人健康記錄無法存取。UHS 花了大約三週的時間來還原他們的系統,他們估計這次攻擊造成的損失為 6700 萬美元。
除 UHS 醫院外,其他幾家美國醫院在 2020 年也成為 Ryuk 勒索軟體攻擊的受害者。這些攻擊加密了關鍵資料,擾亂了治療,延誤了許多病人的手術。
Hermes 是一種不同但相關的勒索軟體,於 2017 年首次投入使用。Hermes 在勒索軟體的地下世界中被廣泛傳播。多年來,許多攻擊者都使用過 Hermes,而且它並未與某個特定團體相關。
Ryuk 勒索軟體主要基於 Hermes。起初,Ryuk 與 Hermes 共用大量代碼,但隨著時間的推移,Wizard Spider 進一步改變了 Ryuk。
即使使用這些方法,也無法保證 Ryuk 勒索軟體的攻擊不會發生,就像無法 100% 防止任何威脅一樣。然而,這些步驟可以大大減少感染的機會。
如在實作 Zero Trust 安全性模式方面需要幫助,可使用 Cloudflare One。Cloudflare One 是一個安全存取服務邊緣 (SASE) 平台,具有廣泛的網路連線能力和內建的 Zero Trust 安全性。