Ryuk Ransomware skaber kaos: Målret mod regeringer og hospitaler

Et dybt kig på Ryuk Ransomware

Ryuk ransomware er en avanceret computertrussel, der er blevet udnyttet på måder at infiltrere systemer og specifikt målrette mod offentlige institutioner og hospitaler. Nogle genkender muligvis navnet fra en populær japansk manga. Vær advaret om, at det ikke har noget at gøre med nævnte manga, men dets navn.

Når Ryuk ransomware strejker, finder du alle dine filer med en tilføjet ".ryk" -udvidelse. Når de først er på plads, bliver dine data ubrugelige. Infektionen låser dine filer ved hjælp af RSA (asymmetriske) og AES (symmetriske) krypteringsalgoritmer. Så snart dine data bliver krypteret, opdager du en løsepenge på dit skrivebord. Det vises også i hver mappe, der indeholder låste data. Det kaldes RyukReadMe, og det er enten en ".html" eller ".txt" -fil. Den nøjagtige løsningsmeddelelse, du får, afhænger af den type offer, du er. For at uddybe, efterlader Ryuk forskellige beskeder til virksomheder eller lignende myndigheder (sundhedsinstitutioner, regeringer og så videre). De to forskellige noter er som følger:


Du står over for et vanskeligt valg. Du skal beslutte, om du skal stole på pålideligheden af cyber-eksternalister og betale løsepenge. Eller ikke at gøre det og forlade dine filer. Eksperter opfordrer dig til at vælge sidstnævnte. Husk altid, at du har at gøre med cyberkriminelle, og de kan ikke stole på.

Ryuk Ransomware-udbrud

Ryuk har hævdet en imponerende liste over ofre i sin relativt korte levetid. Det blev først opdaget i august 2018, og i 2019 tegnede det sig for over 18% af ransomware-angreb.


Ryuk's andel af ransomware-markedet i 2019 - Kilde: Coveware.com.

Nedenfor er en liste over nogle af Ryuks mål:

  • Riviera Beach (maj 2019)
  • Lake City (juni 2019)
  • Tampa Radio (juni 2019)
  • Domstole i Georgien (juni 2019)
  • La Porte County (juli 2019)
  • Syracuse School (juli 2019)
  • Onondaga County Library (juli 2019)
  • Butler County Library (juli 2019)
  • Collierville, TN inficeret (juli 2019)
  • Henry County, GA (juli 2019)
  • Lawrenceville, GA-politiafdelingen (juli 2019)

Fra Riviera Beach-angrebet fik det $ 600.000. Lake City én indbragte $ 460.000, og La Porte - $ 130.000. Det nøjagtige løsepenge, som truslen kræver, varierer mellem ofre. Det er blevet anslået, at Ryuk indtil videre har stillet krav om betalinger på næsten 300 millioner dollars.


Ryuk bølger over andre velkendte ransomware-trusler med sine forbløffende løsepenge-krav - Kilde: Coveware.com.


Ryuk Ransomware gennemsnitlige løsepenge sammenlignet med Ransomware Marketplace - Kilde: Coveware.com.

Når det kommer til ransomware, er løsepenge ikke altid lig med datakryptering. De fleste lignende trusler har en tendens til ikke at følge deres løfter om at sende dig dekrypteringsnøglen efter modtagelse af dine penge. Ifølge cyberforskere har Ryuk en tendens til at være mere pålidelig i den forstand end andre sådanne infektioner. I 88% af tilfældene fører betaling til vellykket dekryptering.


Resultatet af 'Ryuk ransomware' - Kilde: Coveware.com.

Ryuk hackede 80.000 computere i 110 plejehjem og hospitaler i USA

Ryuk cyberpest blev lanceret af russiske hackere. Den 17. november 2019 blev cloud-hostingfirmaet Virtual Care Provider Inc. (VCPI) med base i Milwaukee, Wisconsin, et offer for ransomware. Dette angreb førte til frygtelige konsekvenser . Ifølge en repræsentant fra Virtual Care Provider Inc. resulterede angrebet på dem i korruption på over 80.000 computere. Og 110 hospitaler og plejehjem blev krøllet og kunne ikke yde tilstrækkelig patientpleje.

Grundlæggende efterlod de systemer, der blev angrebet af Ryuk på flere plejehjem og hospitaler, livene hængende i balancen. Angrebet nåede over 45 stater og stoppede på det tidspunkt evnen for disse faciliteter til at passe deres klienter og patienter. For nogle af faciliteterne havde de heldigvis penge til at betale kravet om løsepenge, men andre ser ud til at have mistet nogle af deres kritiske data.

Hvordan kom Ryuk Ransomware sig vej ind i virksomhedens servere?

Ryuk ransomware brugte bedrag og finesse til at invadere serverne. Det tog hackerne måneder at sende phishing-e-mails til ansatte. E-mailsne indeholdt ondsindede vedhæftede filer, og ved at klikke på dem tilbød medarbejderne ransomware en vej ind i virksomhedens interne servere. Det gjorde det muligt for de russiske hackere at gribe kontrol bit for bit.

Det er en strategi, som Ryuk ofte henvender sig til - phishing-e-mails. En anden involverer brugen af adgang til Remote Desktop Protocol. Virksomheder, der tillader medarbejdere at få adgang til deres netværk via fjernadgang uden at tage den rette beskyttelse, er mere tilbøjelige til angreb fra trusler som Ryuk.


Ryuk Ransomware Common Attack Vectors - Kilde: Coveware.com.

Ryuk-dropper indeholder både 32-bit og 64-bit nyttelast. Det vælger, hvilken der skal bruges, afhængigt af det målrettede system. Inden du dropper nyttelasten, kontrollerer den også versionen af operativsystemet og handler derefter i overensstemmelse.

Når man først er inde, afslutter og deaktiverer truslen en række processer og tjenester. Disse findes normalt på en foruddefineret liste og har en tendens til at være inden for antivirusværktøjer, databaser, sikkerhedskopier og anden software.


Liste over tjenester deaktiveret af Ryuk ransomware - kilde: Zscaler.com.


Liste over processer afsluttet af Ryuk ransomware - kilde: Zscaler.com.

Patienter efterladt ikke-bekymrede på grund af Ryuk Ransomware

Ransomware angreb sky-datahostingsfirmaet, der lagrer hospitalets servere. Virksomheden for datahosting krypterer alle data, som inkluderer medicinske poster og medicinadministrationsdata. Efter at Ryuk ransomware tog kontrol over virksomhedens servere, var VCPI ikke i stand til at få adgang til patientjournaler, faktureringsdata, e-mail- og telefonsystemer, lønningsprocesser og endda grundlæggende internettjeneste. Cyber-kidnapperne krævede en løsepenge på $ 14 millioner. Da denne pris var for stejl for VCPI, betalte de sig ikke. Det førte til, at utallige patienter ikke fik den pleje, de havde brug for. Ryuk ransomware truede effektivt mange menneskers liv.

Et privat sikkerhedsfirma, kaldet Prosegur, blev også offer for Ryuk ransomware. Infektionens angreb førte til, at firmaets websteder blev taget offline i flere regioner. På grund af løseprogrammet fungerer sikkerhedsalarmer ikke! Prosegur-kunder har taget hen til Twitter for at dele, at deres alarmer ikke fungerer, og at de ikke føler sig trygge i deres hjem længere. De har Ryuk ransomware for at takke for det.

Eksperter mener, at Ryuk ransomwares mål ikke er at stjæle data i sig selv, men snarere at deaktivere infrastruktur, mere specifikt servere, og skabe en udstødning. Ifølge rapporter fra det nederlandske nationale cybersikkerhedscenter har Ryuk ransomware angrebet omkring 1.800 store organisationer i hele verden. Ryuk ransomware har en "type" af et foretrukket offer. Cyberkriminelle bag det plejer at bruge til at udføre angreb på myndigheder, uddannelse og sundhedsinstitutioner, institutioner, der beskæftiger sig med distribution af energi, vand, forsyningsselskaber - industrier inden for områder som byggeri, kemisk, sundhedsvæsen, mad, underholdning og kritisk infrastruktur .

I marts 2019 blev et amt i Georgia, USA, taget for $ 400.000 af Ryuk ransomware. Ransomware låste deres data og krævede det stejle løsepenge-beløb, som trusler om ransomware ofte gør. Da de ikke havde sikkerhedskopier, overholdt de og betalte op. Heldigvis modtog amtet den korrekte dekrypteringsnøgle og formåede at få alle deres data tilbage. Det er dog ikke tilfældet med de fleste andre ransomware-angreb. Normalt betyder det ikke noget, om du betaler eller ej. Det er derfor, eksperter fraråder overholdelse og anbefaler, at du altid sikkerhedskopierer dine data og bruger de nødvendige antimalware-ressourcer til at hjælpe med at eliminere ransomware-angreb.

January 21, 2020
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.