Ryuk Ransomware cria o caos: visa instituições governamentais e hospitalares

Um olhar profundo sobre o Ryuk Ransomware

O Ryuk ransomware é uma ameaça avançada ao computador, que foi aproveitada para se infiltrar em sistemas e atingir especificamente instituições e hospitais do governo. Alguns podem reconhecer o nome de um mangá japonês popular. Esteja avisado de que não tem nada a ver com o referido mangá, mas com seu nome.

Após o ransomware do Ryuk, você encontra todos os seus arquivos com uma extensão ".ryk" adicionada. Uma vez instalados, seus dados se tornam inutilizáveis. A infecção bloqueia seus arquivos com a ajuda dos algoritmos de criptografia RSA (assimétrico) e AES (simétrico). Assim que seus dados são criptografados, você descobre uma nota de resgate na área de trabalho. Ele também aparece em cada pasta que contém dados bloqueados. Chama-se RyukReadMe e é um arquivo ".html" ou ".txt". A mensagem exata do resgate que você recebe depende do tipo de vítima que você é. Para elaborar, Ryuk deixa mensagens diferentes para empresas ou autoridades similares (instituições de saúde, governos etc.). As duas notas diferentes são as seguintes:


Você enfrenta uma escolha difícil. Você deve decidir se deve confiar na confiabilidade dos cibercriminosos e pagar o resgate. Ou, não faça isso e abandone seus arquivos. Os especialistas pedem que você escolha o último. Lembre-se sempre de que você está lidando com cibercriminosos e eles não podem ser confiáveis.

Surtos de Ryuk Ransomware

Ryuk reivindicou uma lista impressionante de vítimas em sua vida útil relativamente curta. Foi descoberto pela primeira vez em agosto de 2018 e, em 2019, representava mais de 18% dos ataques de ransomware.


A participação da Ryuk no mercado de ransomware em 2019 - Fonte: Coveware.com.

Abaixo está uma lista de alguns dos alvos de Ryuk:

  • Riviera Beach (maio de 2019)
  • Lake City (junho de 2019)
  • Tampa Radio (junho de 2019)
  • Tribunais da Geórgia (junho de 2019)
  • Condado de La Porte (julho de 2019)
  • Syracuse School (julho de 2019)
  • Onondaga County Library (julho de 2019)
  • Biblioteca do Condado de Butler (julho de 2019)
  • Collierville, TN infectado (julho de 2019)
  • Henry County, Geórgia (julho de 2019)
  • Departamento de polícia de Lawrenceville, Geórgia (julho de 2019)

Do ataque de Riviera Beach, recebeu US $ 600.000. O Lake City arrecadou US $ 460.000 e La Porte - US $ 130.000. A quantia exata do resgate, exigida pela ameaça, varia entre as vítimas. Estima-se que, até o momento, Ryuk tenha demandado pagamentos perto de US $ 300 milhões.


O Ryuk supera outras ameaças bem conhecidas de ransomware com suas demandas surpreendentes de resgate - Fonte: Coveware.com.


Ryuk Ransomware Ransom médio comparado ao Ransomware Marketplace - Fonte: Coveware.com.

Quando se trata de ransomware, o pagamento de resgate nem sempre é igual à descriptografia de dados. As ameaças mais semelhantes tendem a não cumprir suas promessas de enviar a chave de descriptografia ao receber seu dinheiro. Segundo os pesquisadores cibernéticos, Ryuk tende a ser mais confiável nesse sentido do que outras infecções. Em 88% dos casos, o pagamento leva à descriptografia bem-sucedida.


O resultado do 'Ryuk ransomware' - Fonte: Coveware.com.

Ryuk invadiu 80.000 computadores em 110 casas de repouso e hospitais nos EUA

A praga cibernética de Ryuk foi lançada por hackers russos. Em 17 de novembro de 2019, a empresa de hospedagem em nuvem Virtual Care Provider Inc. (VCPI), com sede em Milwaukee, Wisconsin, tornou-se vítima do ransomware. Esse ataque causou terríveis consequências . Segundo um representante da Virtual Care Provider Inc., o ataque a eles resultou na corrupção de mais de 80.000 computadores. E 110 hospitais e casas de repouso estavam aleijados e não podiam fornecer atendimento adequado ao paciente.

Fundamentalmente, os sistemas atacados por Ryuk em várias casas de repouso e hospitais deixaram vidas pendentes na balança. O ataque atingiu 45 estados e, na época, interrompeu a capacidade dessas instalações de cuidar de seus clientes e pacientes. Felizmente, para algumas das instalações, eles tinham o dinheiro disponível para pagar as demandas de resgate, mas outros parecem ter perdido alguns de seus dados críticos.

Como o Ryuk Ransomware entrou nos servidores da empresa?

O Ryuk ransomware usou fraude e delicadeza para invadir os servidores. Os hackers levaram meses para enviar e-mails de phishing aos funcionários. Os e-mails continham anexos maliciosos e, ao clicar neles, os funcionários ofereceram ao ransomware uma maneira de entrar nos servidores internos da empresa. Isso permitiu que os hackers russos assumissem o controle pouco a pouco.

Essa é uma estratégia que a Ryuk costuma usar para - e-mails de phishing. Outro envolve o uso do acesso ao Protocolo de Área de Trabalho Remota. As empresas que permitem que os funcionários acessem suas redes por acesso remoto, sem as devidas proteções, são mais propensas a ataques de ameaças como Ryuk.


Vetores comuns de ataque do Ryuk Ransomware - Fonte: Coveware.com.

O conta-gotas Ryuk contém cargas úteis de 32 e 64 bits. Ele escolhe qual usar, dependendo do sistema de destino. Antes de descartar a carga, ele também verifica a versão do sistema operacional e, em seguida, age de acordo.

Uma vez dentro, a ameaça termina e desativa uma variedade de processos e serviços. Eles geralmente estão contidos em uma lista predefinida e tendem a pertencer a ferramentas antivírus, bancos de dados, backups e outros softwares.


Lista de serviços desativados pelo Ryuk ransomware - fonte: Zscaler.com.


Lista de processos encerrados pelo Ryuk ransomware - fonte: Zscaler.com.

Pacientes deixados sem cuidados por causa do Ryuk Ransomware

O ransomware atacou a empresa de hospedagem de dados em nuvem, que armazena os servidores do hospital. A empresa de hospedagem de dados criptografa todos os dados, incluindo registros médicos e dados de administração de medicamentos. Depois que o Ryuk ransomware assumiu o controle dos servidores da empresa, a VCPI não conseguiu acessar registros de pacientes, dados de cobrança, sistemas de e-mail e telefone, operações de folha de pagamento e até serviço básico de Internet. Os sequestradores cibernéticos exigiram um resgate de US $ 14 milhões. Como esse preço era muito alto para o VCPI, eles não pagaram. Isso levou muitos pacientes a não receberem os cuidados de que precisavam. O Ryuk ransomware colocou em risco a vida de inúmeras pessoas.

Uma empresa de segurança privada, chamada Prosegur, também foi vítima do Ryuk ransomware. O ataque da infecção levou os sites da empresa a ficarem offline em várias regiões. Por causa do ransomware, os alarmes de segurança não estão funcionando! Os clientes da Prosegur foram ao Twitter para compartilhar que seus alarmes não estão funcionando e que não se sentem mais seguros em suas casas. Eles têm o Ryuk ransomware para agradecer por isso.

Os especialistas acreditam que o objetivo do Ryuk ransomware não é roubar dados por si só, mas desativar a infraestrutura, mais especificamente os servidores, e criar um problema. Segundo relatos do Centro Nacional de Segurança Cibernética da Holanda, o Ryuk ransomware atacou cerca de 1.800 grandes organizações em todo o mundo. O Ryuk ransomware possui um "tipo" de vítima preferida. Os cibercriminosos por trás disso tendem a usar para realizar ataques a instituições governamentais, educacionais e de saúde, instituições que lidam com a distribuição de energia, água, serviços públicos - indústrias em áreas como construção, química, saúde, alimentos, entretenimento e infraestrutura crítica .

Em março de 2019, um condado da Geórgia, EUA, foi levado por US $ 400.000 pelo Ryuk ransomware. O ransomware bloqueou seus dados e exigiu a quantia íngreme de resgate, como costumam fazer as ameaças de ransomware. Como eles não tinham backups, eles cumpriram e pagaram. Felizmente, o condado recebeu a chave de descriptografia adequada e conseguiu recuperar todos os seus dados. No entanto, esse não é o caso da maioria dos outros ataques de ransomware. Normalmente, não importa se você paga ou não. É por isso que os especialistas desaconselham a conformidade e recomendam que você sempre faça backup de seus dados e utilize os recursos antimalware necessários para ajudar a eliminar ataques de ransomware.

January 21, 2020
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.