Ryuk Ransomware skapar kaos: Riktar myndigheter och sjukhusinstitutioner

En djup titt på Ryuk Ransomware

Ryuk ransomware är ett avancerat datorhot som har utnyttjats på sätt att infiltrera system och specifikt rikta in sig på statliga institutioner och sjukhus. Vissa kanske känner igen namnet från en populär japansk manga. Varnas för att det inte har något att göra med nämnda manga utan dess namn.

Efter att Ryuk ransomware har slagit hittar du alla dina filer med ett tillägg ".ryk" tillägg. När data är på plats blir dina data oanvändbara. Infektionen låser dina filer med hjälp av RSA (asymmetriska) och AES (symmetriska) krypteringsalgoritmer. Så snart dina data krypteras upptäcker du en lösningsmeddelande på skrivbordet. Det visas också i varje mapp som innehåller låst data. Det heter RyukReadMe, och det är antingen en ".html" eller ".txt" -fil. Det exakta lösningsmeddelandet du får beror på vilken typ av offer du är. För att utarbeta lämnar Ryuk olika meddelanden för företag eller liknande myndigheter (sjukvårdsinstitutioner, regeringar osv.). De två olika anteckningarna är följande:


Du står inför ett svårt val. Du måste bestämma om du ska lita på tillförlitligheten hos cyberuttagare och betala lösen. Eller för att inte göra det och förlora dina filer. Experter uppmanar dig att välja det senare. Kom alltid ihåg att du har att göra med cyberbrottslingar och att de inte kan lita på.

Ryuk Ransomware-utbrott

Ryuk har gjort anspråk på en imponerande lista över offer i dess relativt korta livslängd. Det upptäcktes först i augusti 2018, och 2019 stod det för över 18% av attackerna för ransomware.


Ryuks andel av marknaden för ransomware 2019 - Källa: Coveware.com.

Nedan är en lista över några av Ryuks mål:

  • Riviera Beach (maj 2019)
  • Lake City (juni 2019)
  • Tampa Radio (juni 2019)
  • Georgia Courts (juni 2019)
  • La Porte County (juli 2019)
  • Syracuse School (juli 2019)
  • Onondaga County Library (juli 2019)
  • Butler County Library (juli 2019)
  • Collierville, TN infekterad (juli 2019)
  • Henry County, GA (juli 2019)
  • Lawrenceville, GA: s polisavdelning (juli 2019)

Från Riviera Beach-attacken fick den $ 600 000. Lake City en tog in 460 000 dollar och La Porte 130 000 dollar. Det exakta lösenbeloppet, hotet kräver, varierar mellan offer. Det har uppskattats att Ryuk hittills har ställt krav på betalningar nära 300 miljoner dollar.


Ryuk växer över andra välkända ransomware-hot med sina häpnadsväckande lösenkrav - Källa: Coveware.com.


Ryuk Ransomware genomsnittliga lösning jämfört med Ransomware Marketplace - Källa: Coveware.com.

När det gäller ransomware motsvarar inte lösenbetalning alltid datakryptering. De flesta liknande hot tenderar att inte följa sina löften om att skicka dig dekrypteringsnyckeln när du får dina pengar. Enligt cyberforskare tenderar Ryuk att vara mer pålitlig i den meningen än andra sådana infektioner. I 88% av fallen leder betalningen till framgångsrik dekryptering.


Resultatet av 'Ryuk ransomware' - Källa: Coveware.com.

Ryuk hackade 80 000 datorer i 110 vårdhem och sjukhus i USA

Ryuk cyberpest lanserades av ryska hackare. Den 17 november 2019 blev molnhotellföretaget Virtual Care Provider Inc. (VCPI), baserat i Milwaukee, Wisconsin, offer för ransomware. Den attacken fick fruktansvärda konsekvenser . Enligt en representant från Virtual Care Provider Inc. resulterade attacken på dem i korruption av över 80 000 datorer. Och 110 sjukhus och vårdhem var lammade och kunde inte tillhandahålla adekvat patientvård.

I grund och botten lämnade de system som attackerades av Ryuk på flera vårdhem och sjukhus liv kvar i balans. Attacken nådde över 45 stater och stoppade vid den tiden möjligheten för dessa anläggningar att ta hand om sina klienter och patienter. Lyckligtvis hade de pengar för några av anläggningarna för att betala lösenkraven, men andra ser ut att ha tappat några av sina kritiska uppgifter.

Hur gjorde Ryuk Ransomware sig till företagsservrarna?

Ryuk ransomware använde bedrag och finess för att invadera servrarna. Det tog hackarna månader att skicka phishing-e-post till anställda. E-postmeddelandena innehöll skadliga bilagor, och genom att klicka på dem erbjöd de anställda ransomware ett sätt in i företagets interna servrar. Det gjorde det möjligt för de ryska hackarna att greppa kontroll bit för bit.

Det är en strategi som Ryuk ofta vänder sig till - phishing-e-post. En annan innebär användning av åtkomst till Remote Desktop Protocol. Företag som tillåter anställda att komma åt sina nätverk via fjärråtkomst, utan att ta rätt skydd, är mer benägna att attackera från hot som Ryuk.


Ryuk Ransomware Common Attack Vectors - Källa: Coveware.com.

Ryuk-dropparen innehåller både 32-bitars och 64-bitars nyttolast. Den väljer vilken man ska använda, beroende på det inriktade systemet. Innan nyttolasten tappas kontrollerar den också versionen av operativsystemet och agerar sedan i enlighet med det.

Väl inne är det hot och avaktiverar olika processer och tjänster. Dessa finns vanligtvis på en fördefinierad lista och tenderar att vara i området antivirusverktyg, databaser, säkerhetskopior och annan programvara.


Lista över tjänster inaktiverade av Ryuk ransomware - källa: Zscaler.com.


Lista över processer som avslutas av Ryuk ransomware - källa: Zscaler.com.

Patienter som lämnats okänsliga på grund av Ryuk Ransomware

Ransomware attackerade molndatavärdföretaget, som lagrar sjukhusets servrar. Datavärdföretaget krypterar all data, som inkluderar medicinska journaler och administrationsdata för mediciner. Efter att Ryuk ransomware tog kontroll över företagets servrar kunde VCPI inte få åtkomst till patientjournaler, faktureringsdata, e-post- och telefonsystem, lönefunktioner och till och med grundläggande Internet-tjänster. Cyber kidnapparna krävde en lösen på 14 miljoner dollar. Eftersom det priset var för brant för VCPI, betalade de inte upp. Det ledde till att otaliga patienter inte fick den vård de behövde. Ryuk ransomware hotade effektivt många människors liv.

Ett privat säkerhetsföretag, kallad Prosegur, blev också offer för Ryuk ransomware. Infektionsattacken ledde till att företagets webbplatser togs offline i flera regioner. På grund av ransomware fungerar inte säkerhetslarm! Prosegur-kunder har tagit till Twitter för att dela att deras larm inte fungerar och att de inte känner sig säkra i sina hem längre. De har Ryuk ransomware för att tacka för det.

Experter tror att Ryuk ransomwares mål inte är att stjäla data i sig, utan snarare att inaktivera infrastruktur, mer specifikt servrar och skapa en karfuff. Enligt rapporter från Nederländernas nationella cybersäkerhetscenter har Ryuk ransomware attackerat cirka 1 800 stora organisationer runt om i världen. Ryuk ransomware har en "typ" av ett föredraget offer. Cyberbrottslingarna bakom den tenderar att använda för att utföra attacker mot myndigheter, utbildning och hälsovårdsinstitutioner, institutioner som hanterar distribution av energi, vatten, verktyg - industrier inom områden som byggande, kemisk, hälsovård, mat, underhållning och kritisk infrastruktur .

I mars 2019 togs ett län i Georgia, USA, för $ 400 000 av Ryuk ransomware. Lösenvaran låste sina data och krävde det branta lösenbeloppet, som vanliga hot för ransomware. Eftersom de inte hade säkerhetskopior, följde de och betalade upp. Lyckligtvis fick länet rätt dekrypteringsnyckel och lyckades få tillbaka alla sina uppgifter. Det är dock inte fallet med de flesta andra ransomware-attacker. Vanligtvis spelar det ingen roll om du betalar eller inte. Det är därför experter fraråder överensstämmelse och rekommenderar att du alltid säkerhetskopierar dina data och använder de nödvändiga antimalware-resurserna för att eliminera ransomware-attacker.

January 21, 2020
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.