Поговорим об угрозе Ryuk ransomware
Ryuk — это название семейства программ-вымогателей, впервые обнаруженных в дикой природе в августе 2018 года. В старые добрые времена мы знали Ryuk только как вымышленного персонажа в популярной японской манге и аниме, но теперь мы знаем его как одно из самых жестоких семейств программ-вымогателей, терроризирующих системы по всему миру.
Что такое Ryuk ransomware?
Начнем с определения ransomware в целом. Ransomware — это категория вредоносного ПО, которая блокирует ваши файлы или системы и удерживает их за выкуп. Ryuk — это вид ransomware, который используется в целевых атаках, где злоумышленники специально шифруют важные файлы, чтобы затем запросить большой выкуп. Типичный запрос на выкуп Ryuk может быть на несколько сотен тысяч долларов. Malwarebytes обнаруживает его как Ransom.Ryuk. Для более детального технического рассмотрения этой угрозы, смотрите наш угроза spotlight Ryuk ransomware.
Как работает Ryuk?
Ryuk — одно из первых семейств вымогателей, которые могут определить и зашифровать сетевые диски и ресурсы, а также удалить теневые копии на конечной точке. Это значит, что злоумышленники могут отключить восстановление системы Windows для пользователей, что делает невозможным восстановление после атаки без внешних резервных копий или технологии отката.
Кто создал Ryuk?
Атрибуция вредоносного ПО всегда сложна. Однако исследователи из Deloitte Argentina, Габриэла Николаи и Лусиано Мартинс, причислили Ryuk ransomware к CryptoTech, малоизвестной группе киберпреступников, которую заметили рекламирующими Hermes 2.1 на подпольном форуме в августе 2017 года. По словам исследователей, Hermes 2.1 — это другое название Ryuk ransomware.
Новости о Ryuk ransomware
- 2021:
- Город Льеж подвергся атаке вымогателей, подозревается Ryuk
- Вымогатель Ryuk развивает способности, похожие на червя
- 2020:
- 2019:
Кто является целями Ryuk?
Цели Ryuk обычно представляют собой крупные организации, где злоумышленники рассчитывают получить высокие выплаты. Жертвами стали EMCOR, больницы UHS и несколько газет. В результате атак на эти организации, Ryuk, по оценкам, принес оператором доход в размере 61 миллиона долларов с февраля 2018 года по октябрь 2019 года.
Как распространяется Ryuk?
Как и во многих других случаях атак вредоносного ПО, метод доставки - это спам электронные письма (malspam). Эти письма часто отправляются с поддельного адреса, так что имя отправителя не вызывает подозрений.
Типичная атака Ryuk начинается, когда пользователь открывает зараженный документ Microsoft Office, прикрепленный к фишинговому письму. Открытие документа запускает вредоносную макрокоманду, которая выполняет команду PowerShell для загрузки банковского трояна Emotet. Этот троян может загрузить дополнительное вредоносное программное обеспечение на инфицированную машину, которая получает и выполняет Trickbot, главный компонент которого - это шпионское ПО. Оно собирает учетные данные администратора, позволяя злоумышленникам перемещаться к критически важным активам, подключенным к сети. Цепочка атаки заканчивается, когда злоумышленники запускают Ryuk на каждом из этих активов.
Итак, как только ваша сеть была взломана, злоумышленники решают, стоит ли им дальше исследовать и проникать в сеть. Если у них достаточно рычагов для требования крупной суммы, они развернут Ryuk ransomware.
Как защититься от Ryuk?
Первым шагом в защите от любой атак программы-вымогателя является инвестиция в антивредоносное/антивирусное ПО, желательно то, которое предлагает защиту в реальном времени, предназначенную для предотвращения сложных атак вредоносного ПО, таких как ransomware. Также обращайте внимание на функции, которые защитят уязвимые программы от угроз (технология защиты от эксплойтов), а также блокируют программы-вымогатели от удержания файлов в заложниках (компонент анти-вымогателей). Некоторые антивредоносные решения предлагают технологию отката, специально разработанную для преодоления последствий атак программы-вымогателя.
Далее, как бы это ни было болезненно, вы должны регулярно создавать надежные резервные копии ваших данных. Мы рекомендуем использовать облачное хранилище, включающее шифрование высокого уровня и многофакторную аутентификацию. Другой вариант - приобретение USB-накопителей или внешнего жесткого диска, где вы можете сохранять новые или обновленные файлы — просто убедитесь, что физически отключаете устройства от компьютера после резервного копирования, в противном случае они тоже могут быть инфицированы ransomware.
Также убедитесь, что ваши системы и ПО обновляются регулярно. Вспышка ransomware WannaCry использовала уязвимость в программном обеспечении Microsoft, и хотя компания выпустила исправление для этой уязвимости еще в марте 2017 года, многие люди не установили обновление, что оставило их открытыми для атаки. Мы понимаем, что сложно уследить за постоянно растущим списком обновлений от постоянно растущего списка программ и приложений, которые вы используете в повседневной жизни. Вот почему мы рекомендуем изменить настройки для включения автоматического обновления.
Наконец, оставайтесь в курсе. Одним из самых распространенных способов заражения компьютеров вымогателями является социальная инженерия. Обучайте себя (и своих сотрудников, если вы владелец бизнеса) тому, как обнаруживать фишинговые письма, подозрительные веб-сайты и другие мошенничества. И прежде всего, проявляйте здравый смысл. Если что-то кажется подозрительным, вероятно, так оно и есть.
Как удалить Ryuk?
Вы можете использовать консоль Malwarebytes Anti-Malware Nebula для сканирования ваших конечных точек. Выберите опцию Сканирование + Карантин. После этого вы можете проверить страницу Обнаружений, чтобы увидеть, какие угрозы были найдены. На странице Карантина вы можете увидеть, какие угрозы были помещены в карантин и, если нужно, восстановить их. Внимательно изучите страницу Обнаружений, чтобы найти ответ на вопрос о том, как был доставлен Ryuk. Вы не хотите оставить какие-либо черные ходы позади, которые злоумышленники могут использовать снова!
Если вы подозреваете, что Ryuk был доставлен через Emotet, вам нужно будет выполнить некоторые дополнительные шаги. Если ваш компьютер подключен к сети, немедленно изолируйте его. После изоляции убедитесь, что вы исправили и почистили зараженную систему. Но это еще не все. Из-за того, как Emotet распространяется по вашей сети, чистый компьютер может быть повторно заражен, если его подключить обратно к зараженной сети. Очистите каждый компьютер в вашей сети поочередно. Это трудоемкий процесс, но решения для бизнеса от Malwarebytes могут упростить его, изолируя и устраняя зараженные конечные точки, а также обеспечивая проактивную защиту от будущих инфекций Emotet.