Ryuk - это Ransomware - тип вредоносного ПО, которое шифрует файлы жертвы и восстанавливает доступ в обмен на выплату выкупа. Действуя с 2018 года, Ryuk постоянно проводит успешные целевые атаки на организации, принося операторам миллионы долларов за все время своего существования.
Что такое Ryuk Ransomware?
Ryuk - это высоконаправленная Ransomware - вредоносная программа, которая шифрует файлы своих жертв и требует оплаты для восстановления доступа к информации. Впервые Ryuk был обнаружен в августе 2018 года и остается активным по сей день. Она атакует газеты, государственные учреждения, банки, рестораны и другие предприятия.
Хотя он не считается самым высокотехнологичным вредоносным ПО в своем классе, Ryuk Ransomware очень успешен. Фактически, по данным ФБР, это Ransomware занимает первое место по количеству произведенных выкупов.
Благодаря узконаправленному подходу к распространению, вредоносной программе удалось проникнуть на тысячи ПК и принести злоумышленникам миллионы долларов США. Фактически, некоторые выкупы, выплаченные организациями, достигают 400 000 долларов США.
Несмотря на то, что Ryuk не является самым передовым, с ним не стоит шутить.
Общее описание Ryuk Ransomware
Успех Ryuk Ransomware, скорее всего, можно связать с его избирательным подходом к атакам. В то время как многие вредоносные программы сегодня начинают отходить от широко распространенных спам-кампаний по электронной почте, вредоносная программа Ryuk делает еще один шаг вперед. Его атаки не только используют собранную информацию о жертве для первоначальной доставки полезной нагрузки, но даже процесс шифрования подстраивается под каждую жертву, нацеливаясь на наиболее ценные файлы.
Этот факт указывает на то, что операторы, стоящие за вредоносным ПО Ryuk, тщательно изучают каждую жертву и проводят дорогостоящую разведку и картирование сети.
Кроме того, операторы Ryuk Ransomware проявляют гибкость в требованиях выкупа и корректируют не только сумму выкупа, но и контекст выкупной записки. С тех пор как Ryuk Ransomware стал активен в 2018 году, было замечено по крайней мере два варианта записки с требованием выкупа. Один был хорошо написанным, почти вежливым и довольно длинным, использовался в атаке на крупную организацию с высоким требованием выкупа. Использование второго варианта было зафиксировано в большинстве атак на небольших жертв. Он намного короче и использует более грубые и прямые формулировки.
Некоторые исследователи высказали мнение, что такая вариативность в записках о выкупе может указывать на то, что команда Ryuk Ransomware использует два отдельных подхода к атакам разной сложности.
Тщательная подготовка к атакам и изучение каждой жертвы позволили команде разработчиков вредоносного ПО Ryuk провести успешные кампании с огромными требованиями выкупа. По некоторым данным, средняя требуемая сумма выкупа составляет около 674 039 долларов США, а самый высокий зафиксированный размер выкупа превысил миллион долларов США.
Не совсем ясно, кто стоит за этим Ransomware. Некоторые свидетельства и сходство кода с другой программой Ransomware под названием Hermes указывают на северокорейскую APT, Lazarus Group. Однако это не является веским доказательством, учитывая, что образец Hermes мог попасть в руки другого преступника и послужить основой для разработки Ryuk.
Другие отчеты, основанные на более свежих данных, связывают Ryuk Ransomware с российской преступной группой WIZARD SPIDER, известной своей работой с вредоносным ПО TrickBot. Например, исследователи кибербезопасности обнаружили документы, содержащие русские слова в именах файлов, при изучении взломанной сети, которая стала жертвой Ryuk. Это говорит о том, что гипотеза WIZARD SPIDER более вероятна, чем связь с Кореей.
Кроме того, Ryuk проверяет язык клавиатуры и завершает выполнение, если обнаруживает русский, белорусский или украинский языки, что может быть использовано как killswitch. Такое поведение типично для вредоносной программы, которая возникла на территории бывшего СССР.
Процесс выполнения Ryuk Ransomware
Процесс выполнения Ryuk мало чем отличается от других программ-рансоматов, таких как WannaCry или Netwalker. После того как исполняемый файл попадает в зараженную систему и запускается, начинается основная вредоносная деятельность. Как и многие другие семейства вымогательского ПО, Ryuk удаляет файлы теневой копии. Он также останавливает процессы из жестко заданного списка. Как и другие вредоносные программы этого типа, он создает текстовый или HTML-файл с запиской о выкупе.
Распространение Ryuk Ransomware
Во многих случаях подтвержденного заражения вредоносной программой Ryuk на компьютер жертвы также проникал TrickBot. Это навело исследователей на мысль, что Ryuk Ransomware попадает на компьютеры с помощью TrickBot, который, в свою очередь, обычно доставляется через почтовый спам или с помощью троянца Emotet.
Такой способ распространения еще больше подтверждает теорию о том, что Ryuk управляется WIZARD SPIDER.
Известно, что организацией, связанной с Emotet, является MUMMY SPIDER, которая в прошлом была связана с WIZARD.
Заключение
Высокая степень персонализации и тщательный подход к выбору жертв сделали Ryuk Ransomware исключительно успешным. На сегодняшний день, согласно отчетам ФБР, операторы вредоносного ПО, стоящие за Ransomware, уже собрали более 64 миллионов долларов США в виде платежей. Рецепт успеха прост, но надежен - злоумышленники выбирают успешные предприятия, которые определенно способны заплатить выкуп и зачастую потеряют больше денег, если задержут платеж, поскольку их деятельность будет полностью заморожена из-за невозможности получить доступ к самой важной информации.
К сожалению, это означает, что многие жертвы уступили требованиям преступников и невольно поддержали будущие атаки.
К сожалению, с тем успехом, который имеет вредоносная программа Ryuk, нереально надеяться, что атаки прекратятся в ближайшем будущем. Поэтому лучшее, что можно сделать сейчас, - изучить эту вредоносную программу и подготовить меры защиты от нее.