Что такое программы-вымогатели Ryuk?
Программы-вымогатели — это вид вредоносных программ, который позволяет злоумышленникам использовать методы шифрования для заражения целых сетей (включая файлы и связанные с ними устройства), делая их недоступными для целевого бизнеса до тех пор, пока не будет выплачен выкуп. Выкуп обычно требуют в криптовалюте, например в биткойнах, и он может составлять тысячи, а то и миллионы долларов. Средняя сумма выкупа в 2019 году составила 12 762 доллара США, а средняя стоимость простоя, связанного с инцидентом, только за один квартал достигла 64 645 долларов США для каждой компании.
Злоумышленники обычно выбирают крупные организации или предприятия с очень чувствительными, критически важными активами, например больницы. Этот способ получил название «охота на крупную дичь». Кроме того, в отличие от других видов программ-вымогателей, киберпреступники, использующие вредоносную программу Ryuk, нацеливаются на конкретных людей и вручную проникают в сети компаний. Используя доступные в сети инструменты с открытым исходным кодом, злоумышленники собирают ценную информацию и получают доступ к максимально возможному количеству областей бизнеса, детально изучая внутренние операции.
История
Программа-вымогатель Ryuk, основанная на Hermes (более старой программе-вымогателе), была впервые обнаружена в 2018 году и, по общему мнению, была адаптирована и разработана киберпреступной организацией из России. С 2019 года преступные группировки увеличили количество атак, получая миллионы долларов в качестве выкупа от финансовых учреждений, больниц и даже местных органов власти.
Программа-вымогатель Ryuk продолжает развиваться киберпреступными группами, такими как WIZARD SPIDER и их ответвлением GRIM SPIDER. В январе 2021 года появился новый вариант программы-вымогателя Ryuk, дополненный возможностями червя, позволяющими вредоносной программе автоматически распространяться в сетях, в которые она попадает, подобно вирусу. Это позволяет угрозе распространяться от системы к системе в домене Windows без участия человека. Она быстро размножается, что дополнительно сокращает время заражения сетей и устройств, представляя опасность для предприятий.
Как Ryuk атакует предприятия?
Как и большинство других вредоносных программ, вредоносная программа Ryuk доставляется несколькими способами:
-
Рассылка спама или фишингового электронного письма с зараженным вложением. Вы открываете его, а хакер получает удаленный доступ к вашей сети
-
Рассылка фишингового письма, в котором злоумышленник, использующий угрозу Ryuk, атакует группы или организации, выдавая себя за кого-то из сотрудников компании или связанных с ней лиц. Все письма с вложением, содержащим программу-вымогатель Ryuk, также могут быть отправлены с поддельного адреса электронной почты, что позволяет злоумышленникам не быть раскрытыми.
- Через порт RDP, используя слабые средства защиты и позволяя хакерам получить удаленный доступ к вашей системе.
В некоторых атаках Ryuk сеть сначала заражается трояном (вредоносным содержимым, скрытым в кажущемся легитимным коде), известном как Emotet. Троян используется в качестве «закладчика» для загрузки Trickbot — другой разновидности вредоносного ПО. Это делается для нескольких систем, что позволяет злоумышленнику контролировать несколько целей и получать доступ к конфиденциальной информации и административным учетным данным. Затем киберпреступник направляет Ryuk на выбранную им цель.
Как и в случае с программой-вымогателем Locky, программой-вымогателем Cerber и программой-вымогателем REvil/Sodinokibi, как только злоумышленник нарушит безопасность вашей сети и сервера с помощью программы-вымогателя Ryuk, он отключит до 180 служб и 40 процессов, необходимых для работы вашей системы, что приведет к зашифровке важной информации.
После того как файлы оказываются зашифрованы, программа-вымогатель Ryuk удаляет оригинальные копии и все теневые копии с помощью файла .BAT. Это означает, что все попытки жертв восстановить свои данные будут безуспешными.
Для шифрования файлов Ryuk использует как симметричные, так и асимметричные алгоритмы шифрования аналогично тому, как это делают программы-вымогатели Petya и Mischa, использующие несколько методов шифрования пользовательских данных.
Затронув все файлы и приложения в сети, программа-вымогатель Ryuk, достигнув своей цели, поместит в каждую папку текстовый файл под названием "RyukReadMe.txt", в котором будет содержаться необходимая информация для получения выкупа. Если заплатить выкуп, как утверждают киберпреступники, копия ключа шифрования позволит восстановить файлы.
Примеры (известные атаки)
Поскольку число атак с использованием программ-вымогателей Ryuk продолжает расти, правительства и компании должны сохранять бдительность. Среди наиболее известных атак Ryuk с 2018 года можно назвать следующие:
-
Больницы в США, Германии и Великобритании (2019-2020 гг.): Различные больницы в этих странах неоднократно становились жертвами атак вредоносной программы Ryuk. В сентябре 2020 года компания Universal Health Services (UHS), управляющая медицинскими учреждениями в Великобритании и США, подверглась атаке вредоносной программы Ryuk. Инцидент обошелся компании в 67 миллионов долларов, при этом потребовался месяц, чтобы вернуться к нормальной деятельности. Сеть из более чем 400 больниц в США и Великобритании также подверглась воздействию вредоносной программы Ryuk в сентябре 2020 года, причем в США пострадали все 250 учреждений, что стало одной из крупнейших медицинских атак Ryuk на сегодняшний день. По имеющимся данным, в октябре 2020 года вредоносная программа Ryuk стала причиной 75 % атак на сектор здравоохранения США.
- Лейк-Сити, Флорида (2019 г.): После того как один из сотрудников решил открыть письмо, содержащее вредоносную программу Ryuk, городские ИТ-системы оказались заблокированы с требованием выкупа в размере 460 000 долларов США. Мэр Лейк-Сити подтвердил, что городские власти заплатили выкуп, чтобы получить доступ к своим операциям.
- Город Онкапаринга, Южная Австралия (2019 г.): В декабре 2019 года ИТ-системы Совета Онкапаринги в Аделаиде были заражены программой-вымогателем Ryuk, что привело к утрате производительности на неделю.
- EMCOR (2020 г.): В феврале компания EMCOR, входящая в список Fortune 500, подтвердила, что несколько ее ИТ-систем пострадали от атаки вредоносной программы Ryuk. Компания не подтвердила, был ли произведен выкуп.
Как защитить свой бизнес от вредоносной программы Ryuk
Согласно прогнозам, в 2021 году программа-вымогатель будет стоить предприятиям 1,85 миллиона долларов США, а к 2031 году обойдется миру в 265 миллиардов долларов США. Компании, понимающие, как предотвратить атаки программ-вымогателей, могут существенно снизить свою уязвимость в сети. В настоящее время несколько факторов могут повысить риск стать жертвой атаки, в том числе устаревшее программное обеспечение или устройства, необновленные браузеры и/или операционные системы, недостаточное количество или отсутствие резервных копий или отсутствие инвестиций в инструменты защиты кибербезопасности.
Для защиты от новых киберугроз очень важно обеспечить регулярное обновление систем, а также установить защиту сети вашей компании от вирусов и вредоносных программ. Это программное обеспечение также должно поддерживаться другими защитными механизмами, такими как:
-
Реализация плана восстановления в аварийных ситуациях: это может стать основой процессов и протоколов в вашей организации, а также позволит определить список лиц и контактов, которые необходимо уведомить в случае кибератаки.
- Управление доступом на основе ролей: Чтобы свести к минимуму риск атак вымогателей, следует внедрить резервное копирование и использовать принцип доступа с наименьшими привилегиями. Управление доступом на основе ролей (RBAC) также может обеспечить дополнительный уровень безопасности, ограничивая доступ сотрудников к данным, которые не нужны им для выполнения конкретных должностных обязанностей.
Как удалить программу-вымогатель Ryuk из моей операционной системы?
Хотя удалить программу-вымогатель Ryuk с ПК или Mac можно, это не гарантирует решение проблемы: вредоносная программа продолжит развиваться и создавать новые проблемы для организаций.
Принятие превентивных мер, таких как установка защиты от вредоносных программ, может защитить ваш бизнес от любых угроз кибербезопасности. В этом также помогут регулярное обновление программного обеспечения и приложений, включая исправления для устранения уязвимостей в вашей сети.
Ryuk продолжает оказывать существенное влияние на производительность бизнеса
Ryuk и другие виды вредоносных программ продолжают развиваться, поскольку преступные группировки продолжают обмениваться опасными вредоносными программами и адаптировать их. Поэтому компаниям необходимо быть в курсе всех угроз безопасности бизнеса. Программа-вымогатель Ryuk также теперь адаптирована для атак на веб-серверы и использует возможности червя, что еще больше может подорвать рабочие процессы.
Для снижения риска заражения вредоносной программой также необходима надежная защита серверов. Выбранное вами решение по кибербезопасности должно способствовать повышению эффективности бизнеса, а также блокировать, обнаруживать и предотвращать угрозы в виде атак.