Как Ryuk атакует предприятия?

Как и большинство других вредоносных программ, вредоносная программа Ryuk доставляется несколькими способами:

• Рассылка спама или фишингового электронного письма с зараженным вложением. Вы открываете его, а хакер получает удаленный доступ к вашей сети
• Рассылка фишингового письма, в котором злоумышленник, использующий угрозу Ryuk, атакует группы или организации, выдавая себя за кого-то из сотрудников компании или связанных с ней лиц. Все письма с вложением, содержащим программу-вымогатель Ryuk, также могут быть отправлены с поддельного адреса электронной почты, что позволяет злоумышленникам не быть раскрытыми.
• Через порт RDP, используя слабые средства защиты и позволяя хакерам получить удаленный доступ к вашей системе.

В некоторых атаках Ryuk сеть сначала заражается трояном (вредоносным содержимым, скрытым в кажущемся легитимным коде), известном как Emotet. Троян используется в качестве «закладчика» для загрузки Trickbot — другой разновидности вредоносного ПО. Это делается для нескольких систем, что позволяет злоумышленнику контролировать несколько целей и получать доступ к конфиденциальной информации и административным учетным данным. Затем киберпреступник направляет Ryuk на выбранную им цель.

Как и в случае с программой-вымогателем Locky, программой-вымогателем Cerber и программой-вымогателем REvil/Sodinokibi, как только злоумышленник нарушит безопасность вашей сети и сервера с помощью программы-вымогателя Ryuk, он отключит до 180 служб и 40 процессов, необходимых для работы вашей системы, что приведет к зашифровке важной информации.

После того как файлы оказываются зашифрованы, программа-вымогатель Ryuk удаляет оригинальные копии и все теневые копии с помощью файла .BAT. Это означает, что все попытки жертв восстановить свои данные будут безуспешными.

Для шифрования файлов Ryuk использует как симметричные, так и асимметричные алгоритмы шифрования аналогично тому, как это делают программы-вымогатели Petya и Mischa, использующие несколько методов шифрования пользовательских данных.

Затронув все файлы и приложения в сети, программа-вымогатель Ryuk, достигнув своей цели, поместит в каждую папку текстовый файл под названием "RyukReadMe.txt", в котором будет содержаться необходимая информация для получения выкупа. Если заплатить выкуп, как утверждают киберпреступники, копия ключа шифрования позволит восстановить файлы.

Примеры (известные атаки)

Поскольку число атак с использованием программ-вымогателей Ryuk продолжает расти, правительства и компании должны сохранять бдительность. Среди наиболее известных атак Ryuk с 2018 года можно назвать следующие:

• Больницы в США, Германии и Великобритании (2019-2020 гг.): Различные больницы в этих странах неоднократно становились жертвами атак вредоносной программы Ryuk. В сентябре 2020 года компания Universal Health Services (UHS), управляющая медицинскими учреждениями в Великобритании и США, подверглась атаке вредоносной программы Ryuk. Инцидент обошелся компании в 67 миллионов долларов, при этом потребовался месяц, чтобы вернуться к нормальной деятельности. Сеть из более чем 400 больниц в США и Великобритании также подверглась воздействию вредоносной программы Ryuk в сентябре 2020 года, причем в США пострадали все 250 учреждений, что стало одной из крупнейших медицинских атак Ryuk на сегодняшний день. По имеющимся данным, в октябре 2020 года вредоносная программа Ryuk стала причиной 75 % атак на сектор здравоохранения США.
• Лейк-Сити, Флорида (2019 г.): После того как один из сотрудников решил открыть письмо, содержащее вредоносную программу Ryuk, городские ИТ-системы оказались заблокированы с требованием выкупа в размере 460 000 долларов США. Мэр Лейк-Сити подтвердил, что городские власти заплатили выкуп, чтобы получить доступ к своим операциям.
• Город Онкапаринга, Южная Австралия (2019 г.): В декабре 2019 года ИТ-системы Совета Онкапаринги в Аделаиде были заражены программой-вымогателем Ryuk, что привело к утрате производительности на неделю.
• EMCOR (2020 г.): В феврале компания EMCOR, входящая в список Fortune 500, подтвердила, что несколько ее ИТ-систем пострадали от атаки вредоносной программы Ryuk. Компания не подтвердила, был ли произведен выкуп.

Как защитить свой бизнес от вредоносной программы Ryuk

Согласно прогнозам, в 2021 году программа-вымогатель будет стоить предприятиям 1,85 миллиона долларов США, а к 2031 году обойдется миру в 265 миллиардов долларов США. Компании, понимающие, как предотвратить атаки программ-вымогателей, могут существенно снизить свою уязвимость в сети. В настоящее время несколько факторов могут повысить риск стать жертвой атаки, в том числе устаревшее программное обеспечение или устройства, необновленные браузеры и/или операционные системы, недостаточное количество или отсутствие резервных копий или отсутствие инвестиций в инструменты защиты кибербезопасности.

Для защиты от новых киберугроз очень важно обеспечить регулярное обновление систем, а также установить защиту сети вашей компании от вирусов и вредоносных программ. Это программное обеспечение также должно поддерживаться другими защитными механизмами, такими как:

• Реализация плана восстановления в аварийных ситуациях: это может стать основой процессов и протоколов в вашей организации, а также позволит определить список лиц и контактов, которые необходимо уведомить в случае кибератаки.
• Управление доступом на основе ролей: Чтобы свести к минимуму риск атак вымогателей, следует внедрить резервное копирование и использовать принцип доступа с наименьшими привилегиями. Управление доступом на основе ролей (RBAC) также может обеспечить дополнительный уровень безопасности, ограничивая доступ сотрудников к данным, которые не нужны им для выполнения конкретных должностных обязанностей.

Как удалить программу-вымогатель Ryuk из моей операционной системы?

Хотя удалить программу-вымогатель Ryuk с ПК или Mac можно, это не гарантирует решение проблемы: вредоносная программа продолжит развиваться и создавать новые проблемы для организаций.

Принятие превентивных мер, таких как установка защиты от вредоносных программ, может защитить ваш бизнес от любых угроз кибербезопасности. В этом также помогут регулярное обновление программного обеспечения и приложений, включая исправления для устранения уязвимостей в вашей сети.