什么是 Ryuk 勒索软件?

Ryuk 是一种勒索软件,通常针对非常大的组织。操作 Ryuk 的团体要求受害者支付昂贵的赎金。

学习目标

阅读本文后,您将能够:

  • 描述 Ryuk 勒索软件如何运作
  • 了解 Ryuk 背后的团体如何操作
  • 列出一些主要的 Ryuk 勒索软件攻击事件

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是 Ryuk 勒索软件?

Ryuk 是一种勒索软件*,攻击者从 2018 年开始使用此软件向企业勒索钱财。运营 Ryuk 的各方追求更大的目标,并收取比大多数勒索软件攻击者更高的赎金。Ryuk 攻击的不寻常之处在于,它们通过大量的监视和人工努力来感染其目标。(对于典型的勒索软件集团来说,在攻击中投入如此多的精力会使其成本效益降低)。

据称,大多数 Ryuk 勒索软件攻击背后的组织被称为 Wizard Spider。Wizard Spider 还经营 TrickBot,这是一个恶意软件特洛伊木马,它是一个伪装成良性的恶意文件。

*勒索软件是一种恶意软件,它锁住文件和数据(最常见的方式是通过 加密 )并以此索取赎金。一旦受害机构支付赎金,控制勒索软件的攻击者或团体就会远程解锁文件。

Ryuk 勒索软件如何进入一个组织?

大多数情况下,Ryuk“病毒”通过 TrickBot 感染进入网络。TrickBot 可以通过多种方式进入组织。垃圾邮件是最常见的方法之一。TrickBot 还通过先前存在的 Emotet 僵尸网络传播,该僵尸网络使用恶意电子邮件(特别是 Word 文档电子邮件附件)来感染计算机。

一旦 TrickBot 感染了一个设备,Wizard Spider 组织就可以利用它来安装 Ryuk 勒索软件。然后 Ryuk 在网络内横向移动,在不触发安全警报的情况下感染尽可能多的连接设备。

Wizard Spider 利用各种技术和漏洞,在网络内传播 Ryuk 感染,同时不被发现。有时这是一个手动过程——该集团可以在 PowerShell(Windows 操作系统中的一个工具)中远程运行恶意脚本,或利用远程桌面协议 (RDP) 以及其他方法。

Ryuk 勒索软件是如何工作的?

一旦 Ryuk 执行,它将加密所有受感染的计算机、网络驱动器和网络资源上的文件和数据。

据安全公司 CrowdStrike 称,Ryuk 使用 RSA-2048 和 AES-256 算法来加密文件。RSA 是一种公钥加密算法,意味着它生成一对用于加密文件和数据的密钥:公钥和私钥。Wizard Spider 持有私钥,防止受害者自行解密文件。

与大多数勒索软件不同,Ryuk 积极尝试加密系统文件。正如 CrowdStrike 所观察到的,它试图加密启动文件,这将使主机系统不稳定,或者在重新启动时完全崩溃。

通常情况下,勒索信以文本 (.txt) 文件的形式出现在受感染的系统上。 Ryuk 在执行时会生成这个文件。勒索信指示受害者如何联系攻击者并支付赎金。

Ryuk 赎金支付

Wizard Spider 通常要求用比特币付款,经常要求价值 10 万美元或更多的赎金。一个美国城市在遭受 Ryuk 攻击后支付了 46 万美元作为赎金。

专家估计,Wizard Spider 在 2021 年已经赚取了超过 1.5 亿美元的赎金。

有哪些主要的 Ryuk 勒索软件攻击?

Tribune Publishing 攻击

2018 年,Ryuk 通过被感染的 Tribune Publishing 软件传播到美国各地的几家报纸。这些攻击使报纸印刷中断了几天。

Universal Health Services (UHS) 感染

2020 年,Universal Health Services (UHS) 的 IT 基础设施被 Ryuk 勒索软件锁定。该组织的电话系统和病人健康记录无法访问。UHS 花了大约三周的时间来恢复他们的系统,他们估计这次攻击造成的损失为 6700 万美元。

2020 年对美国医院的攻击

除 UHS 医院外,其他几家美国医院在 2020 年也成为 Ryuk 勒索软件攻击的受害者。这些攻击加密了关键数据,扰乱了治疗,延误了许多病人的手术。

Ryuk 勒索软件与 Hermes 勒索软件有什么关系?

Hermes 是一种不同但相关的勒索软件,于 2017 年首次投入使用。Hermes 在勒索软件的地下世界中被广泛传播。多年来,许多攻击者都使用过 Hermes,而且它未关联至某个特定团体。

Ryuk 勒索软件主要基于 Hermes。起初,Ryuk 与 Hermes 共享大量代码,但随着时间的推移,Wizard Spider 进一步改变了 Ryuk。

如何预防 Ryuk 勒索软件的感染

  • 训练用户避免打开出乎意料的电子邮件和电子邮件附件:大多数恶意软件的感染都是因为用户的错误,Ryuk 也不例外。虽然 Wizard Spider 集团经常可以在一个组织内自行传播 Ryuk,但最初的感染通常是因为用户打开或下载了一个恶意的电子邮件附件,导致 TrickBot 或 Emotet 感染。用户安全培训可以减少这种情况发生的几率。
  • 分析系统是否存在预先存在的感染:许多 Ryuk 攻击的发生是因为网络已经感染了 TrickBot 或 Emotet 恶意软件。反恶意软件扫描(一种重要的端点安全实践)可以帮助检测这些感染并使网络管理员能够隔离受感染的设备。
  • 使用零信任安全模式:零信任网络中,默认不信任任何计算设备,设备必须不断地被重新验证。这种方法限制了受感染设备的访问,防止网络入侵。
  • 定期备份文件和数据:在某些情况下,组织可以从备份中恢复他们的数据,而不是支付赎金或重建他们整个 IT 基础设施。

即使使用这些方法,也无法保证 Ryuk 勒索软件的攻击不会发生,就像无法 100% 防止任何威胁一样。然而,这些步骤可以大大减少感染的机会。

如在实施零信任安全模式方面需要帮助,可使用 Cloudflare One。Cloudflare One 是一个安全访问服务边缘 (SASE) 平台,具有广泛的网络连接和内置的零信任安全。