Ryuk Ransomware

Batizado com o nome de um personagem fictício de anime, Ryuk é uma cepa proeminente de ransomware usada por vários grupos APT em campanhas de caça de grandes jogos direcionadas a centenas de organizações americanas e globais desde 2017. Os ataques de ransomware Ryuk exigem, em média, cerca de dez vezes mais resgate do que outras cepas, extorquiram centenas de milhões de dólares em Bitcoin (BTC) de suas vítimas e representam cerca de 20% de todas as infecções por ransomware em todo o mundo, o que o torna uma cepa prolífica de ransomware.

Embora inicialmente atribuída à Coreia do Norte, a atividade do Ryuk está associada principalmente a grupos de criminosos cibernéticos de língua russa, incluindo Wizard Spider, FIN6, Lazarus Group, APT38, TEMP.Mixmaster e UNC1878. O fato de o Ryuk ter removido as restrições de seu antecessor Hermes sobre a criptografia de extensões de arquivos comumente usadas por softwares russos é outro sinal de que o Ryuk tem origem no crime cibernético russo.

Embora o Ryuk não seja anunciado publicamente como ransomware como serviço (RaaS), seu código-fonte é vendido em fóruns da Dark Web para grupos que o personalizam para suas próprias operações de RaaS. Isso levou a inúmeras variantes do Ryuk com diversos recursos estendidos para identificação de dados confidenciais, exfiltração de dados e movimentação lateral.

O Ryuk foi derivado do ransomware Hermes 2.1 detectado pela primeira vez em 2017 e ainda compartilha alguns códigos originais do Hermes. Uma vez implantado, o Ryuk estabelece a persistência adicionando uma chave de execução do registro do Windows, injeta-se em processos em execução para aumentar os privilégios e interrompe processos conhecidos de software antivírus, bancos de dados e serviços de backup. 

As primeiras versões do Ryuk eram funcionalmente limitadas, sem recursos de primeiro estágio, exfiltração de dados e penetração lateral. Assim, o Ryuk era normalmente usado em conjunto com outros kits de ferramentas de malware com funções de ataque complementares. No entanto, em 2021, foi identificada uma versão do Ryuk com recursos semelhantes aos de um worm e a capacidade de enviar sinais de wake-on-LAN para dispositivos de rede adjacentes, permitindo que o Ryuk ativasse remotamente sistemas acessíveis pela rede em modo de espera/soneca.

Vários vetores de infecção conhecidos foram usados para implantar o Ryuk ransomware ao longo de sua vida útil:

Trickbot -> Ryuk: A Trickbot apoia os objetivos do atacante, como a disseminação pela rede da vítima e o roubo de dados confidenciais, terminando em um ataque de ransomware Ryuk. Os ataques do TrickBot que implementam o Ryuk diminuíram significativamente no início de 2020.

Emotet -> Trickbot -> Ryuk: As infecções por malwarebaseadas no Emotet continuaram a entregar a Trickbot e a Ryuk até setembro de 2020.

BazarLoader -> Ryuk: O BazarLoader (também conhecido como BazarBackdoor) é um malware de primeiro estágio que implementa uma carga útil de comando e controle (C2) de segundo estágio para penetrar nas redes dos alvos em busca de ativos de alto valor para exfiltrar e criptografar. Os atacantes têm implementado o Ryuk via BazarLoader desde aproximadamente meados de 2020

Buerloader -> Ryuk: O Buer (também conhecido como RustyBuer) é um malware de primeiro estágio vendido como um malware como serviço na Dark Web que substituiu a cadeia de infecção Ryuk baseada no Emotet no final de 2020.

SilentNight -> Ryuk: O SilentNight é uma variante do malware Zeus/Zloader usada para distribuir o ransomware Ryuk desde 2020. 

Para sua função principal de resgate de arquivos, o Ryuk seleciona um módulo de criptografia de 32 ou 64 bits, dependendo do host infectado, e emprega um esquema criptográfico combinado de chaves públicas AES-256 e RSA para criptografar os arquivos da vítima. O Ryuk também exclui todos os arquivos de backup e cópias de sombra de volume para impedir que as vítimas recuperem seus arquivos por meio das funções do sistema Windows. Para garantir que as vítimas possam encontrar a nota de resgate e entrar em contato com os atacantes para pagar o resgate, o Ryuk evita criptografar os arquivos de sistema do Windows e os navegadores de Internet. Por fim, o Ryuk oculta efetivamente sua atividade e protege sua carga útil contra descoberta e análise, excluindo sua carga útil e artefatos após a conclusão do processo de criptografia.

• Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing e desenvolva procedimentos operacionais padrão (SOP) para lidar com e-mails e documentos suspeitos
• Garantir que as atualizações e os patches de segurança sejam aplicados em todo o ambiente de TI, incluindo produtos de segurança, sistemas operacionais e aplicativos
• Implemente controles de acesso rigorosos com base no princípio do menor privilégio e exija autenticação multifatorial (MFA) em todos os ativos
• Instale e mantenha os dispositivos de segurança de detecção e prevenção de intrusões (IDS/IPS) totalmente atualizados para detectar comportamentos anormais na rede
• Implementar ferramentas modernas de gerenciamento de identidade e acesso (IAM)
• Instale e configure produtos avançados de segurança de endpoint em todos os endpoints para detectar indicadores de comprometimento (IOC) e tomar medidas defensivas para impedir a execução de arquivos maliciosos
• Use dispositivos de segurança de rede, como IDS e firewalls de última geração, e fortaleça ainda mais uma rede e segmente sistemas críticos em uma VLAN/domínio Windows separado.
• Desenvolver e manter uma estratégia robusta de backup e planos de resposta a incidentes para garantir a resiliência contra ataques de ransomware