Ryuk 勒索软件

Ryuk 以虚构的动漫人物命名，是自 2017 年以来各种 APT 组织在针对数百家美国和全球组织的大型狩猎活动中使用的一种著名勒索软件。Ryuk 勒索软件攻击索取的赎金平均约为其他勒索软件的十倍，已从受害者那里勒索了价值数亿美元的比特币（BTC），估计占全球所有勒索软件感染的 20%，是一种多产的顶级勒索软件。

尽管 Ryuk 最初被归咎于朝鲜，但其活动主要与讲俄语的网络犯罪集团有关，包括Wizard Spider、FIN6、Lazarus Group、APT38 和 TEMP.Mixmaster 以及 UNC1878。Ryuk 取消了其前身 Hermes 对加密俄罗斯软件常用文件扩展名的限制，这也是 Ryuk 源自俄罗斯网络犯罪的另一个迹象。

尽管 Ryuk 并未作为勒索软件即服务（RaaS）进行公开宣传，但其源代码已在暗网论坛上出售给为自己的 RaaS 业务进行定制的团体。这导致出现了许多 Ryuk 变种，它们具有敏感数据识别、数据外渗和横向移动等多种扩展功能。

Ryuk 源自 2017 年首次检测到的 Hermes 2.1 勒索软件，仍然共享 Hermes 的部分原始代码。一旦部署，Ryuk会通过添加Windows注册表运行键来建立持久性，将自身注入正在运行的进程以升级权限，并停止已知的杀毒软件、数据库和备份服务进程。 

Ryuk 的早期版本功能有限，缺乏第一阶段、数据渗入和横向渗透能力。因此，Ryuk 通常与其他具有互补攻击功能的恶意软件工具包一起使用。然而，在 2021 年，Ryuk 的一个版本被发现具有蠕虫病毒般的功能，并能向邻近的网络设备发送局域网唤醒信号，使 Ryuk 能够远程激活待机/休眠模式下可访问网络的系统。

在 Ryuk 勒索软件的整个生命周期中，有几种已知的感染载体被用于部署 Ryuk 勒索软件：

Trickbot -> Ryuk： Trickbot支持攻击者的目标，如在受害者的网络中传播并窃取敏感数据，最终导致 Ryuk 勒索软件攻击。2020 年初，部署 Ryuk 的 TrickBot 攻击显著减少。

Emotet -> Trickbot -> Ryuk： 基于 Emotet 的恶意软件感染在 2020 年 9 月之前一直在传播 Trickbot 和 Ryuk。

BazarLoader -> Ryuk： BazarLoader（又名 BazarBackdoor）是一种第一级恶意软件，可部署第二级命令与控制（C2）有效载荷，以渗透目标网络，寻找可外泄和加密的高价值资产。大约从 2020 年中期开始，攻击者就开始通过 BazarLoader 部署 Ryuk。

Buerloader -> Ryuk： Buer（又名 RustyBuer）是一种在暗网上以恶意软件即服务方式出售的初级恶意软件，它在 2020 年底取代了基于 Emotet 的 Ryuk 感染链。

SilentNight -> Ryuk： SilentNight 是 Zeus/Zloader 恶意软件的一个变种，自 2020 年起用于传播 Ryuk 勒索软件。 

为了完成赎回文件的主要任务，Ryuk 会根据受感染的主机选择 32 位或 64 位加密模块，并采用 AES-256 和 RSA 组合公开密钥加密方案来加密受害者的文件。Ryuk 还会删除所有备份文件和卷影副本，以防止受害者通过 Windows 系统功能恢复文件。为确保受害者能找到赎金条并联系攻击者支付赎金，Ryuk 避免加密 Windows 系统文件和 Internet 浏览器。最后，Ryuk 通过在加密过程完成后删除其有效载荷和人工制品来有效隐藏其活动并保护其有效载荷不被发现和分析。

• 考虑开展用户意识培训，让员工了解网络钓鱼技术，并制定处理可疑电子邮件和文件的标准操作程序 (SOP)。
• 确保在整个 IT 环境中应用更新和安全补丁，包括安全产品、操作系统和应用程序
• 根据最少特权原则实施强有力的访问控制，并要求对所有资产进行多因素身份验证 (MFA)
• 安装并维护全面更新的入侵检测和防御 (IDS/IPS) 安全设备，以检测异常网络行为
• 实施现代身份和访问管理（IAM）工具
• 在所有端点上安装和配置高级端点安全产品，以检测入侵迹象 (IOC)，并采取防御措施阻止恶意文件的执行
• 使用 IDS 和新一代防火墙等网络安全设备，进一步加固网络并将关键系统划分到单独的 VLAN / Windows 域中
• 制定并维护稳健的备份策略和事件响应计划，确保抵御勒索软件攻击的能力