リューク・ランサムウェア

架空のアニメキャラクターにちなんで名付けられたRyukは、2017年以来、数百の当社 、世界的な組織を標的とした大物狩りキャンペーンで、さまざまなAPTグループによって使用されているランサムウェアの著名な株である。Ryukランサムウェア攻撃は、他の系統よりも平均約10倍の身代金を要求し、被害者から数億ドル相当のビットコイン（BTC）を強要しており、全世界のランサムウェア感染の推定20%を占めています。

当初は北朝鮮のものとされていたが、Ryukの活動は主に、Wizard Spider、FIN6、Lazarus Group、APT38、TEMP.Mixmaster、UNC1878など、ロシア語を話すサイバー犯罪グループと関連している。Ryukが、その前身であるHermesの、ロシアのソフトウェアで一般的に使用されているファイル拡張子の暗号化に関する制限を削除したという事実は、Ryukがロシアのサイバー犯罪に由来することを示すもう1つの兆候である。

Ryukはサービス型ランサムウェア（RaaS）として公には宣伝されていないが、そのソースコードはダークウェブのフォーラムで、独自のRaaS運用のためにカスタマイズするグループに販売されている。このため、機密データの特定、データの流出、横方向への移動など、多様な拡張機能を持つRyukの亜種が数多く生まれている。

Ryukは、2017年に初めて検出されたHermes 2.1ランサムウェアから派生したもので、現在もオリジナルのHermesコードを一部共有しています。展開されると、RyukはWindowsレジストリの実行キーを追加することで永続性を確立し、実行中のプロセスに自身を注入して特権を昇格させ、既知のウイルス対策ソフトウェア、データベース、バックアップサービスのプロセスを停止させます。 

Ryukの初期バージョンは機能的に制限されており、ファーストステージ、データ流出、および横方向への侵入機能が欠けていました。そのため、Ryukは通常、補完的な攻撃機能を持つ他のマルウェアのツールキットと組み合わせて使用されてきました。しかし2021年、ワームのような機能を持ち、ウェイクオンLAN信号を隣接するネットワーク・デバイスにプッシュする機能を持つRyukのバージョンが確認され、Ryukはネットワークからアクセス可能なシステムをスタンバイ／スリープ・モードでリモートから起動できるようになりました。

Ryukランサムウェアは、その寿命の間、いくつかの既知の感染ベクターを使って展開されてきた：

Trickbot -> Ryuk： Trickbotは、被害者のネットワークを介して拡散し、機密データを盗むなどの攻撃者の目標をサポートし、Ryukランサムウェア攻撃で終わる。Ryukを展開するTrickBot攻撃は、2020年初頭に大幅に減少しました。

Emotet -> Trickbot -> Ryuk： Emotetベースのマルウェア感染は、2020年9月までTrickbotとRyukを配信し続けた。

BazarLoader -> Ryuk： BazarLoader (AKA BazarBackdoor)はファーストステージのマルウェアで、セカンドステージのコマンド&コントロール(C2)ペイロードを展開し、価値の高い資産の流出や暗号化を狙って標的のネットワークに侵入します。攻撃者はおよそ2020年半ばから、BazarLoaderを介してRyukを展開しています。

Buerloader -> Ryuk： Buer（別名RustyBuer）は、2020年後半にEmotetベースのRyuk感染チェーンに取って代わった、ダークウェブ上でマルウェア・アズ・ア・サービスとして販売されている第一段階のマルウェアである。

SilentNight -> Ryuk： SilentNightは、2020年以降、Ryukランサムウェアを配布するために使用されているZeus/Zloaderマルウェアの亜種です。 

ファイルの身代金を要求する主な任務として、Ryuk は感染したホストに応じて 32 ビットまたは 64 ビットの暗号化モジュールを選択し、AES-256 と RSA 公開鍵暗号方式を組み合わせて被害者のファイルを暗号化します。Ryukはまた、被害者がWindowsのシステム機能を使ってファイルを復元できないように、すべてのバックアップファイルとボリュームシャドウコピーを削除します。被害者が身代金のメモを見つけ、攻撃者に連絡して身代金を支払うことができるように、RyukはWindowsシステムファイルやインターネットブラウザの暗号化を避けています。最後に、Ryukは暗号化プロセスが完了した後にペイロードとアーティファクトを削除することで、その活動を効果的に隠し、発見や分析から保護します。

• フィッシング・テクニックについて担当者を教育するためのユーザー意識向上トレーニングを検討し、不審な電子メールや文書を取り扱うための標準作業手順書（SOP）を作成する。
• セキュリティ製品、オペレーティング・システム、アプリケーションなど、IT環境全体にアップデートとセキュリティ・パッチが適用されていることを確認する。
• 最小特権の原則に基づく強力なアクセス制御を導入し、すべての資産に多要素認証（MFA）を義務付ける。
• ネットワークの異常な挙動を検知するために、完全に更新された侵入検知・防御（IDS/IPS）セキュリティ・アプライアンスをインストールし、維持する。
• 最新のアイデンティティ・アクセス管理（IAM）ツールの導入
• すべてのエンドポイントに高度なエンドポイントセキュリティ製品をインストールおよび設定し、侵害の兆候（IOC）を検出し、悪意のあるファイルの実行をブロックする防御措置を講じる。
• IDSや次世代ファイアウォールなどのネットワークセキュリティアプライアンスを使用し、ネットワークをさらに強化し、重要なシステムを別のVLAN/Windowsドメインにセグメント化する。
• 強固なバックアップ戦略とインシデント対応計画を策定・維持し、ランサムウェア攻撃に対する耐性を確保する。