В 2019 году шифровальщики были одним из ключевых инструментов при совершении кибер-преступлений. Компании и организации в разных странах мира были поражены кибер-атаками, которые использовали этот вид вредоносных программ для шифрования их файлов и требования выкупа. Для проведения волны этих атак использовался целый ряд вариантов шифровальщиков. Однако есть один вариант, который очень часто использовался тогда и который все еще можно увидеть сегодня: Ryuk.
Ryuk – это один из самых известных вариантов шифровальщиков за последние несколько лет. С тех пор как он впервые появился летом 2018 года, он собрал внушительный список жертв, особенно в бизнес-среде, которая является главным объектом его атак.
В середине 2019 года огромное количество испанских компаний подверглось серьезным атакам, при проведении которых использовался Ryuk для шифрования их систем. Пострадавшие компании представляли различные отрасли и различались по размеру. Например, среди таких компаний оказалась компания Everis и несколько муниципальных органов власти.
Но Испания – это единственная страна, которая пострадала от рук этого шифровальщика: среди стран, которые больше всего пострадали от Ryuk, можно увидеть Германию, Китай, Алжир и Индию. За последние три года от Ryuk пострадали миллионы пользователей, он сумел скомпрометировать огромные объемы данных и привести к серьезным экономическим потерям.
Как работает Ryuk
Подобно другим программам-шифровальщикам, после завершения шифрования файлов своих жертв, Ryuk оставляет уведомление с требованием выкупа, в которой говорится, что для восстановления своих файлов жертве необходимо произвести платеж в биткоинах по адресу, указанному в уведомлении.
В образце, проанализированном в компании Panda Security, Ryuk пробрался в систему через удаленное соединение, созданное благодаря RDP-атаке. Злоумышленнику удалось удаленно войти в систему. После входа в систему он создал исполняемый файл с образцом.
Ryuk, как и другие вредоносные программы, пытается оставаться в системе как можно дольше. Один из способов, которым он пытается это сделать, заключается в создании исполняемых файлов и их скрытом запуске. Чтобы иметь возможность шифровать файлы своей жертвы, он также должен иметь соответствующие привилегии. Вообще говоря, Ryuk начинается с горизонтального передвижения по сети жертвы или запускается другой вредоносной программой, такой как Emotet или Trickbot. Они отвечают за расширение привилегий, после чего предоставляют эти более широкие права шифровальщикам.
Как защитить свою компанию от Ryuk
Шифровальщик Ryuk использует множество «трюков», чтобы получить доступ, усилить свое присутствие в системе и зашифровать файлы своих жертв. Как и в случае со всеми шифровальщиками, если у вас нет надлежащей защиты и если вы не следуете соответствующим рекомендациям, эту угрозу будет очень сложно сдержать.
Компания Panda Security борется с этой угрозой с помощью семейства решений Panda Adaptive Defense, которые сочетают в себе передовую защиту конечных устройств с возможностями EDR-технологий, системой непрерывного мониторинга всех конечных устройств в системе и сервисом 100% классификации. Решение использует в своей работе подход «нулевого доверия»: любой неизвестный процесс или приложение блокируется до тех пор, пока они не будут проанализированы в антивирусной лаборатории. Таким образом, решение способно остановить практически любую угрозу до момента ее запуска, даже такие сложные и «продвинутые» атаки, как Ryuk.
Вы можете получить детальную техническую информацию о шифровальщике Ryuk в нашем отчете об этом шифровальщике, составленном экспертами антивирусной лаборатории PandaLabs:
