Tin tức và phân tích của tất cả các thiết bị di động

Ryuk Ransomware tạo ra sự hỗn loạn: nhắm vào các tổ chức chính phủ và bệnh viện

Một cái nhìn sâu sắc về Ryuk Ransomware

Ryuk ransomware là một mối đe dọa máy tính tiên tiến đã được tận dụng để xâm nhập vào các hệ thống và đặc biệt nhắm mục tiêu vào các tổ chức chính phủ và bệnh viện. Một số có thể nhận ra tên từ một manga nổi tiếng của Nhật Bản. Được cảnh báo rằng nó không có gì để làm với manga nói nhưng tên của nó.

Sau khi Ryuk ransomware đình công, bạn tìm thấy tất cả các tệp của mình với phần mở rộng ".ryk" được thêm vào. Khi đã có, dữ liệu của bạn sẽ không sử dụng được. Nhiễm trùng khóa các tệp của bạn với sự trợ giúp của thuật toán mã hóa RSA (không đối xứng) và AES (đối xứng). Ngay khi dữ liệu của bạn được mã hóa, bạn phát hiện ra một lưu ý tiền chuộc trên Máy tính để bàn của bạn. Nó cũng xuất hiện trong mỗi thư mục chứa dữ liệu bị khóa. Nó được gọi là RyukReadMe và đó là tệp ".html" hoặc ".txt". Thông điệp đòi tiền chuộc chính xác mà bạn nhận được tùy thuộc vào loại nạn nhân của bạn. Để giải thích, Ryuk để lại các thông điệp khác nhau cho các công ty hoặc cơ quan tương tự (các tổ chức chăm sóc sức khỏe, chính phủ, v.v.). Hai ghi chú khác nhau như sau:

Bạn phải đối mặt với một lựa chọn khó khăn. Bạn phải quyết định có nên tin tưởng vào độ tin cậy của những kẻ tống tiền trên mạng và trả tiền chuộc hay không. Hoặc, không làm như vậy, và từ bỏ các tập tin của bạn. Các chuyên gia kêu gọi bạn chọn cái sau. Luôn nhớ rằng bạn đang đối phó với tội phạm mạng và họ không thể tin tưởng được.

Ryuk Ransomware Bùng phát

Ryuk đã tuyên bố một danh sách các nạn nhân ấn tượng trong vòng đời tương đối ngắn của nó. Nó được phát hiện lần đầu tiên vào tháng 8 năm 2018 và vào năm 2019, nó chiếm hơn 18% các cuộc tấn công của ransomware.

Thị phần của Ryuk trên thị trường ransomware năm 2019 – Nguồn: Coveware.com.

Dưới đây là danh sách một số mục tiêu của Ryuk:

  • Bãi biển Riviera (tháng 5 năm 2019)
  • Thành phố hồ (tháng 6 năm 2019)
  • Đài phát thanh Tampa (tháng 6 năm 2019)
  • Tòa án Georgia (tháng 6 năm 2019)
  • Quận La Porte (tháng 7 năm 2019)
  • Trường học Syracuse (tháng 7 năm 2019)
  • Thư viện quận Onondaga (tháng 7 năm 2019)
  • Thư viện Hạt Butler (tháng 7 năm 2019)
  • Collierville, TN bị nhiễm bệnh (tháng 7 năm 2019)
  • Quận Henry, GA (tháng 7 năm 2019)
  • Lawrenceville, sở cảnh sát GA (tháng 7 năm 2019)
  • Từ cuộc tấn công ở Bãi biển Riviera, nó đã nhận được 600.000 đô la. Lake City one mang về 460.000 đô la và La Porte 130.000 đô la. Số tiền chuộc chính xác, nhu cầu đe dọa, khác nhau giữa các nạn nhân. Người ta ước tính rằng, cho đến nay, Ryuk đã đưa ra yêu cầu thanh toán gần 300 triệu đô la.

    Ryuk vượt lên trên các mối đe dọa ransomware nổi tiếng khác với nhu cầu tiền chuộc đáng kinh ngạc của nó – Nguồn: Coveware.com.

    Ryuk Ransomware Tiền chuộc trung bình so với Ransomware Marketplace – Nguồn: Coveware.com.

    Khi nói đến ransomware, thanh toán tiền chuộc không phải lúc nào cũng giải mã dữ liệu bằng nhau. Hầu hết các mối đe dọa tương tự có xu hướng không tuân theo lời hứa của họ để gửi cho bạn khóa giải mã khi nhận được tiền của bạn. Theo các nhà nghiên cứu trên mạng, Ryuk có xu hướng đáng tin cậy hơn theo nghĩa đó so với các bệnh nhiễm trùng khác. Trong 88% trường hợp, thanh toán dẫn đến giải mã thành công.

    Kết quả của 'Ryuk ransomware' – Nguồn: Coveware.com.

    Ryuk đã hack 80.000 máy tính tại 110 nhà dưỡng lão và bệnh viện ở Hoa Kỳ

    Bệnh dịch hạch Ryuk được tin tặc Nga tung ra. Vào ngày 17 tháng 11 năm 2019, công ty lưu trữ đám mây Virtual Care Carrier Inc. (VCPI), có trụ sở tại Milwaukee, Wisconsin, đã trở thành nạn nhân của ransomware. Cuộc tấn công đó gây hậu quả khủng khiếp. Theo một đại diện từ Virtual Care Carrier Inc., cuộc tấn công vào họ đã dẫn đến sự tham nhũng của hơn 80.000 máy tính. Và, 110 bệnh viện và viện dưỡng lão đã bị tê liệt, và không thể cung cấp dịch vụ chăm sóc bệnh nhân đầy đủ.

    Về cơ bản, các hệ thống bị Ryuk tấn công tại một số viện dưỡng lão và bệnh viện khiến cuộc sống bị treo lơ lửng. Cuộc tấn công đã lan rộng khắp 45 tiểu bang và vào thời điểm đó đã ngăn chặn khả năng các cơ sở đó chăm sóc khách hàng và bệnh nhân của họ. May mắn thay, đối với một số cơ sở, họ có sẵn tiền để trả các khoản tiền chuộc, nhưng những người khác dường như đã mất một số dữ liệu quan trọng của họ.

    Ryuk Ransomware đã xâm nhập vào máy chủ của công ty như thế nào?

    Ryuk ransomware đã sử dụng sự lừa dối và khéo léo để xâm chiếm các máy chủ. Phải mất hàng tháng tin tặc gửi email lừa đảo cho nhân viên. Các email chứa tệp đính kèm độc hại và bằng cách nhấp vào chúng, các nhân viên đã cung cấp cho ransomware một cách vào máy chủ nội bộ của công ty. Nó cho phép tin tặc Nga giành quyền kiểm soát từng chút một.

    Đó là một chiến lược mà Ryuk thường chuyển sang email lừa đảo. Một số khác liên quan đến việc sử dụng truy cập Giao thức máy tính từ xa. Các công ty cho phép nhân viên truy cập mạng của họ thông qua truy cập từ xa, mà không có biện pháp bảo vệ thích hợp, sẽ dễ bị tấn công từ các mối đe dọa như Ryuk.

    Ryuk Ransomware Các vectơ tấn công phổ biến – Nguồn: Coveware.com.

    Trình nhỏ giọt Ryuk chứa cả tải trọng 32 bit và 64 bit. Nó chọn cái nào sẽ sử dụng, tùy thuộc vào hệ thống được nhắm mục tiêu. Trước khi giảm tải, nó cũng kiểm tra phiên bản của hệ điều hành và sau đó hành động theo.

    Một khi bên trong, mối đe dọa chấm dứt và vô hiệu hóa một loạt các quy trình và dịch vụ. Chúng thường được chứa trong một danh sách được xác định trước và có xu hướng nằm trong địa hạt của các công cụ chống vi-rút, cơ sở dữ liệu, sao lưu và phần mềm khác.

    Danh sách các dịch vụ bị vô hiệu hóa bởi Ryuk ransomware – nguồn: Zscaler.com.

    Danh sách các quy trình bị chấm dứt bởi ransomware Ryuk – nguồn: Zscaler.com.

    Bệnh nhân không được chăm sóc vì Ryuk Ransomware

    Các ransomware đã tấn công công ty lưu trữ dữ liệu đám mây, nơi lưu trữ các máy chủ của bệnh viện. Công ty lưu trữ dữ liệu mã hóa tất cả dữ liệu, bao gồm hồ sơ y tế và dữ liệu quản lý thuốc. Sau khi Ryuk ransomware kiểm soát các máy chủ của công ty, VCPI không thể truy cập hồ sơ bệnh nhân, dữ liệu thanh toán, hệ thống email và điện thoại, hoạt động trả lương và thậm chí cả dịch vụ Internet cơ bản. Những kẻ bắt cóc trên mạng đòi tiền chuộc 14 triệu đô la. Vì mức giá đó quá cao so với VCPI, họ đã không trả tiền. Điều đó dẫn đến vô số bệnh nhân không nhận được sự chăm sóc mà họ cần. Ryuk ransomware gây nguy hiểm rất lớn đến cuộc sống của nhiều người.

    Một công ty bảo mật tư nhân, được gọi là Prosegur, cũng trở thành nạn nhân của Ryuk ransomware. Cuộc tấn công của nhiễm trùng đã dẫn đến các trang web của công ty bị ngoại tuyến ở nhiều khu vực. Vì ransomware, báo động an ninh không hoạt động! Khách hàng của Prosegur đã đưa đến Twitter chia sẻ rằng báo thức của họ không hoạt động và họ không cảm thấy an toàn trong nhà nữa. Họ có Ryuk ransomware để cảm ơn vì điều đó.

    Các chuyên gia tin rằng mục tiêu của Ryuk ransomware không phải là đánh cắp dữ liệu mỗi lần, mà là để vô hiệu hóa cơ sở hạ tầng, cụ thể hơn là các máy chủ và tạo ra một carfuffle. Theo báo cáo từ Trung tâm an ninh mạng quốc gia Hà Lan, Ryuk ransomware đã tấn công xung quanh 1, 800 tổ chức lớn trên toàn thế giới. Ryuk ransomware có "loại" nạn nhân ưa thích. Tội phạm mạng đứng sau nó có xu hướng sử dụng để thực hiện các cuộc tấn công vào các tổ chức chính phủ, giáo dục và y tế, các tổ chức liên quan đến phân phối năng lượng, nước, công nghiệp tiện ích trong các lĩnh vực như xây dựng, hóa chất, y tế, thực phẩm, giải trí và cơ sở hạ tầng quan trọng.

    Vào tháng 3 năm 2019, một quận ở Georgia, Hoa Kỳ, đã được Ryuk ransomware lấy với giá 400.000 đô la. Các ransomware đã khóa dữ liệu của họ và yêu cầu số tiền chuộc dốc, như các mối đe dọa ransomware thường làm. Vì họ không có bản sao lưu, họ đã tuân thủ và trả tiền. Rất may, Quận đã nhận được khóa giải mã thích hợp và quản lý để lấy lại tất cả dữ liệu của họ. Tuy nhiên, đó không phải là trường hợp của hầu hết các cuộc tấn công ransomware khác. Thông thường, nó không quan trọng nếu bạn trả tiền hay không. Đó là lý do tại sao các chuyên gia khuyên không nên tuân thủ và khuyên bạn luôn sao lưu dữ liệu của mình và sử dụng các tài nguyên chống phần mềm độc hại cần thiết để giúp loại bỏ các cuộc tấn công của ransomware.