Ransomware Ryuk là phiên bản ransomware do nhóm hacker Wizard Spider đã xâm nhập các tổ chức chính phủ, học viện, chăm sóc sức khỏe, sản xuất và công nghệ. Ransomware Ryuk là một mối đe dọa thực sự nghiêm trọng đối với các doanh nghiệp, tổ chức lớn.
Biết về Ransomware Ryuk
Ransomware Ryuk là tên của một gia đình Ransomware, được phát hiện lần đầu tiên trong tự nhiên vào tháng 8 năm 2018. Ransomware Ryuk có khả năng xác định và mã hóa các ổ đĩa và tài nguyên mạng, đồng thời xóa các bản sao ẩn trên điểm cuối nạn nhân. Điều này làm cho việc khôi phục sau một cuộc tấn công trở nên vô cùng khó khăn nếu không có bản sao lưu dữ liệu bên ngoài nào tồn tại.
Ransomware Ryuk nhanh chóng tự khẳng định mình là một phần mềm độc hại “Big game hunting”, đại diện cho một sự thay đổi đối với tổ chức tội phạm. Ransomware Ryuk sẽ khóa các tệp hoặc hệ thống của doanh nghiệp và giữ chúng làm con tin để đòi tiền chuộc từ các doanh nghiệp, tổ chức lớn.
Ransomware Ryuk là một loại Ransomware được sử dụng trong các cuộc tấn công có chủ đích, trong đó các tác nhân đe dọa đảm bảo rằng các tệp thiết yếu được mã hóa sau đó vô hiệu hóa tính năng Khôi phục Hệ thống dữ liệu để chúng có thể yêu cầu số tiền chuộc lớn.
Các nạn nhân của Ryuk cho đến nay
Ryuk nhắm mục tiêu vào các tổ chức nổi tiếng, nơi chúng có thể tìm thấy thông tin quan trọng làm tê liệt hoạt động của nạn nhân. Các nạn nhân của Ransomware Ryuk thường bao gồm các mục tiêu như báo chí, bệnh viện và các chức năng tổ chức của thành phố, điều này mang đến cho chúng hàng trăm nghìn khoản thanh toán tiền chuộc.
Tháng 10 năm 2018, Ransomware Ryuk nhắm mục tiêu vào các tổ chức lớn Cơ quan cấp nước và thoát nước Onslow (OWASA) và làm gián đoạn mạng lưới của họ. Tháng 12 năm 2018, các tờ báo của Tribune Publishing trở thành nạn nhân, ảnh hưởng đến những người dùng như Los Angeles Times.
Đến những năm 2019 – 2020 là thời điểm Ransomware Ryuk thực hiện các cuộc tấn công lớn nhắm mục tiêu một loạt bệnh viện ở California, New York và Oregon. Ngoài ra nạn nhân của Ransomware Ryuk còn là các cơ sở chăm sóc sức khỏe của Anh và Đức, gây ra những khó khăn trong việc tiếp cận hồ sơ bệnh nhân và thậm chí ảnh hưởng đến việc chăm sóc quan trọng.
Nhìn chung, hơn một chục bệnh viện đã phải hứng chịu các cuộc tấn công bằng Ransomware Ryuk vào cuối năm 2020. Theo thống kê của các Báo cáo về Ransomware thì vào năm 2019, Ryuk có nhu cầu tiền chuộc cao nhất ở mức 12,5 triệu USD và thu về tổng cộng 150 triệu USD vào cuối năm 2020.
Ransomware Ryuk lây nhiễm như thế nào?
Ransomware Ryuk thường sử dụng cách tiếp cận chủ động với các chiến thuật độc đáo được điều chỉnh riêng cho từng mục tiêu khác nhau của chúng. Ngoài việc gây ra các cuộc tấn công Ransomware trên diện rộng vào các doanh nghiệp, tổ chức lớn thì Ransomware Ryuk còn được triển khai đối với những nạn nhân chấp nhận thỏa hiệp.
Ransomware Ryuk lây nhiễm vào hệ thống dữ liệu nạn nhân bằng một trong các cuộc tấn công ban đầu phổ biến
- Bằng cách truy cập trực tiếp vào một cổng RDP không được bảo vệ
- Sử dụng email lừa đảo để có được quyền truy cập từ xa
- Triển khai tệp đính kèm email và tải xuống để truy cập mạng
Bên cạnh đó, Ransomware Ryuk còn lây nhiễm thông qua phần mềm độc hại Emotet hoặc TrickBot. Đối với cách lây nhiễm này, Ransomware Ryuk chỉ nhắm các tệp thiết yếu khiến việc phát hiện trở nên khó khăn hơn. Khi Emotet xâm nhập sẽ kèm theo các phần mềm độc hại gián điệp. Điều này cho phép những kẻ tấn công thu thập thông tin đăng nhập của quản trị viên.
Ransomware Ryuk sử dụng tệp .BAT để ngăn hệ thống dữ liệu đã bị mã hóa khỏi việc khôi phục. Trước khi Ransomware Ryuk bắt đầu quá trình mã hóa, chúng sẽ cố gắng xóa các bản sao bóng của Windows VSS.
Tại thời điểm đã xâm nhập và vô hiệu hóa khả năng khôi phục của hệ thống thì Ransomware Ryuk sẽ tiến hành mã hóa các tệp như ảnh, video, cơ sở dữ liệu và tài liệu bằng cách sử dụng mã hóa AES-256. Các khóa mã hóa đối xứng sau đó được mã hóa bằng RSA-4096 không đối xứng. Ryuk có thể mã hóa từ xa, bao gồm cả chia sẻ quản trị từ xa.
Ngoài ra, Ransomware Ryuk có thể thực hiện Wake-On-Lan, đánh thức máy tính để mã hóa. Những khả năng này góp phần vào hiệu quả và phạm vi của mã hóa và thiệt hại mà chúng có thể gây ra. Những kẻ tấn công mạng để lại ghi chú đòi tiền chuộc trong hệ thống dưới dạng RyukReadMe.txt và UNIQUE_ID_DO_NOT_REMOVE.txt.
Trickbot
Trickbot xuất hiện vào năm 2016 và do WIZARD SPIDER điều hành. Phần mềm độc hại này đã được sử dụng như một trojan ngân hàng để lấy cắp thông tin đăng nhập của người dùng, thông tin nhận dạng cá nhân và bitcoin.
Các hacker lành nghề đã thiết kế ra Trickbot để sử dụng cho các mục đích tìm kiếm các tệp trên một hệ thống bị nhiễm độc và di chuyển ngang qua mạng từ máy này sang máy khác. Các khả năng của Trickbot hiện bao gồm thu thập thông tin xác thực, đào tiền mã hóa và hơn thế nữa, nhưng chức năng quan trọng nhất của nó là triển khai Ransomware Ryuk.
Emotet
Lần đầu tiên được phát hiện bởi các nhà nghiên cứu bảo mật vào năm 2014. Emotet được biết đến như Ransomware ngân hàng cố gắng xâm nhập vào máy tính doanh nghiệp và đánh cắp thông tin riêng tư. Các phiên bản sau của phần mềm đã có thêm các dịch vụ gửi thư rác và gửi phần mềm độc hại.
Emotet sử dụng chức năng giúp phần mềm tránh bị một số sản phẩm chống phần mềm độc hại phát hiện. Emotet giúp lây nhiễm các Ransomware sang các máy tính được kết nối khác. Emotet là một trong những phần mềm độc hại tốn kém và phá hoại nhất, gây tổn thất nghiêm trọng đến chính phủ và khu vực tư nhân, các cá nhân và tổ chức.
Phân tích Phương thức hoạt động của Ryuk Ransomware
Ransomware Ryuk là một trong những chương trình ransomware dưới dạng dịch vụ (RaaS) khét tiếng và nổi tiếng về phạm vi lây nhiễm. Ransomware Ryuk cũng đã tận dụng các khai thác như lỗ hổng ZeroLogon trong các máy chủ Windows để thực hiện các cuộc tấn công diện rộng.
Các tệp ransomware Ryuk sẽ được xác định bằng phần mở rộng tệp .ryk hoặc .rcrypt . Một tệp được mã hóa sẽ tuân theo mẫu filename.xls.ryk dưới đây.
Ryuk sử dụng mô hình mã hóa tin cậy ba cấp.
- Cấp 1: Cặp khóa toàn cầu do những kẻ tấn công nắm giữ – khóa riêng tư này được tiết lộ khi tiền chuộc được thanh toán
- Bậc 2: Cặp khóa cụ thể của nạn nhân – điều này được tạo trong quá trình mã hóa ransomware
- Bậc 3: Khóa AES tiêu chuẩn – cái này được tạo bởi hàm CryptGenKey của Win32API, sau đó được mã hóa thành cặp khóa Bậc 1 và 2
Những kẻ tấn công Ryuk sử dụng các dịch vụ email được mã hóa để bay bên dưới radar, thay đổi địa chỉ sau mỗi cuộc tấn công. Đặc biệt Ryuk sẽ cố gắng vô hiệu hóa các dịch vụ và quy trình, bao gồm cơ sở dữ liệu, công cụ chống vi-rút, bản sao lưu,… để đảm bảo rằng chúng có thể thu được một khoản tiền chuộc lớn từ nạn nhân.
Tự bảo vệ lấy doanh nghiệp trước khi Ransomware Ryuk tấn công
Bước đầu tiên để bảo vệ khỏi bất kỳ cuộc tấn công bằng Ransomware nào là đầu tư vào các giải pháp bảo vệ dữ liệu, chống phần mềm độc hại và chống virus. Nổi bật và được sử dụng phổ biến gần đây là Backup 3-2-1, giải pháp cung cấp bảo vệ theo thời gian thực được thiết kế để ngăn chặn dữ liệu bị mã hóa do các cuộc tấn công phần mềm độc hại tiên tiến như Ransomware Ryuk.
Lựa chọn các giải pháp có tính năng vừa bảo vệ các chương trình dễ bị tấn công khỏi các mối đe dọa vừa ngăn chặn Ransomware Ryuk giữ các tệp làm con tin. Một số giải pháp chống phần mềm độc hại cung cấp công nghệ khôi phục và không bị vô hiệu hóa trước những tác động của Ransomware Ryuk.
Tiếp theo, cần phải thường xuyên tạo các bản sao lưu an toàn cho hệ thống dữ liệu doanh nghiệp. Sử dụng lưu trữ đám mây bao gồm mã hóa cấp cao và xác thực đa yếu tố, sử dụng USB hoặc ổ cứng ngoài để dữ liệu có thể được lưu thành các tệp mới hoặc cập nhật, đảm bảo ngắt kết nối vật lý các thiết bị khỏi máy tính sau khi Backup để tránh khả năng bị nhiễm Ransomware Ryuk.
Cuối cùng, hãy cập nhật thông tin. Một trong những cách phổ biến nhất khiến máy tính bị nhiễm ransomware là thông qua kỹ thuật xã hội . Luôn cảnh giác và tìm hiểu về cách phát hiện email lừa đảo, trang web đáng ngờ và các hình thức tiếp cận độc hại khác.
