Ryuk: o ransomware que não para de crescer

Os casos ransomware não deixaram de ocupar as manchetes diárias. Na atualização do Relatório de ameaças cibernética SonicWall 2021, do meio do ano, pesquisadores da SonicWall observaram um crescimento agressivo a cada mês do terceiro trimestre.

Enquanto os sensores na Índia (-29%), Reino Unido (-32%) e Alemanha (-86%) registraram quedas, os EUA dispararam 145,2 milhões de acessos de ransomware – um aumento de 139% em relação ao ano anterior.

Entre as modalidades que mais cresceram em 2020, estão as detecções de ransomware Ryuk; ele sozinho foi responsável por um terço de todos os ataques ransomware de 2020.

Conheça o ransomware Ryuk e entenda por qual razão ele é considerado perigoso.

 

O crescimento do Ryuk

A atualização do relatório mostra que, até o terceiro trimestre de 2020, a SonicWall detectou 67,3 milhões de ataques de Ryuk (contra 5123 da mesma modalidade em 2019); representando um terço (33,7%) de todos os ataques de ransomware do ano.

 

Histórico da modalidade

O Ryuk apareceu pela primeira vez em 2018, quando o Tribune Publishing, uma editora americana de jornais impressos e mídia digital, alegou ter sido infectada pelo malware, interrompendo a impressão em San Diego e na Flórida.

O New York Times e o Wall Street Journal, que compartilhavam a mesma gráfica em Los Angeles, também foram impactados pelo ataque, gerando problemas de distribuição das edições de sábado dos jornais.

O que pode ter causado este aumento

Especula-se que o aumento do trabalho remota e móvel tenha favorecido o crescimento deste malware.

 

Por que o Ryuk é considerado perigoso

Este malware está no topo da lista dos ataques de ransomware mais perigosos, por ser direcionado, manual e facilitar a infestação de outros tipos de malware.

Ele é responsável por três dos 10 maiores pedidos de resgate do ano: US$ 5,3 milhões, US$ 9,9 milhões e US$ 12,5 milhões, atacando com sucesso indústrias e empresas em todo o mundo.

Quem está por trás do Ryuk

O Ryuk faz parte de uma modalidade criminosa denominada como Ransomware as a service (RaaS); no qual os desenvolvedores de ransomware ‘’alugam’’ o código malicioso para o uso de outros atacantes, recebendo uma porcentagem dos pagamentos de resgate bem-sucedidos. Acredita-se que o grupo cibercriminoso russo intitulado por ‘’Wizard Spider’’ seja o operador do ransomware Ryuk, que tem como alvo grandes empresas.

Prepare-se para as tendencias com segurança de alto nível

Como funciona a implantação

O Ryuk é um tipo de malware DaaS (download as a service), que pode ser usado pelo invasor como um serviço para infectar outros. A implantação deste ransomware não é direta: os invasores baixam primeiro outro malware em um computador.

  1. A infecção inicial pode ocorrer, por exemplo, através de um e-mail phishing. Assim que o usuário clica no link malicioso, o Ryuk baixa outros elementos de malware chamados droppers.
  2. Este malware adicional inclui Trickbot, Zloader, BazarBackdoor e outros. Os droppers podem instalar o Ryuk diretamente ou instalar outro tipo de malware, como Cobalt Strike Beacon, para se comunicar com uma rede de comando e controle (C2).
  3. O Ryuk é baixado assim que o outro malware é instalado.
  4. Ao infectar o sistema, o Ryuk interrompe serviços e processos que podem impedir o seu ‘’trabalho’’.
  5. O Ryuk começa a criptografar arquivos, bancos de dados e documentos, sendo capaz, inclusive de criptografar remotamente. Além disso, ele pode realizar Wake-On-Lan, despertando computadores para criptografia.

 

Algumas boas práticas para evitar esse tipo de ataque

  • Realizar todas as atualizações de softwares
  • Adotar a autenticação multifator sempre que possível
  • Criar backups de dado regulares e armazená-los offline
  • Auditar credenciais, contas e acessos
  • Educar os usuários para que eles sejam capazes de identificar investidas maliciosas, como e-mails de phishing, e não sejam enganados
  • Utilizar tecnologia de segurança da informação que seja capaz de proteger contra todas as variantes de ransomware em tempo real, como o SonicWall Capture Advanced Threat Protection (ATP).

 

Como o Gerenciamento especializado de segurança pode ajudar a se defender de ciberataques

O SMSA – Security Management Services Assisnet proporciona uma série de vantagens através do formato de “segurança como serviço”, elevando o nível de profissionalização da sua estrutura sem a necessidade de investimentos em aquisição de ativos e softwares de segurança. Clique no link e saiba mais.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *