Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在海外分布广泛的平台上提供高性能和经济实惠的服务。众多全球企业信赖 Akamai,凭借我们行业领先的可靠性、扩展性和专业技术,企业能够从容拓展业务。
Ryuk 勒索软件是一种恶意软件,可对企业的计算机和服务器上的文件进行加密,使受害企业在支付赎金(通常以比特币支付)后才能重新获得对这些文件的访问权限。Ryuk 勒索软件专门对 Microsoft Windows 操作系统发起攻击。与大多数勒索软件系列不同,Ryuk 还会尝试加密系统文件,使主机系统发生崩溃或变得不稳定。
众所周知,Ryuk 将能够支付高额赎金的大型企业和机构作为主要攻击目标。此类勒索软件攻击被称为“高价值目标攻击”(BGH)。在向企业发起攻击时,Ryuk 攻击者并不会广撒网,而是会进行长期监控,并利用人工手段感染目标。
Ryuk 以众所周知的勒索软件即服务 (RaaS) 计划运作,恶意软件开发者将恶意软件提供给其他黑客用于发起攻击,并从赎金中抽取分成。
Ryuk 勒索软件的发展时间线
Ryuk 勒索软件最早发现于 2018 年。它的起源可追溯至 Hermes,一种曾在网络犯罪领域广泛传播的早期勒索软件。
Ryuk 勒索软件攻击的受害者包括政府、学校系统、IT 公司和公共事业。Ryuk 曾攻击包括 Universal Health Services (UHS) 在内的多个医疗保健系统。其他备受瞩目的攻击事件包括向 Tribune 报业集团、佛罗里达州的一家公共事业公司和法国 IT 服务商 Sopra Steria 发起的攻击。
2021 年,Ryuk 勒索软件发展出一种新变体,它具有类似蠕虫病毒的能力,无需人工干预即可在计算机和系统之间进行传播。这一发展变化加快了攻击序列的速度,并且让攻击者能够在系统中造成更大的破坏。
据信,Ryuk 勒索软件攻击背后的主要团队是俄罗斯网络犯罪团伙 Wizard Spider。
Ryuk 勒索软件的传播方式
Ryuk 勒索软件威胁采用多种手段、技术和程序 (TTP) 来控制计算机网络。传播方法包括:
- 网络钓鱼电子邮件与垃圾邮件,用于在用户点击恶意链接或打开恶意附件后安装恶意软件。
- 远程桌面协议 (RDP) 应用程序中的漏洞,攻击者可利用此漏洞获得对 IT 环境的访问权限。
- 预先存在的恶意软件和木马(如 TrickBot 和 Emotet),它们利用系统漏洞暗中部署勒索软件的攻击载荷。
Ryuk 勒索软件攻击剖析
在获得对 IT 环境的访问权限后,Ryuk 勒索软件会执行多项任务,以最大限度地增加其最终攻击的破坏力。
- 横向移动:Ryuk 最初只是安装恶意软件,让勒索软件操纵者能够实现对机器的命令和控制,这些机器随后将被用于跨网络驱动器部署勒索软件。在系统被感染后,攻击者会在网络中横向移动以感染更多设备,同时不会触发安全告警。TrickBot 脚本通过收集可获取系统更高层级访问权限的密码来提升权限。
- 防止恢复:Ryuk 会禁用备份和卷影副本,以防止受害者轻松恢复文件。
- 侦察:Ryuk 会探测 IT 环境,收集管理员凭据并确定要加密的关键资产。
- 加密:Ryuk 勒索软件将 RSA 与 AES-256 加密算法相结合,以锁定文件并生成加密密钥。
- 索要赎金:攻击者会以文本文件形式(如 RyukReadMe.txt)留下赎金通知,其中详细说明了受害者如何联系攻击者、支付赎金以及接收解密密钥。
防范和检测 Ryuk 勒索软件
要防范 Ryuk 勒索软件,需要实施包含多层网络安全防御措施的策略。
- 备份:通过备份重要数据并将副本存储在离线数据存储介质中,企业可以在遭受 Ryuk 攻击后快速恢复,而不必支付赎金。
- 网络安全控制措施:采用强大的反恶意软件、防病毒解决方案、反勒索软件、防火墙、用于远程访问的 VPN、应用程序允许列表以及其他策略,是检测和阻止可疑活动的综合方法的一部分。
- 更新:通过更新系统并定期安装软件补丁,可以最大限度地削弱攻击者利用漏洞的能力。
- 多重身份验证 (MFA):通过要求用户在请求访问 IT 资源时至少提供两种形式的身份证明,可有效防止攻击者对 IT 环境进行未经授权的访问。
- 微分段:对网络和各项 IT 资产进行分段,既能保护敏感数据,又可以阻止勒索软件及其他网络攻击所依赖的横向移动。
- 安全培训:对用户进行安全培训,让他们了解勒索软件的风险、网络安全的最佳实践以及如何发现和规避网络钓鱼电子邮件,这有助于避免遭受许多依赖人为错误的攻击。
- 端点保护:企业还应采用端点保护工具来监控最终用户设备,以检测是否存在恶意活动。
- 持续监控:通过使用来自威胁情报源的信息对网络活动进行持续的实时监控,IT 团队可以快速识别并抵御勒索软件及恶意软件攻击。
应对 Ryuk 勒索软件攻击
修复 Ryuk 感染需要迅速采取行动并执行精心设计的事件响应计划。
- 将受感染的系统与网络隔离可阻止勒索软件进一步传播,而断开它们与互联网的连接可阻止攻击者与恶意软件进行通信。
- 使用勒索软件删除工具清理所有受影响的驱动器并删除恶意软件的可执行文件及攻击载荷对防止再次感染来说至关重要。
- 必须从备份中恢复加密文件,因为在遭受 Ryuk 勒索软件攻击后,没有私钥通常无法进行解密。
- 让网络安全专业人员参与进来有助于加快恢复速度。
- 通知执法机构(如 FBI)可协助当局打击勒索软件攻击。
常见问题
Ryuk 勒索软件感染的迹象包括:出现 RyukReadMe.txt 赎金通知、异常的 .exe 和 .dll 文件执行,以及文件被添加 .ryk 或 .rcrypted 等文件扩展名。PowerShell 活动增加、命令和控制 (C2) 服务器流量增加以及禁用 Windows 卷影副本来阻止文件恢复也都是危险信号。
Ryuk 是一部日本人气漫画及动画系列作品中的角色名。角色 Ryuk 是一位死神,他的存在让目标明确的杀戮行为成为可能。