A variante do ransomware Ryuk foi descoberta “na natureza” pela primeira vez em agosto de 2018. Desde então, sua visibilidade cresceu e se tornou uma das variantes de ransomware mais conhecidas e caras que existem.
Ao contrário das primeiras variantes de ransomware, como o WannaCry, o Ryuk foi projetado para ser extremamente direcionado. O design do malware significa que cada vítima deve receber atenção individual dos cibercriminosos que operam o malware. Como resultado, o Ryuk é usado em campanhas direcionadas com vetores de infecção altamente personalizados e altas demandas de resgate.
Ryuk foi projetado para ser uma variante de ransomware direcionada, o que significa que ele se concentra na qualidade em vez da quantidade com suas vítimas. Uma infecção por Ryuk começa com um ataque bem direcionado para infectar a vítima pretendida, seguido pela criptografia de arquivos e um pedido de resgate extremamente grande.
Os operadores por trás do ransomware Ryuk adotam uma abordagem direcionada para selecionar e infectar suas vítimas. Em vez de tentar infectar um grande número de computadores e pedir um resgate relativamente pequeno (como o WannaCry), as campanhas que usam o ransomware Ryuk concentram-se em uma única organização e têm um preço pedido extremamente alto para recuperação de dados.
Por esta razão, Ryuk é comumente espalhado por meios muito direcionados. Isso inclui o uso de e-mails de spear phishing personalizados e a exploração de credenciais comprometidas para acessar sistemas remotamente por meio do Remote Desktop Protocol (RDP).
Um e-mail de spear phishing pode transportar Ryuk diretamente ou ser o primeiro de uma série de infecções por malware. Emotet, TrickBot e Ryuk são uma combinação comum. Com o RDP, um cibercriminoso pode instalar e executar o Ryuk diretamente na máquina alvo ou aproveitar seu acesso para alcançar e infectar outros sistemas mais valiosos na rede.
Ryuk usa uma combinação de algoritmos de criptografia, incluindo um algoritmo simétrico (AES-256) e um assimétrico (RSA 4096). O ransomware criptografa um arquivo com o algoritmo simétrico e inclui uma cópia da chave de criptografia simétrica criptografada com a chave pública RSA. Após o pagamento do resgate, o operador Ryuk fornece uma cópia da chave privada RSA correspondente, permitindo a descriptografia da chave de criptografia simétrica e, usando-a, dos arquivos criptografados.
O ransomware representa uma séria ameaça à estabilidade de um sistema infectado se criptografar os arquivos errados. Por esse motivo, Ryuk evita deliberadamente criptografar certos tipos de arquivos (incluindo .exe e .dll) e arquivos em determinadas pastas do sistema. Embora não seja um sistema infalível, isso diminui a probabilidade de Ryuk quebrar um computador infectado, tornando a recuperação de arquivos mais difícil ou impossível, mesmo que um resgate seja pago.
Ryuk é conhecido como uma das variantes de ransomware mais caras, com demandas médias de resgate atingindo US$ 111.605 no primeiro trimestre de 2020. As notas de resgate do Ryuk contêm um endereço de e-mail onde as vítimas podem atacar os cibercriminosos que operam o ransomware para receber instruções sobre como pagar o resgate.
No entanto, as organizações que optam por pagar o resgate nem sempre recebem o que pagaram. O pagamento de um pedido de resgate deve resultar no envio pelo criminoso cibernético de uma chave de desencriptação e/ou software capaz de desencriptar os ficheiros da vítima. Na maioria dos casos, o cibercriminoso aceitará o resgate sem devolver o acesso aos arquivos.
No entanto, mesmo que os cibercriminosos atuem de boa fé, não há garantia de que a organização recuperará o acesso a todos os seus ficheiros perdidos. Uma versão do descriptografador de ransomware Ryuk apresentava um erro no código que eliminava o último byte ao descriptografar um arquivo grande. Enquanto em alguns formatos de arquivo este último byte é apenas preenchimento, em outros é fundamental para a interpretação do arquivo. Como resultado, uma vítima do Ryuk não deve necessariamente esperar recuperar todos os seus arquivos criptografados, mesmo que pague o resgate.
Ser vítima de um ataque de ransomware Ryuk é extremamente caro para uma organização. Os operadores do ransomware Ryuk se esforçam para desenvolver uma isca de spear phishing direcionada e exigem um alto resgate por seus problemas. No entanto, em alguns casos, mesmo pagar o resgate não é suficiente para recuperar o acesso de uma empresa a dados sensíveis ou valiosos.
Por esta razão, é muito melhor tentar prevenir um ataque de ransomware em vez de reagir a ele. Se o malware Ryuk puder ser detectado antes do início da criptografia, o incidente poderá ser mitigado com custo mínimo para a organização.
A implementação da solução anti-ransomware da Check Point pode ajudar uma organização a se defender contra o Ryuk e outras variantes de ransomware. Esta ferramenta monitora comportamentos comuns de ransomware, permitindo detectar até mesmo variantes de ransomware de dia zero. Como os programas legítimos não apresentam os mesmos comportamentos, como abrir e criptografar um grande número de arquivos, a solução anti-ransomware da Check Point pode fornecer detecção de ransomware de alta fidelidade e minimizar os danos e custos associados a uma tentativa de ataque de ransomware Ryuk.