Ryuk ransomware ganhou enorme popularidade entre os criminosos cibernéticos. O número de ataques detectados aumentou de apenas 5.123 no terceiro trimestre de 3 para mais de 2019 milhões no terceiro trimestre de 67, de acordo com um estudo de segurança da SonicWall.
Isso equivale a cerca de um terço de todos os ataques de ransomware realizados neste trimestre. A explosão de Ryuk também resultou em um aumento de 3% no número total de ataques de ransomware relatados no terceiro trimestre de 2020 em comparação com o mesmo período de 2019.
Ryuk ransomware extremamente popular
Ryuk é um tipo sofisticado de ransomware usado contra organizações em todo o mundo para bloqueá-los de suas redes de computadores e arquivos até que o resgate exigido seja pago. Ryuk criptografa todos os arquivos de destino com forte criptografia baseada em AES-256, exceto arquivos com extensões dll, lnk, hrmlog, ini e exe. Ryuk também ignora arquivos armazenados nos diretórios Windows System32, Chrome, Mozilla, Internet Explorer e Lixeira. Acredita-se que esse processo de eliminação preserva a estabilidade do sistema e permite que as vítimas acessem um navegador para fazer pagamentos de resgate. Como muitos ransomwares, o Ryuk tenta excluir as cópias de sombra do disco para evitar que as vítimas consigam recuperar seus dados por meios alternativos.
Média de resgate: $ 750.000
Depois de infectar com sucesso os sistemas de destino, os perpetradores fazem exigências de resgate no valor estimado da capacidade de pagamento das vítimas. Segundo os pesquisadores, o resgate médio cobrado é de cerca de US$ 750.000 (pago em Bitcoin). No entanto, o maior pagamento conhecido até o momento é estimado em $ 34 milhões enviados por uma empresa desconhecida em troca da chave de descriptografia.
O grupo russo por trás dos ataques é conhecido por usar técnicas de hacking manual altamente eficazes e ferramentas de código aberto para se mover lateralmente em redes comprometidas. Isso ajuda os criminosos cibernéticos a obter acesso ao maior número possível de áreas administrativas e excluir ou cobrir seus rastros antes de detonar o ransomware com consequências devastadoras.
Quais alvos os cibercriminosos estão mirando
Os cibercriminosos têm como alvo uma ampla gama de setores com Ryuk. Um dos alvos são os estabelecimentos de saúde, muitos dos quais são particularmente vulneráveis. Afinal, hospitais e unidades de saúde costumam ter uma grande quantidade de infraestruturas de rede desatualizadas que não são protegidas adequadamente contra esses ataques cibernéticos.
Nos últimos meses, ataques a hospitais em todo o mundo causaram transtornos. Em setembro de 2020, um ataque paralisou os sistemas de computador do Hospital Universitário de Düsseldorf e resultou na morte de um paciente que teve que ser levado para um hospital mais distante em vez de para a clínica próxima. Acredita-se também que Ryuk esteja por trás do recente ataque de ransomware ao Universal Health Services (UHS), que opera aproximadamente 400 hospitais e centros de atendimento nos EUA e no Reino Unido, tornando o ataque um dos maiores ataques cibernéticos de saúde da história dos EUA. .
O que as organizações podem fazer para proteger
Tim Bandos, diretor de segurança da informação da Digital Guardian
A indústria de segurança cibernética já tomou várias medidas para ajudar as organizações a se defender contra a ascensão de Ryuk. Por exemplo, muitos fornecedores de proteção avançada contra ameaças (ATP) lançaram pacotes de políticas gratuitos que os clientes podem usar para atualizar suas ferramentas e soluções de segurança existentes para detectar rapidamente atividades de rede suspeitas que indiquem um possível ataque Ryuk. Isso inclui a detecção de edição em massa de arquivos com extensões Ryuk ransomware conhecidas, exclusão de cópias de sombra de volumes e tentativas de conexão com a infraestrutura conhecida de comando e controle associada à campanha de ransomware. Além disso, as organizações podem tomar as seguintes medidas básicas para fortalecer suas defesas de segurança cibernética contra ameaças como Ryuk:
Backups de dados regulares
Realizar backups regulares de todos os dados organizacionais críticos é uma das melhores maneiras de minimizar a interrupção dos fluxos de trabalho no caso de um ataque bem-sucedido. Manter esses backups protegidos fora da rede principal evita que sejam excluídos ou criptografados como parte de um ataque.
Mantenha os patches de segurança atualizados
Conforme mencionado, os provedores de serviços de segurança cibernética já estão bem informados sobre Ryuk, e a grande maioria atualizou seus produtos e soluções para detectar as assinaturas de Ryuk. No entanto, essas atualizações não terão efeito até que os clientes instalem os patches de segurança mais recentes em suas redes. Portanto, é crucial que tais patches sejam instalados assim que forem lançados.
Educar os funcionários sobre segurança cibernética
Mesmo ameaças cibernéticas avançadas ainda dependem dos vetores de ataque mais básicos, como e-mails de phishing e táticas de engenharia social. Os funcionários devem, portanto, receber cursos de treinamento regulares sobre como reconhecer esses ataques.
Ryuk representa uma forte ameaça para organizações em todo o mundo, especialmente instalações de saúde, muitas das quais são particularmente vulneráveis no momento. Portanto, é importante que as organizações avaliem suas proteções existentes, identifiquem vulnerabilidades e implementem as correções corretas para mitigar os riscos desses ataques.
Saiba mais em DigitalGuardian.com
Sobre o Guardião Digital O Digital Guardian oferece segurança de dados inflexível. A plataforma de proteção de dados entregue na nuvem foi criada especificamente para evitar a perda de dados por ameaças internas e invasores externos nos sistemas operacionais Windows, Mac e Linux. A plataforma de proteção de dados do Digital Guardian pode ser implantada na rede corporativa, endpoints tradicionais e aplicativos em nuvem. Por mais de 15 anos, o Digital Guardian permitiu que empresas com uso intensivo de dados protegessem seus ativos mais valiosos em um SaaS ou com base em serviço totalmente gerenciado. A visibilidade de dados exclusiva e sem políticas do Digital Guardian e os controles flexíveis permitem que as organizações protejam seus dados sem desacelerar suas operações comerciais.