Ryuk ランサムウェア
Ryuk ランサムウェア とは何ですか?
Ryuk ランサムウェア2018 年以降 WIZARD SPIDER が運用する標的型ランサムウェアファミリで、TrickBot 経由の侵入により企業・病院・自治体から多額の身代金を奪取した。
Ryuk は 2018 年 8 月に初確認されたランサムウェアファミリで、以前の Hermes コードを基に、犯罪クラスター WIZARD SPIDER が運用しました。コモディティ型と異なり、Emotet や TrickBot の感染でドメイン全体への足場を確保したのち、ハンズオンキーボードの標的型侵入で展開されました。オペレーターは Mimikatz、BloodHound、Cobalt Strike、SSH を使って横展開し、サーバーと端末を暗号化しました。身代金は数百万ドル相当のビットコインに達することが多く、被害組織には Universal Health Services や 2020 年の米国複数病院、ニューオーリンズ市が含まれます。2021 年までに Ryuk オペレーションの多くは Conti ブランドへ移行し、ツールと要員が継承されました。
● 例
- 01
TrickBot 感染で 1 台の侵害端末から Domain Admin が奪取された病院ネットワークが、Ryuk によって全体暗号化される。
- 02
防御側は Ryuk / TrickBot のインシデントレポートに基づいてネットワーク分割とオフラインバックアップを実装する。
● よくある質問
Ryuk ランサムウェア とは何ですか?
2018 年以降 WIZARD SPIDER が運用する標的型ランサムウェアファミリで、TrickBot 経由の侵入により企業・病院・自治体から多額の身代金を奪取した。 サイバーセキュリティの マルウェア カテゴリに属します。
Ryuk ランサムウェア とはどういう意味ですか?
2018 年以降 WIZARD SPIDER が運用する標的型ランサムウェアファミリで、TrickBot 経由の侵入により企業・病院・自治体から多額の身代金を奪取した。
Ryuk ランサムウェア はどのように機能しますか?
Ryuk は 2018 年 8 月に初確認されたランサムウェアファミリで、以前の Hermes コードを基に、犯罪クラスター WIZARD SPIDER が運用しました。コモディティ型と異なり、Emotet や TrickBot の感染でドメイン全体への足場を確保したのち、ハンズオンキーボードの標的型侵入で展開されました。オペレーターは Mimikatz、BloodHound、Cobalt Strike、SSH を使って横展開し、サーバーと端末を暗号化しました。身代金は数百万ドル相当のビットコインに達することが多く、被害組織には Universal Health Services や 2020 年の米国複数病院、ニューオーリンズ市が含まれます。2021 年までに Ryuk オペレーションの多くは Conti ブランドへ移行し、ツールと要員が継承されました。
Ryuk ランサムウェア からどのように防御しますか?
Ryuk ランサムウェア に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Ryuk ランサムウェア の別名は何ですか?
一般的な別名: WIZARD SPIDER の Ryuk。
● 関連用語
- malware№ 900
ランサムウェア
被害者のデータを暗号化したりシステムをロックしたりし、復旧と引き換えに金銭を要求するマルウェア。
- malware№ 1171
TrickBot
WIZARD SPIDER 一派が運用するモジュール型バンキングトロイ兼ポストエクスプロイテーション基盤で、Ryuk、Conti、Diavol などのランサムウェア展開につながった。
- malware№ 377
Emotet
モジュール型バンキングトロイから発展したマルウェア・アズ・ア・サービス型ローダーで、ランサムウェアアフィリエイトに配信を行い、2021 年 1 月に国際法執行で摘発された。
- defense-ops№ 193
Cobalt Strike
商用の敵対者シミュレーション プラットフォームで、レッドチーム業務に広く用いられる一方、攻撃者によりポストエクスプロイトや C2 に頻繁に悪用される。