Ransomware Ryuk
O que é Ransomware Ryuk?
Ransomware RyukFamilia de ransomware direcionado operada pelo WIZARD SPIDER desde 2018, que extorquiu grandes resgates a empresas, hospitais e administracoes locais via intrusoes TrickBot.
O Ryuk e uma familia de ransomware observada pela primeira vez em agosto de 2018, derivada do codigo Hermes anterior e operada pelo cluster criminal WIZARD SPIDER. Ao contrario do ransomware de commodities, o Ryuk era implantado em intrusoes manuais direcionadas, normalmente apos infecoes Emotet e TrickBot que davam acesso total ao dominio. Os operadores usavam Mimikatz, BloodHound, Cobalt Strike e SSH para se propagar antes de cifrar servidores e estacoes. As exigencias de resgate frequentemente alcancavam milhoes de dolares em Bitcoin. Vitimas notaveis incluem Universal Health Services, varios hospitais nos EUA em 2020 e a cidade de Nova Orleans. Em 2021, grande parte da operacao Ryuk transitou para a marca Conti, que herdou ferramentas e pessoal.
● Exemplos
- 01
Uma rede hospitalar e cifrada pelo Ryuk depois de uma infecao TrickBot conceder Domain Admin a partir de uma unica estacao comprometida.
- 02
Os defensores implementam segmentacao de rede e backups offline com base nos relatorios de incidentes Ryuk e TrickBot.
● Perguntas frequentes
O que é Ransomware Ryuk?
Familia de ransomware direcionado operada pelo WIZARD SPIDER desde 2018, que extorquiu grandes resgates a empresas, hospitais e administracoes locais via intrusoes TrickBot. Pertence à categoria Malware da cibersegurança.
O que significa Ransomware Ryuk?
Familia de ransomware direcionado operada pelo WIZARD SPIDER desde 2018, que extorquiu grandes resgates a empresas, hospitais e administracoes locais via intrusoes TrickBot.
Como funciona Ransomware Ryuk?
O Ryuk e uma familia de ransomware observada pela primeira vez em agosto de 2018, derivada do codigo Hermes anterior e operada pelo cluster criminal WIZARD SPIDER. Ao contrario do ransomware de commodities, o Ryuk era implantado em intrusoes manuais direcionadas, normalmente apos infecoes Emotet e TrickBot que davam acesso total ao dominio. Os operadores usavam Mimikatz, BloodHound, Cobalt Strike e SSH para se propagar antes de cifrar servidores e estacoes. As exigencias de resgate frequentemente alcancavam milhoes de dolares em Bitcoin. Vitimas notaveis incluem Universal Health Services, varios hospitais nos EUA em 2020 e a cidade de Nova Orleans. Em 2021, grande parte da operacao Ryuk transitou para a marca Conti, que herdou ferramentas e pessoal.
Como se defender contra Ransomware Ryuk?
As defesas contra Ransomware Ryuk costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Ransomware Ryuk?
Nomes alternativos comuns: Ryuk do WIZARD SPIDER.
● Termos relacionados
- malware№ 900
Ransomware
Malware que cifra os dados da vítima ou bloqueia sistemas e exige pagamento para restaurar o acesso.
- malware№ 1171
TrickBot
Trojan bancario modular e framework pos-exploracao operado pela equipa WIZARD SPIDER, que abriu caminho aos ransomwares Ryuk, Conti e Diavol.
- malware№ 377
Emotet
Trojan bancario modular transformado em loader malware-as-a-service que distribuia ransomware de afiliados e foi desmantelado por autoridades internacionais em janeiro de 2021.
- defense-ops№ 193
Cobalt Strike
Plataforma comercial de simulacao de adversarios amplamente usada em operacoes de red team e frequentemente abusada por atacantes para pos-exploracao e comando e controle.