Вымогатель Ryuk
Что такое Вымогатель Ryuk?
Вымогатель RyukЦелевое семейство вымогателей, которым с 2018 года управляла WIZARD SPIDER, требовавшая крупные выкупы у предприятий, больниц и муниципалитетов после вторжений через TrickBot.
Ryuk — семейство вымогателей, впервые замеченное в августе 2018 года, основанное на более раннем коде Hermes и управляемое криминальным кластером WIZARD SPIDER. В отличие от массовых вымогателей, Ryuk применялся в целевых ручных вторжениях, обычно после заражений Emotet и TrickBot, дающих доступ ко всему домену. Операторы использовали Mimikatz, BloodHound, Cobalt Strike и SSH для распространения, прежде чем шифровать серверы и рабочие станции. Суммы выкупа часто достигали миллионов долларов в биткойнах. Среди жертв — Universal Health Services, ряд американских больниц в 2020 году и город Новый Орлеан. К 2021 году значительная часть операции Ryuk перешла под бренд Conti, унаследовав инструменты и людей.
● Примеры
- 01
Сеть больницы шифруется Ryuk после того, как TrickBot из одной заражённой рабочей станции предоставил права Domain Admin.
- 02
Защитники внедряют сегментацию сети и офлайн-бэкапы на основе отчётов об инцидентах Ryuk и TrickBot.
● Частые вопросы
Что такое Вымогатель Ryuk?
Целевое семейство вымогателей, которым с 2018 года управляла WIZARD SPIDER, требовавшая крупные выкупы у предприятий, больниц и муниципалитетов после вторжений через TrickBot. Относится к категории Вредоносное ПО в кибербезопасности.
Что означает Вымогатель Ryuk?
Целевое семейство вымогателей, которым с 2018 года управляла WIZARD SPIDER, требовавшая крупные выкупы у предприятий, больниц и муниципалитетов после вторжений через TrickBot.
Как работает Вымогатель Ryuk?
Ryuk — семейство вымогателей, впервые замеченное в августе 2018 года, основанное на более раннем коде Hermes и управляемое криминальным кластером WIZARD SPIDER. В отличие от массовых вымогателей, Ryuk применялся в целевых ручных вторжениях, обычно после заражений Emotet и TrickBot, дающих доступ ко всему домену. Операторы использовали Mimikatz, BloodHound, Cobalt Strike и SSH для распространения, прежде чем шифровать серверы и рабочие станции. Суммы выкупа часто достигали миллионов долларов в биткойнах. Среди жертв — Universal Health Services, ряд американских больниц в 2020 году и город Новый Орлеан. К 2021 году значительная часть операции Ryuk перешла под бренд Conti, унаследовав инструменты и людей.
Как защититься от Вымогатель Ryuk?
Защита от Вымогатель Ryuk обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Вымогатель Ryuk?
Распространённые альтернативные названия: Ryuk WIZARD SPIDER.
● Связанные термины
- malware№ 900
Программа-вымогатель
Вредоносное ПО, которое шифрует данные жертвы или блокирует системы и требует выкуп за восстановление доступа.
- malware№ 1171
TrickBot
Модульный банковский троян и фреймворк постэксплуатации, управляемый WIZARD SPIDER, проложивший путь вымогателям Ryuk, Conti и Diavol.
- malware№ 377
Emotet
Модульный банковский троян, превратившийся в загрузчик malware-as-a-service: доставлял аффилированные вымогатели и был пресечён международными правоохранителями в январе 2021 года.
- defense-ops№ 193
Cobalt Strike
Коммерческая платформа симуляции противника, широко применяемая в red team и часто используемая злоумышленниками для пост-эксплуатации и управления узлами.