Vi har stöd för uppdaterade webbläsare. Uppdatera webbläsaren om du vill se innehållet på den här webbsidan på rätt sätt.

Är du inte säker på vilken lösning som är bäst för ditt företag?

Varför bör företag skydda sig mot utpressningsprogrammet Ryuk?

Sedan starten 2018 har utpressningsprogrammet Ryuk blivit en av de mest avancerade typerna av utpressningsprogram. Det är mycket sofistikerat i hur det levereras och utnyttjar en omfattande kunskap om målföretaget och dess verksamhet. Dess favoritoffer? Företag, organisationer, sjukhus och institutioner som lagrar konfidentiella och känsliga data i föråldrade operativsystem och infrastrukturer.
Läs mer om utpressningsprogrammet Ryuk nedan och upptäck hur du kan skydda företaget mot malware.

Vad är utpressningsprogrammet Ryuk?

Utpressningsprogram är en form av malware som gör det möjligt för angripare att använda krypteringsteknik för att infektera hela nätverk (inklusive filer och tillhörande enheter). Detta gör dem oåtkomliga för målföretaget tills en lösensumma har betalats. Lösenkravet ställs vanligtvis i en form av kryptovaluta, såsom Bitcoin, och kan uppgå till tusentals, om inte miljontals, dollar. Den genomsnittliga lösensumman uppgick till 12 762 USD under 2019 och den genomsnittliga kostnaden för incidentrelaterade driftstopp under bara ett kvartal uppgick till 64 645 USD per företag.

Angripare riktar rutinmässigt in sig på stora organisationer eller företag med mycket känsliga, kritiska tillgångar, såsom sjukhus. En teknik som kallas ”big game hunting”. Till skillnad från andra former av utpressningsprogram riktar nätbrottslingar som använder Ryuk-malware dessutom in sig på specifika individer och infiltrerar företagets nätverk manuellt. Med hjälp av öppna källverktyg som finns på nätverket samlar angriparna in känsliga uppgifter och får tillgång till så många delar av verksamheten som möjligt. Detta ger en detaljerad kunskap om den interna verksamheten.

Historik

Utpressningsprogrammet Ryuk är baserat på Hermes, ett äldre utpressningsprogram, och identifierades först 2018. Det anses allmänt ha anpassats och utvecklats av en organisation med nätbrottslingar i Ryssland. Sedan 2019 har kriminella grupper ökat antalet angrepp och erhållit miljontals dollar i lösensummor från finansinstitut, sjukhus och till och med lokala myndigheter.

Utpressningsprogrammet Ryuk fortsätter att utvecklas av grupper med nätbrottslingar, såsom WIZARD SPIDER och deras utgrening GRIM SPIDER. I januari 2021 dök det upp en ny variant av utpressningsprogrammet Ryuk som har utvecklat maskliknande egenskaper. Detta gör att malware kan spridas automatiskt i nätverk som det kommer in i, som ett virus. Detta gör att programmet kan sprida sig från system till system inom en Windows-domän utan någon mänsklig operatör. Genom att snabbt replikera sig själv förkortar den ytterligare den tid det tar att infektera nätverk och enheter, vilket utgör en fara för företag.

Hur riktar Ryuk in sig på företag?

Liksom de flesta andra malware levereras utpressningsprogrammet Ryuk på flera olika sätt:

  • Genom att skräppost eller nätfiskemeddelanden med en infekterad bilaga skickas. När bilagan öppnas kan hackaren få fjärråtkomst till nätverket
  • Genom att skicka ett riktat nätfiskemeddelande, där Ryuk-angriparen riktar in sig på grupper eller organisationer genom att utge sig för att vara någon inom eller relaterad till företaget. Alla e-postmeddelanden med en bilaga från utpressningsprogrammet Ryuk kan också skickas från en spoofad (förfalskad) e-postadress. Detta gör att angriparna kan undvika att bli upptäckta.
  • Via en RDP-port, som utnyttjar svaga säkerhetsskydd och gör det möjligt för hackare att få fjärråtkomst till systemet.

I vissa Ryuk-angrepp infekteras nätverket först med en trojan (skadligt innehåll dolt i till synes legitim kod) som kallas Emotet. Trojanen används som en ”dropper” för att ladda ner Trickbot, en annan form av malware. Detta görs på flera system, vilket gör att angriparen kan övervaka flera mål och komma åt känslig information och administratörsuppgifter. Nätbrottslingen skickar sedan Ryuk till utvalt mål.

I likhet med utpressningsprogrammen Locky, Cerber och REvil/Sodinokibi kommer utpressningsprogrammet Ruyk, när väl hotaktören har brutit sig in i nätverket och serversäkerheten, att stänga ner upp till 180 tjänster och 40 processer som systemet behöver för att fungera. Detta leder till att kritisk information krypteras.

När filerna har krypterats tar utpressningsprogrammet Ryuk bort originalkopiorna och eventuella skuggkopior med hjälp av en .BAT-fil. Detta innebär att alla försök att återställa data kommer att misslyckas.

Ryuk använder både symmetrisk kryptering och asymmetriska krypteringsalgoritmer för att koda filer. En metod som liknar den som används av utpressningsprogrammen Petya och Mischa som använder flera metoder för att kryptera användardata.

Utpressningsprogrammet Ryuk påverkar alla filer och program i nätverket och när det har uppnått sina mål lämnas en textfil som heter ”RyukReadMe.txt” som innehåller de uppgifter som krävs för att begära lösen i alla mappar. När nätbrottslingarna kommit åt lösensumman, om den betalas ut, kommer en kopia av krypteringsnyckeln göra det möjligt att återskapa filerna.

Exempel (kända attacker)

Eftersom antalet angrepp med utpressningsprogrammet Ryuk fortsätter att öka måste myndigheter och företag vara fortsatt vaksamma. Några av de mest uppmärksammade Ryuk-angreppen sedan 2018 inkluderar:

  • Sjukhus i USA, Tyskland och Storbritannien (2019–2020): Olika sjukhus i dessa länder drabbades alla av upprepade Ryuk-malwareangrepp. I september 2020 angreps Universal Health Services (UHS), som driver anläggningar i Storbritannien och USA, av Ryuk-malware. Incidenten kostade företaget 67 miljoner USD och det tog en månad innan all verksamhet kunde återupptas. Ett nätverk med över 400 sjukhus i USA och Storbritannien påverkades också av Ryuk-malware i september 2020. Alla 250 anläggningar i USA påverkades i ett av de största Ryuk-angreppen mot medicinska faciliteter hittills. Ryuk-malware uppgavs vara ansvarigt för 75 % av angreppen mot den amerikanska hälso- och sjukvårdssektorn i oktober 2020.
  • Lake City, Florida (2019): Efter att en medarbetare öppnat ett e-postmeddelande som innehöll en form av Ryuk-malware krävdes en lösensumma på 460 000 dollar för stadens IT-system. Borgmästaren i Lake City bekräftade att staden betalat den begärda lösensumman för att återfå tillgång till sina verksamheter.
  • Onkaparinga, södra Australien (2019): I december 2019 infekterades IT-systemen i Onkaparingas kommun i Adelaide med utpressningsprogrammet Ryuk. Detta ledde till en veckas förlorad produktivitet.
  • EMCOR (2020): I februari bekräftade Fortune 500-företaget EMCOR att flera av deras IT-system hade drabbats av ett Ryuk-malwareangrepp. Företaget har inte bekräftat om en lösensumma betalades ut eller inte.

Så här skyddar du företaget mot Ryuk

Det förutspåddes att utpressningsprogram skulle kosta företag 1,85 miljoner dollar år 2021 och att det kommer ha kostat världen 265 miljarder dollar tills år 2031. Företagare som förstår hur de kan förebygga angrepp med utpressningsprogram kan på ett betydande sätt minska sårbarheten i sina onlinelösningar. För närvarande finns det flera faktorer som kan öka risken att utsättas för angrepp, t.ex. föråldrad programvara eller föråldrade enheter, webbläsare och/eller operativsystem som inte har uppdaterats, svaga eller obefintliga säkerhetskopior eller bristande investeringar i verktyg för datorsäkerhetsskydd.

Det är viktigt att se till att systemen regelbundet uppdateras mot nya och kommande hot på internet genom att installera antivirus- och antimalwarelösningar i företagsnätverket. Programvaran bör också stödjas av andra försvarsmekanismer, såsom:

  • Implementering av en katastrofplan: Detta kan ligga till grund för processer och protokoll i hela organisationen och definiera rollerna för personer och kontakter som måste underrättas i händelse av ett internetangrepp.
  • Rollbaserad åtkomstkontroll: För att minimera risken för angrepp med utpressningsprogram bör man införa säkerhetskopiering och privilegierad åtkomst. Rollbaserad åtkomstkontroll (RBAC) kan också ge ytterligare ett lager av säkerhet genom att begränsa medarbetarnas åtkomst till data som de inte behöver för sina specifika jobbkrav.

Hur tar jag bort utpressningsprogrammet Ryuk från verksamheten?

Även om det kan vara möjligt att ta bort utpressningsprogrammet Ryuk från en PC eller Mac, är det inte garanterat. Malware fortsätter ständigt att utvecklas vilket innebär nya utmaningar för organisationer.

Genom att vidta förebyggande åtgärder, såsom att installera skydd mot malware, kan du skydda företaget mot eventuella hot mot datorsäkerheten. Regelbundna uppdateringar av programvara och program, inklusive uppdateringar för att korrigera eventuella sårbarheter i nätverket bör även införlivas.

Ryuk fortsätter att ha en betydande inverkan på företagens resultat

Ryuk och andra typer av malware fortsätter att utvecklas eftersom kriminella grupper fortsätter att dela och anpassa farlig malware. Företag måste därför hålla sig uppdaterade om alla hot mot affärssäkerheten. Utpressningsprogrammet Ryuk har nu också anpassats för att angripa webbservrar och utnyttjar kapaciteten hos en mask, vilket ytterligare påverkar verksamheten.

För att minska risken för malware är det också viktigt med robust serversäkerhet. Vald lösning för datorsäkerhet bör stärka företagets resultat samt blockera, upptäcka och förebygga risken för angrepp.

Skydda dig mot utpressningsprogram med Avast Small Business Cybersecurity Solutions

Skydda företaget mot utpressningsprogram och de senaste internetangreppen med Avast Small Business Cybersecurity Solutions – enkel, kraftfull och prisvärd onlinesäkerhet för småföretag som du kan lita på håller dig skyddad. Få sinnesro med denna allt-i-ett-lösning.

Stäng

Nästan klart!

Slutför installationen genom att klicka på den nedladdade filen och följa anvisningarna.

Initierar nedladdning …
Obs! Klicka här om nedladdningen inte påbörjades automatiskt.
Klicka på den här filen för att starta installationen av Avast.