Em 2019, os ransomwares foram uma das principais armas usadas pelo cibercrime. Empresas e organizações em todo o mundo foram atingidas por ataques cibernéticos que usaram esse tipo de malware para criptografar seus arquivos e exigir um resgate. As ondas de ransomware usam uma série de variantes para realizar os ataques. No entanto, há uma variante que foi usada na época e que ainda é vista hoje alerta o PandaLabs, laboratório de detecção e análise de malware da Panda Security. Trata-se do ransomware Ryuk.
Os estudos da PandaLabs apontam que o Ryuk é uma das variantes de ransomware mais notórias dos últimos anos. “Desde que apareceu pela primeira vez no verão de 2018, este malware tem conquistado uma lista impressionante de vítimas, especialmente em ambientes de negócios, que são o foco principal de seus ataques”, explica Américo Spachacquercia, Analista de sistemas e consultor em Cibersegurança da Panda Security Brasil.
Dados da Panda apontam que, em meados de 2019, um grande número de empresas espanholas de diferentes setores sofreu sérios ataques que fizeram uso de Ryuk para criptografar seus sistemas. Entretanto, a Espanha não é o único país que sofreu nas mãos desse ransomware. Outros países que foram mais atingidos por Ryuk são Alemanha, China, Argélia e Índia. Nos últimos três anos, Ryuk afetou milhões de usuários, comprometendo grandes quantidades de dados e causando perdas econômicas significativas.
Como ryuk funciona
Como outros tipos de ransomware, uma vez que Ryuk terminou de criptografar os arquivos de suas vítimas, ele deixa uma nota de resgate afirmando que, para recuperar seus arquivos, eles precisam fazer um pagamento em bitcoins para o endereço indicado na nota.
Na amostra analisada pela Panda Security, Ryuk entrou no sistema através de uma conexão remota feita em um ataque via RDP (Remote Desktop Protocol). O hacker consegue fazer login remotamente. Uma vez logado, ele cria um executável com a amostra.
O Ryuk tenta permanecer no sistema pelo maior tempo possível. Uma das maneiras que ele usa para fazer isso é criando executáveis e lançando-os em segredo no sistema.
Para ser capaz de criptografar os arquivos da vítima, ele também precisa ter privilégios. De um modo geral, Ryuk começa com um movimento lateral, ou seja, é lançado por outro tipo de malware, como Emotet ou Trickbot. Estes são responsáveis por aumentar os privilégios antes de concedê-los ao ransomware.
“Ryuk tem uma lista de truques para entrar, ganhar persistência e criptografar os arquivos das vítimas. Como é o caso de todos os ransomwares, se a empresa não tem a proteção adequada e não segue as diretrizes apropriadas, essa ameaça pode ser difícil de conter”, completa Américo.
Como se proteger contra Ryuk
A Panda Security lida com esse problema por meio de uma combinação de proteção avançada de endpoint em sua solução Panda Adaptive Defense: a capacidades de EDR, o monitoramento de todos os endpoints no sistema e seu serviço de classificação 100%. Baseia-se em uma abordagem de Zero Trust (confiança zero): qualquer processo ou aplicativo desconhecido é bloqueado até que possa ser analisado. Dessa forma, ele é capaz de parar qualquer ameaça antes que possa ser executada, mesmo os ataques mais avançados, como Ryuk.