O Federal Bureau of Investigation (FBI) determinou que mais de 100 empresas americanas sofreram infecções por ransomware Ryuk entre agosto de 2018 e meados de maio de 2019.
Segundo o LexBlog , o FBI publicou uma atualização em Flash, na qual revelou que a grande maioria desses ataques de ransomware da Ryuk visava organizações de logística, empresas de tecnologia e pequenos municípios. O FBI explicou como era impossível identificar o vetor de infecção em muitos desses ataques devido à capacidade de Ryuk de excluir todos os arquivos relacionados à invasão.
No entanto, a atualização observou como os atacantes digitais equiparam a ameaça com a capacidade de roubar credenciais e abusar do RDP (Remote Desktop Protocol) para infectar uma máquina, estabelecendo persistência e baixando controles adicionais de exploração de rede.
Além disso, o FBI explicou em seu Flash que havia encontrado uma nova versão do Ryuk. As amostras dessa variante usaram notas de resgate que não identificaram o valor exato do resgate, mas instruíram os usuários a entrar em contato com um dos vários endereços de email. Somente quando a vítima cumpriu essas instruções é que os atacantes especificaram o valor do resgate, identificaram uma carteira de bitcoin para pagamento e forneceram uma amostra de descriptografia de um ou dois arquivos afetados.
Colocando Ryuk no Contexto
Ryuk teve um ano ocupado. Em agosto de 2018, a Check Point identificou uma campanha de ataque que visava empresas localizadas em todo o mundo e criptografou centenas de PCs e data centers no processo. Vários meses depois, uma campanha de Ryuk interrompeu os horários de publicação do Chicago Tribune e de outros jornais da Tribune Publishing em todo os EUA, conforme reportado pelo CSO Online . Pouco tempo depois, surgiram notícias do Krebs on Security sobre como o ransomware havia afetado os sistemas pertencentes ao provedor de hospedagem em nuvem Dataresolution.net.
O que faz com que o Ryuk se destaque entre outras linhagens de malware de criptografia é que ele depende do TrickBot e Emotet para entrega, como Cybereason e CrowdStrike aprenderam separadamente. Ambas as famílias são ameaças significativas por si só. Ilustrando esse fato, a Equipe de Prontidão de Emergência em Computadores dos EUA (US-CERT) disse que o Emotet estava “entre os malwares mais dispendiosos e destrutivos que afetam os governos estaduais, locais, tribais e territoriais (SLTT) e os setores público e privado”.
Como se defender contra o Ransomware
Os profissionais de segurança podem ajudar a defender suas organizações contra o ransomware usando inteligência artificial e automação para descobrir campanhas de ataque que empregam táticas sofisticadas como forma de evitar a detecção. As organizações também devem empregar uma solução de gerenciamento de terminais para manter a visibilidade de todos os terminais na luta contra o ransomware .
