Recentemente, especialistas em segurança cibernética afirmaram que os operadores do Ryuk Ransomware têm como alvo infraestruturas severas para extorquir resgates elevados de suas vítimas.
Em 2018, o ransomware Ryuk foi detectado pela primeira vez, e os pesquisadores de segurança afirmam que o Ryuk foi adquirido e desenvolvido por seus operadores a partir do código-fonte do ransomware Hermes.
Como no ano passado, uma das maiores organizações de saúde com mais de 90.000 funcionários, 400 hospitais, centros de saúde comportamental e clínicas ambulatoriais nos EUA e no Reino Unido foram atacados pelos operadores do Ryuk Ransomware.
À força, a organização teve de transferir todos os seus pacientes para outros hospitais e centros de saúde, pois os atacantes conseguiram obter acesso à sua rede interna de TI e desligar todos os sistemas informáticos internos desta organização nos EUA.
No entanto, na lista de vítimas do ransomware Ryuk, não existem apenas organizações de saúde, existem também outras infraestruturas, e aqui estão elas: –
- Várias empresas de petróleo e gás.
- Uma agência dos EUA.
- Uma grande empresa de serviços de engenharia e construção.
- Governo municipal e distrital.
- Um fornecedor de software financeiro.
- Um fabricante de alimentos e bebidas.
- Um jornal.
Mas, mais tarde, o FBI emitiu publicamente um aviso sobre os operadores de ransomware Ryuk em junho de 2020, no qual alegavam que os operadores de ransomware Ryuk também tinham como alvo institutos educacionais como institutos de ensino fundamental e médio.
Novas táticas
Como droppers iniciais, os operadores do ransomware Ryuk usaram o seguinte malware: –
Mas, eles agora adotaram novos métodos e táticas, “comandos do PowerShell”, ao codificar isso, eles fazem o seguinte: –
- Baixe a primeira carga útil.
- Desative as ferramentas de segurança.
- Pare os backups de dados.
- Digitalize a rede.
Além dessas coisas, para implantar o ransomware no sistema infectado, eles também exploram o Windows Instrumentação de gerenciamento (WMIC) e BitsAdmin.
Os operadores do ransomware Ryuk projetaram esta nova forma de estratégia para capacitar o ransomware a permanecer oculto por mais tempo nas redes infectadas sem qualquer detecção.
Atinge os sistemas governamentais
Ao usar a nova forma e ferramentas de estratégia, os operadores do ransomware Ryuk também visaram os sistemas governamentais e, durante o ataque, conseguiram criptografar quase cerca de 2.000 sistemas internos e serviços críticos.
Enquanto os especialistas explicar que para executar este ataque os operadores do Ryuk primeiro obtiveram acesso a uma conta de um administrador de domínio cujas senhas foram salvas em uma política de grupo.
Aqui, para escanear a rede e desabilitar as ferramentas de segurança, os invasores usaram o PowerShell; depois disso, para copiar o Ryuk para hosts adicionais com credenciais de conta privilegiadas, eles exploraram o Windows Instrumentação de gerenciamento (WMIC), PowerShell e BitsAdmin.
Recomendações
Além disso, o governo federal dos EUA sugeriu poucas recomendações às empresas para combater essas ameaças, e aqui elas são mencionadas abaixo: –
- Execute backups regulares.
- Análise de risco para identificar todos os problemas potenciais.
- Treinamento adequado da equipe.
- Mantenha os sistemas atualizados com as atualizações e patches de segurança mais recentes.
- Lista de permissões de aplicativos para acompanhar todos os aplicativos aprovados.
- Resposta a incidentes para identificar e eliminar ataques cibernéticos.
- Continuidade de Negócios.
- Teste de penetração.
Os analistas de segurança cibernética garantiram que, seguindo as recomendações acima mencionadas, as empresas e organizações serão capazes de proteger os seus utilizadores de ataques cibernéticos como este.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.