Ryuk がビジネスをターゲットにする方法

ほとんどのマルウェアと同様、Ryuk ランサムウェアは以下のようないくつかの手段を通じて配信されます。

• 感染した添付ファイルを含むスパムまたはフィッシングメールを送信。これを開いた人のネットワークに対して、ハッカーがリモートアクセスできるようにします。
• スピアフィッシングメールを送信。Ryuk の攻撃者は、社内または関連する人物になりすましてグループや組織を狙います。Ryuk ランサムウェアを添付したすべての電子メールは、なりすまし (偽) メールアドレスからも送信できるため、攻撃者は検知を回避できます。
• RDP ポートを介して、脆弱なセキュリティ保護を悪用。ハッカーがシステムにリモートアクセスできるようにします。

一部の Ryuk 攻撃では、最初にネットワークが Emotet として知られるトロイの木馬 (一見正当なコード内に隠された悪意のあるコンテンツ) に感染します。このトロイの木馬は、別の形式のマルウェアである Trickbot をダウンロードするための「ドロッパー」として使用されます。複数のシステムに対してこれが行われると、攻撃者は、複数のターゲットを監視したり、機密情報や管理者の資格情報にアクセスしたりできるようになります。その後、サイバー犯罪者は選択したターゲットに Ryuk を配備します。

Locky ランサムウェア、Cerber ランサムウェア、REvil/Sodinokibi ランサムウェアと同様に、攻撃者が Ryuk ランサムウェアでネットワークとサーバーセキュリティに侵入すると、システムに必要な最大 180 のサービスと 40 のプロセスがシャットダウンされ、重要な情報が暗号化されます。

ファイルが暗号化されると、Ryuk ランサムウェアは .BAT ファイルを使用して元のコピーとシャドーコピーを削除します。つまり、被害者はデータを復元させることができなくなってしまいます。

Ryuk は対称キー暗号化アルゴリズムと非対称キー暗号化アルゴリズムの両方を使用してファイルをエンコードします。これは、いくつかの方法を利用してユーザーデータを暗号化する Petya と Mischa ランサムウェアと同様の方法です。

Ryuk ランサムウェアは、ネットワーク上のすべてのファイルとアプリケーションに影響を及ぼし、その目的を完全に達成すると、必要な身代金要求の詳細を記載した「RyukReadMe.txt」と呼ばれるテキストファイルをすべてのフォルダーにドロップします。サイバー泥棒の要求通りに身代金が支払われた場合、暗号化キーのコピーによりファイルを取り戻すことができます。

事例 (有名な攻撃)

Ryuk ランサムウェア攻撃の数は増加し続けているため、自治体と事業体は引き続き警戒する必要があります。2018 年以降に最も注目を集めた Ryuk 攻撃には次のようなものがあります。

• 米国、ドイツ、英国の病院 (2019-2020): これらの国のさまざまな病院は、度重なる Ryuk マルウェア攻撃の被害を受けました。2020 年 9 月、英国と米国で施設を運営するユニバーサルヘルスサービス (UHS) が Ryuk マルウェアの被害を受けました。この事件により同社は 6,700 万ドルの損失を被り、すべての業務が再開されるまでに 1 か月かかりました。2020 年 9 月には、米国と英国の 400 を超える病院のネットワークも Ryuk マルウェアの影響を受け、米国の 250 施設すべてが過去最大級の医療施設に対する Ryuk 攻撃により影響を受けました。Ryuk マルウェアは、2020 年 10 月に米国の医療分野に対する攻撃の 75% を引き起こしたと報告されています。
• フロリダ州レイクシティ市 (2019): ある職員が Ryuk マルウェアの形式が含まれた電子メールを開いたことにより、同市の IT システムは停止し、 46 万ドルの身代金が要求されました。レイクシティ市長は、市当局が業務を復旧させるために要求された身代金を支払ったことを認めました。
• 南オーストラリア州オンカパリンガ市 (2019): 2019 年 12 月、アデレードのオンカパリンガ評議会の IT システムが Ryuk ランサムウェアに感染し、1 週間分の生産性の損失が発生しました。
• EMCOR (2020): 2 月、Fortune 500 にランキングされる会社 EMCOR は、複数の自社 IT システムが Ryuk マルウェア攻撃の影響を受けたことを認めました。同社は身代金の支払いが行われたかどうかを公表していません。

Ryuk から御社のビジネスを守る方法

ランサムウェアによるビジネス界の被害額は、2021 年だけで 185 万ドルと言われています。世界全体の被害額は 2031 年までに 2,650 億ドルになると予測されています。ランサムウェア攻撃を防ぐ方法を理解している企業は、オンラインの脆弱性を大幅に軽減できます。現時点では、狙われるリスクを高める要因がいくつかあります。古いソフトウェアやデバイス、パッチが適用されていないブラウザやオペレーティングシステム、不十分なバックアップまたはバックアップがない状態、サイバーセキュリティ保護ツールへの投資の不足などです。

御社のビジネスネットワーク全体にウイルス対策およびマルウェア対策ソリューションをインストールし、新たなサイバー脅威や今後のサイバー脅威からシステムを定期的に更新できるようにすることが重要です。そのソフトウェアは、次のような他の防御メカニズムによってもサポートされている必要があります。

• 災害復旧計画の実施。これにより、組織全体のプロセスとプロトコルを支え、サイバー攻撃が発生した場合に通知すべき個人と連絡先に対する役割を定義できます。
• 役割ベースのアクセス制御。ランサムウェア攻撃のリスクを最小限に抑えるために、バックアップと最小権限アクセスを導入する必要があります。役割ベースのアクセス制御 (RBAC) は、従業員が本人の業務要件には不要のデータにアクセスすることを制限することにより、追加のセキュリティレイヤーを設けることもできます。

Ryuk ランサムウェアを業務システムから削除する方法

Ryuk ランサムウェアを PC または Mac から削除することは可能かもしれませんが、今後の保証はありません。マルウェアは進化し続けており、組織に新たな課題をもたらしています。

マルウェア対策製品のインストールなどの予防措置を導入すると、サイバーセキュリティの脅威から御社のビジネスを保護し、ネットワーク上の脆弱性を修復するパッチなどのソフトウェアとアプリケーションの定期的な更新を組み込むことができます。