TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究のログ

Ryuk (まとめ)

【概要】

  1. 脆弱な RDP(リモートデスクトッププロトコル)のパスワードを攻撃して、攻撃対象のネットワークに侵入します。
  2. 管理者権限を取得するまで権限を昇格します。
  3. 管理者権限を悪用して、セキュリティソフトウェアによって攻撃が検知されないようにします。
  4. ユーザーのファイルを暗号化する前に、可能な限りランサムウェアを拡散させます。
  5. ファイルを復号する場合には、身代金を要求するメモを残します。
  6. 被害を受けたユーザーが電子メールで連絡を取るのを待ちます。


【辞書】

◆Ryuk Ransomware (IBM X-Force Exchange)
https://exchange.xforce.ibmcloud.com/collection/Ryuk-Ransomware-93beb94af3f3d426b58da0a51e9255ef


【ニュース】

◆Ryuk Ransomware Emerges in Highly Targeted, Highly Lucrative Campaign (threat post, 2018/08/21 17:33)
https://threatpost.com/ryuk-ransomware-emerges-in-highly-targeted-highly-lucrative-campaign/136755/
http://malware-log.hatenablog.com/entry/2018/08/21/000000

◆Check Pointは新種のビットコインランサムウェアRyukを発見、北朝鮮にリンク? (Cointime, 2018/08/22 15:19)
http://jp.cointime.com/blockchain/12640.html
http://malware-log.hatenablog.com/entry/2018/08/22/000000_3

◆北ハッカー組織、ランサムウェアで64億ドルを奪取 (WoW! Korea, 2018/08/31 14:45)
http://www.wowkorea.jp/news/korea/2018/0831/10219582.html
http://malware-log.hatenablog.com/entry/2018/08/31/000000_5

◆SamSam 以降も標的型ランサムウェアが進化を続けていることを示す新しいランサムウェア Ryuk (naked Security (Sophos), 2018/12/18)
https://nakedsecurity.sophos.com/ja/2018/12/18/after-samsam-ryuk-shows-targeted-ransomware-is-still-evolving/
http://malware-log.hatenablog.com/entry/2018/12/18/000000_9

◆米新聞大手にサイバー攻撃=トリビューン社、各主要紙遅配 (時事通信, 2018/12/30 17:42)
https://www.jiji.com/jc/article?k=2018123000270&g=int
http://malware-log.hatenablog.com/entry/2018/12/30/000000

◆LAタイムズへサイバー攻撃 全米各地で印刷や配送に遅れ (毎日新聞, 2018/12/30 22:35)
https://mainichi.jp/articles/20181230/k00/00m/030/183000c
http://malware-log.hatenablog.com/entry/2018/12/30/000000

◆米紙にサイバー攻撃、印刷に支障出て配送遅れる (読売新聞, 2018/12/31 10:50)
https://www.yomiuri.co.jp/world/20181231-OYT1T50021.html
http://malware-log.hatenablog.com/entry/2018/12/31/000000_1

◆Ryuk Ransomware Involved in Cyberattack Stopping Newspaper Distribution (BleepingComputer, 2018/12/31)
https://www.bleepingcomputer.com/news/security/ryuk-ransomware-involved-in-cyberattack-stopping-newspaper-distribution/
http://malware-log.hatenablog.com/entry/2018/12/31/000000_4

◆Ryuk ransomware gang probably Russian, not North Korean (ZDNet, 2019/01/11 12:46)
https://www.zdnet.com/article/ryuk-ransomware-gang-probably-russian-not-north-korean/
http://malware-log.hatenablog.com/entry/2019/01/11/000000_4

◆Ryuk Ransomware Partners with TrickBot to Gain Access to Infected Networks (BleepingComputer, 2019/01/12)
https://www.bleepingcomputer.com/news/security/ryuk-ransomware-partners-with-trickbot-to-gain-access-to-infected-networks/
http://malware-log.hatenablog.com/entry/2019/01/12/000000_2

◆Ryuk ransomware banks $3.7 million in five months (Engadget, 2019/01/14)
https://www.engadget.com/2019/01/14/ryuk-ransomware-pulls-3-7-million/
http://malware-log.hatenablog.com/entry/2019/01/14/000000

◆デスノート由来のランサムウェア「リューク」による被害 仮想通貨ビットコインで約700BTC、ロシアのハッカー集団が関与か=レポート (Cointelegraph, 2019/01/15)
https://jp.cointelegraph.com/news/research-suggests-russian-based-hackers-behind-ryuk-ransomwares-25-million-gains
http://malware-log.hatenablog.com/entry/2019/01/15/000000_1

◆「Ryuk」ランサムウェア、北朝鮮ではなくロシアのハッカー集団が関与か (ZDNet, 2019/01/15 15:05)
https://japan.zdnet.com/article/35131251/
http://malware-log.hatenablog.com/entry/2019/01/15/000000

◆ランサムウェアRyukの脅威と仮説を検証 (ASCII.jp, 2019/02/20 17:40)
http://ascii.jp/elem/000/001/816/1816121/
http://malware-log.hatenablog.com/entry/2019/02/20/000000

◆ランサムウェア+標的型攻撃=? 新たな攻撃、被害は数百万ドル (ITmedia, 2019/03/12 07:00)
https://www.itmedia.co.jp/news/articles/1903/11/news101.html
http://malware-log.hatenablog.com/entry/2019/03/12/000000_4


【ブログ】

◆Ryuk Ransomware: A Targeted Campaign Break-Down (Checkpoint, 2018/08/20)
https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/
http://malware-log.hatenablog.com/entry/2018/08/20/000000_8

◆Cloud Hosting Provider DataResolution.net Battling Christmas Eve Ransomware Attack (Krebs on Security, 2019/01/02)
https://krebsonsecurity.com/2019/01/cloud-hosting-provider-dataresolution-net-battling-christmas-eve-ransomware-attack/
http://malware-log.hatenablog.com/entry/2019/01/02/000000_2

◆Ryuk ransomware attacks businesses over the holidays (Malwarebytes, 2019/01/08)
https://blog.malwarebytes.com/cybercrime/malware/2019/01/ryuk-ransomware-attacks-businesses-over-the-holidays/
http://malware-log.hatenablog.com/entry/2019/01/08/000000_1

◆Ryuk Ransomware Attack: Rush to Attribution Misses the Point (McAfee, 2019/01/09)
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/ryuk-ransomware-attack-rush-to-attribution-misses-the-point/?sharedid=39902&SubId1=27591&SubId2=6476&lctid=27591
http://malware-log.hatenablog.com/entry/2019/01/09/000000_1

◆Big Game Hunting with Ryuk: Another Lucrative Targeted Ransomware (Crowdstrike, 2019/01/10)
https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/
http://malware-log.hatenablog.com/entry/2019/01/10/000000_3

◆LA地元紙で配送作業を混乱させたランサムウエア Ryukの分析は続く (McAfee, 2019/02/20)
https://blogs.mcafee.jp/ryuk-exploring-the-human-connection
http://malware-log.hatenablog.com/entry/2019/02/20/000000_8


【公開情報】

◆Detailed Technical Analysis Report of Ryuk Ransomware (HOW TO REMOVE IT, 2018/08/23)
https://www.howtoremoveit.info/detailed-technical-analysis-report-of-ryuk-ransomware/
http://malware-log.hatenablog.com/entry/2018/08/23/000000_10


【資料】

◆SophosLabs 2019 Threat Report (sophos, 2018/11/25)
https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/sophoslabs-2019-threat-report.pdf
http://malware-log.hatenablog.com/entry/2018/11/25/000000_2


【関連資料】

f:id:tanigawa:20190108190326p:plain
出典: https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/

f:id:tanigawa:20190108191546j:plain
出典: https://www.howtoremoveit.info/detailed-technical-analysis-report-of-ryuk-ransomware/

f:id:tanigawa:20190117073708p:plain
The Hermes 2.1 ransomware kit, renamed and redistributed as Ryuk.
出典: https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/ryuk-ransomware-attack-rush-to-attribution-misses-the-point/?sharedid=39902&SubId1=27591&SubId2=6476&lctid=27591


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)

◆ランサムウェア (まとめ)
https://malware-log.hatenablog.com/entry/Ransomware

【インディケータ情報】

■ハッシュ情報(MD5) -- Ryuk Ransomware --

c0202cf6aeab8437c638533d14563d35
d348f536e214a47655af387408b4fca5
958c594909933d4c82e93c22850194aa
86c314bc2dc37ba84f7364acd5108c2b
29340643ca2e6677c19e1d3bf351d654
cb0c1248d3899358a375888bb4e8f3fe
1354ac0d5be0c8d03f4e3aba78d2223e
5AC0F050F93F86E69026FAEA1FBB4450

(以上は Checkpoint, の情報。 引用元は https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/)


■ハッシュ情報(MD5) -- Malware Dropper --

5ac0f050f93f86e69026faea1fbb4450

(以上は Checkpoint, の情報。 引用元は https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/)


■Bitcoin Address

14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019