TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Ryuk (まとめ)

【概要】

  1. 脆弱な RDP(リモートデスクトッププロトコル)のパスワードを攻撃して、攻撃対象のネットワークに侵入
  2. 管理者権限を取得するまで権限を昇格
  3. 管理者権限を悪用して、セキュリティソフトウェアによって攻撃が検知されないようにする
  4. ユーザーのファイルを暗号化する前に、可能な限りランサムウェアを拡散させる
  5. ファイルを復号する場合には、身代金を要求するメモを残す
  6. 被害を受けたユーザーが電子メールで連絡を取るのを待つ


【辞書】

◆Ryuk Ransomware (IBM X-Force Exchange)
https://exchange.xforce.ibmcloud.com/collection/Ryuk-Ransomware-93beb94af3f3d426b58da0a51e9255ef

記事


【ニュース】

■2018年

◆Ryuk Ransomware Emerges in Highly Targeted, Highly Lucrative Campaign (threat post, 2018/08/21 17:33)
https://threatpost.com/ryuk-ransomware-emerges-in-highly-targeted-highly-lucrative-campaign/136755/
http://malware-log.hatenablog.com/entry/2018/08/21/000000

◆Check Pointは新種のビットコインランサムウェアRyukを発見、北朝鮮にリンク? (Cointime, 2018/08/22 15:19)
http://jp.cointime.com/blockchain/12640.html
http://malware-log.hatenablog.com/entry/2018/08/22/000000_3

◆北ハッカー組織、ランサムウェアで64億ドルを奪取 (WoW! Korea, 2018/08/31 14:45)
http://www.wowkorea.jp/news/korea/2018/0831/10219582.html
http://malware-log.hatenablog.com/entry/2018/08/31/000000_5

◆SamSam 以降も標的型ランサムウェアが進化を続けていることを示す新しいランサムウェア Ryuk (naked Security (Sophos), 2018/12/18)
https://nakedsecurity.sophos.com/ja/2018/12/18/after-samsam-ryuk-shows-targeted-ransomware-is-still-evolving/
http://malware-log.hatenablog.com/entry/2018/12/18/000000_9

◆米新聞大手にサイバー攻撃=トリビューン社、各主要紙遅配 (時事通信, 2018/12/30 17:42)
https://www.jiji.com/jc/article?k=2018123000270&g=int
http://malware-log.hatenablog.com/entry/2018/12/30/000000

◆LAタイムズへサイバー攻撃 全米各地で印刷や配送に遅れ (毎日新聞, 2018/12/30 22:35)
https://mainichi.jp/articles/20181230/k00/00m/030/183000c
http://malware-log.hatenablog.com/entry/2018/12/30/000000

◆米紙にサイバー攻撃、印刷に支障出て配送遅れる (読売新聞, 2018/12/31 10:50)
https://www.yomiuri.co.jp/world/20181231-OYT1T50021.html
http://malware-log.hatenablog.com/entry/2018/12/31/000000_1

◆Ryuk Ransomware Involved in Cyberattack Stopping Newspaper Distribution (BleepingComputer, 2018/12/31)
https://www.bleepingcomputer.com/news/security/ryuk-ransomware-involved-in-cyberattack-stopping-newspaper-distribution/
http://malware-log.hatenablog.com/entry/2018/12/31/000000_4


■2019年

◆Ryuk ransomware gang probably Russian, not North Korean (ZDNet, 2019/01/11 12:46)
https://www.zdnet.com/article/ryuk-ransomware-gang-probably-russian-not-north-korean/
http://malware-log.hatenablog.com/entry/2019/01/11/000000_4

◆Ryuk Ransomware Partners with TrickBot to Gain Access to Infected Networks (BleepingComputer, 2019/01/12)
https://www.bleepingcomputer.com/news/security/ryuk-ransomware-partners-with-trickbot-to-gain-access-to-infected-networks/
http://malware-log.hatenablog.com/entry/2019/01/12/000000_2

◆Ryuk ransomware banks $3.7 million in five months (Engadget, 2019/01/14)
https://www.engadget.com/2019/01/14/ryuk-ransomware-pulls-3-7-million/
http://malware-log.hatenablog.com/entry/2019/01/14/000000

◆デスノート由来のランサムウェア「リューク」による被害 仮想通貨ビットコインで約700BTC、ロシアのハッカー集団が関与か=レポート (Cointelegraph, 2019/01/15)
https://jp.cointelegraph.com/news/research-suggests-russian-based-hackers-behind-ryuk-ransomwares-25-million-gains
http://malware-log.hatenablog.com/entry/2019/01/15/000000_1

◆「Ryuk」ランサムウェア、北朝鮮ではなくロシアのハッカー集団が関与か (ZDNet, 2019/01/15 15:05)
https://japan.zdnet.com/article/35131251/
http://malware-log.hatenablog.com/entry/2019/01/15/000000

◆ランサムウェアRyukの脅威と仮説を検証 (ASCII.jp, 2019/02/20 17:40)
http://ascii.jp/elem/000/001/816/1816121/
http://malware-log.hatenablog.com/entry/2019/02/20/000000

◆ランサムウェア+標的型攻撃=? 新たな攻撃、被害は数百万ドル (ITmedia, 2019/03/12 07:00)
https://www.itmedia.co.jp/news/articles/1903/11/news101.html
http://malware-log.hatenablog.com/entry/2019/03/12/000000_4

◆高額の身代金要求するランサムウェア。支払われた仮想通貨9割増:2019年Q1 (Coindesk, 2019/04/22 09:00)
https://www.coindeskjapan.com/8723/
https://malware-log.hatenablog.com/entry/2019/04/22/000000_12

◆漫画『DEATH NOTE』が名前の由来、ランサムウェア「Ryuk」の被害が各国で続出 (ITmedia, 2019/07/02 13:00)
https://www.itmedia.co.jp/enterprise/articles/1907/02/news090.html
https://malware-log.hatenablog.com/entry/2019/07/02/000000_4

◆ランサムウェアに屈した地方自治体がIT担当職員を解雇--フロリダ州レイク・シティ (ZDNet, 2019/07/02 11:20)
https://japan.zdnet.com/article/35139315/
https://malware-log.hatenablog.com/entry/2019/07/02/000000_1

◆地方自治体を襲う「死神リューク」 ランサムウェア身代金支払いで被害増大の連鎖 (ITmedia, 2019/07/09 07:07)
https://www.itmedia.co.jp/news/articles/1907/09/news052.html
https://malware-log.hatenablog.com/entry/2019/07/09/000000_1

◆身代金は15億円相当のビットコイン(BTC)、米国の老人ホームがランサムウエアに感染 (Coin Choice, 2019/11/29)
https://coinchoice.net/110-nursing-home-in-us-infected-ransomware-hackers-demand-14-million-btc_201911/
https://malware-log.hatenablog.com/entry/2019/11/29/000000_8


【ブログ】

■2018年

◆Ryuk Ransomware: A Targeted Campaign Break-Down (Checkpoint, 2018/08/20)
https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/
http://malware-log.hatenablog.com/entry/2018/08/20/000000_8


■2019年

◆Cloud Hosting Provider DataResolution.net Battling Christmas Eve Ransomware Attack (Krebs on Security, 2019/01/02)
https://krebsonsecurity.com/2019/01/cloud-hosting-provider-dataresolution-net-battling-christmas-eve-ransomware-attack/
http://malware-log.hatenablog.com/entry/2019/01/02/000000_2

◆Ryuk ransomware attacks businesses over the holidays (Malwarebytes, 2019/01/08)
https://blog.malwarebytes.com/cybercrime/malware/2019/01/ryuk-ransomware-attacks-businesses-over-the-holidays/
http://malware-log.hatenablog.com/entry/2019/01/08/000000_1

◆Ryuk Ransomware Attack: Rush to Attribution Misses the Point (McAfee, 2019/01/09)
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/ryuk-ransomware-attack-rush-to-attribution-misses-the-point/?sharedid=39902&SubId1=27591&SubId2=6476&lctid=27591
http://malware-log.hatenablog.com/entry/2019/01/09/000000_1

◆Big Game Hunting with Ryuk: Another Lucrative Targeted Ransomware (Crowdstrike, 2019/01/10)
https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/
http://malware-log.hatenablog.com/entry/2019/01/10/000000_3

◆LA地元紙で配送作業を混乱させたランサムウエア Ryukの分析は続く (McAfee, 2019/02/20)
https://blogs.mcafee.jp/ryuk-exploring-the-human-connection
http://malware-log.hatenablog.com/entry/2019/02/20/000000_8

◆3つの脅威:EmotetによるTrickBotの展開とTrickBotによるデータの窃取およびRyukの拡散 (CyberReason, 2019/06/25)
https://www.cybereason.co.jp/blog/cyberattack/3613/
https://malware-log.hatenablog.com/entry/2019/06/25/000000_7


【公開情報】

◆Detailed Technical Analysis Report of Ryuk Ransomware (HOW TO REMOVE IT, 2018/08/23)
https://www.howtoremoveit.info/detailed-technical-analysis-report-of-ryuk-ransomware/
http://malware-log.hatenablog.com/entry/2018/08/23/000000_10

◆严重危害北美地区的Ryuk勒索病毒传入国内,受害者被勒索11 BTC(市值75万元人民币)(Tencent, 2019/07/15)

北アメリカを深刻に害するRyuk身代金ウイルスが国内に導入され、被害者は11 BTC(市場価値75万元)に脅かされました

https://mp.weixin.qq.com/s/IzwnUft0GpDJQ-sV-3f9eQ
https://malware-log.hatenablog.com/entry/2019/07/15/000000_4


【資料】

◆SophosLabs 2019 Threat Report (sophos, 2018/11/25)
https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/sophoslabs-2019-threat-report.pdf
http://malware-log.hatenablog.com/entry/2018/11/25/000000_2


【関連資料】

f:id:tanigawa:20190108190326p:plain
出典: https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/

f:id:tanigawa:20190108191546j:plain
出典: https://www.howtoremoveit.info/detailed-technical-analysis-report-of-ryuk-ransomware/

f:id:tanigawa:20190117073708p:plain
The Hermes 2.1 ransomware kit, renamed and redistributed as Ryuk.
出典: https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/ryuk-ransomware-attack-rush-to-attribution-misses-the-point/?sharedid=39902&SubId1=27591&SubId2=6476&lctid=27591


【IoC情報】

◆Ryuk (IoC (TT Malware Log))
https://ioc.hatenablog.com/entry/2018/08/20/000000

◆Ryuk (IoC (TT Malware Log))
https://ioc.hatenablog.com/entry/2018/08/23/000000


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)

◆ランサムウェア (まとめ)
https://malware-log.hatenablog.com/entry/Ransomware


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019