【要点】
◎2018年後半に出現したランサムウェア。Emotet・TrickBot・Zloaderと共に使用されるケースが報告されている
【目次】
概要
【辞書】
◆Ryuk Ransomware (IBM X-Force Exchange) *1
https://exchange.xforce.ibmcloud.com/collection/Ryuk-Ransomware-93beb94af3f3d426b58da0a51e9255ef
◆Ryuk (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk
◆RYUK ランサムウェアの概要 (Trendmicro)
https://www.trendmicro.com/ja_jp/what-is/ransomware/ryuk-ransomware.html
【概要】
項目 | 内容 |
---|---|
関連マルウェア | Emotet, TrickBot, Zloader |
後継マルウェア | Conti |
■特徴
- 脆弱な RDP(リモートデスクトッププロトコル)のパスワードを攻撃して、攻撃対象のネットワークに侵入
- 管理者権限を取得するまで権限を昇格
- 管理者権限を悪用して、セキュリティソフトウェアによって攻撃が検知されないようにする
- ユーザーのファイルを暗号化する前に、可能な限りランサムウェアを拡散させる
- ファイルを復号する場合には、身代金を要求するメモを残す
- 被害を受けたユーザーが電子メールで連絡を取るのを待つ
■身代金の総額
名称 | 期間 | 身代金総額 |
---|---|---|
Ryuk | 2018/02 ~2019/10 | 約6100万ドル |
【最新情報】
◆米国・英国政府、サイバー犯罪に関与したロシア人7人制裁リストに追加 (マイナビニュース, 2023/02/13 15:32)
https://news.mynavi.jp/techplus/article/20230213-2590526/
⇒ https://malware-log.hatenablog.com/entry/2023/02/13/000000
記事
【ニュース】
■2018年
◇2018年08月
◆Ryuk Ransomware Emerges in Highly Targeted, Highly Lucrative Campaign (threat post, 2018/08/21 17:33)
[Ryukランサムウェアが高度に標的化された高額なキャンペーンで出現]
https://threatpost.com/ryuk-ransomware-emerges-in-highly-targeted-highly-lucrative-campaign/136755/
⇒ http://malware-log.hatenablog.com/entry/2018/08/21/000000
◆Check Pointは新種のビットコインランサムウェアRyukを発見、北朝鮮にリンク? (Cointime, 2018/08/22 15:19)
http://jp.cointime.com/blockchain/12640.html
⇒ http://malware-log.hatenablog.com/entry/2018/08/22/000000_3
◆北ハッカー組織、ランサムウェアで64億ドルを奪取 (WoW! Korea, 2018/08/31 14:45)
http://www.wowkorea.jp/news/korea/2018/0831/10219582.html
⇒ http://malware-log.hatenablog.com/entry/2018/08/31/000000_5
◇2018年12月
◆SamSam 以降も標的型ランサムウェアが進化を続けていることを示す新しいランサムウェア Ryuk (naked Security (Sophos), 2018/12/18)
https://nakedsecurity.sophos.com/ja/2018/12/18/after-samsam-ryuk-shows-targeted-ransomware-is-still-evolving/
⇒ http://malware-log.hatenablog.com/entry/2018/12/18/000000_9
◆米新聞大手にサイバー攻撃=トリビューン社、各主要紙遅配 (時事通信, 2018/12/30 17:42)
https://www.jiji.com/jc/article?k=2018123000270&g=int
⇒ http://malware-log.hatenablog.com/entry/2018/12/30/000000
◆LAタイムズへサイバー攻撃 全米各地で印刷や配送に遅れ (毎日新聞, 2018/12/30 22:35)
https://mainichi.jp/articles/20181230/k00/00m/030/183000c
⇒ http://malware-log.hatenablog.com/entry/2018/12/30/000000
◆米紙にサイバー攻撃、印刷に支障出て配送遅れる (読売新聞, 2018/12/31 10:50)
https://www.yomiuri.co.jp/world/20181231-OYT1T50021.html
⇒ http://malware-log.hatenablog.com/entry/2018/12/31/000000_1
◆Ryuk Ransomware Involved in Cyberattack Stopping Newspaper Distribution (BleepingComputer, 2018/12/31)
[新聞配信停止のサイバー攻撃に関与したRyukランサムウェア]
https://www.bleepingcomputer.com/news/security/ryuk-ransomware-involved-in-cyberattack-stopping-newspaper-distribution/
⇒ http://malware-log.hatenablog.com/entry/2018/12/31/000000_4
■2019年
◇2019年01月
◆Ryuk ransomware gang probably Russian, not North Korean (ZDNet, 2019/01/11 12:46)
[Ryukのランサムウェアのギャングは、北朝鮮ではなく、おそらくロシアです]
https://www.zdnet.com/article/ryuk-ransomware-gang-probably-russian-not-north-korean/
⇒ http://malware-log.hatenablog.com/entry/2019/01/11/000000_4
◆Ryuk Ransomware Partners with TrickBot to Gain Access to Infected Networks (BleepingComputer, 2019/01/12)
[RyukランサムウェアがTrickBotと提携し、感染したネットワークへのアクセスを獲得]
https://www.bleepingcomputer.com/news/security/ryuk-ransomware-partners-with-trickbot-to-gain-access-to-infected-networks/
⇒ http://malware-log.hatenablog.com/entry/2019/01/12/000000_2
◆Ryuk ransomware banks $3.7 million in five months (Engadget, 2019/01/14)
[リュークのランサムウェアは5ヶ月で370万ドルを銀行に預ける]
https://www.engadget.com/2019/01/14/ryuk-ransomware-pulls-3-7-million/
⇒ http://malware-log.hatenablog.com/entry/2019/01/14/000000
◆デスノート由来のランサムウェア「リューク」による被害 仮想通貨ビットコインで約700BTC、ロシアのハッカー集団が関与か=レポート (Cointelegraph, 2019/01/15)
https://jp.cointelegraph.com/news/research-suggests-russian-based-hackers-behind-ryuk-ransomwares-25-million-gains
⇒ http://malware-log.hatenablog.com/entry/2019/01/15/000000_1
◆「Ryuk」ランサムウェア、北朝鮮ではなくロシアのハッカー集団が関与か (ZDNet, 2019/01/15 15:05)
https://japan.zdnet.com/article/35131251/
⇒ http://malware-log.hatenablog.com/entry/2019/01/15/000000
◇2019年02月
◆ランサムウェアRyukの脅威と仮説を検証 (ASCII.jp, 2019/02/20 17:40)
http://ascii.jp/elem/000/001/816/1816121/
⇒ http://malware-log.hatenablog.com/entry/2019/02/20/000000
◇2019年03月
◆ランサムウェア+標的型攻撃=? 新たな攻撃、被害は数百万ドル (ITmedia, 2019/03/12 07:00)
https://www.itmedia.co.jp/news/articles/1903/11/news101.html
⇒ http://malware-log.hatenablog.com/entry/2019/03/12/000000_4
◇2019年04月
◆高額の身代金要求するランサムウェア。支払われた仮想通貨9割増:2019年Q1 (Coindesk, 2019/04/22 09:00)
https://www.coindeskjapan.com/8723/
⇒ https://malware-log.hatenablog.com/entry/2019/04/22/000000_12
◇2019年07月
◆漫画『DEATH NOTE』が名前の由来、ランサムウェア「Ryuk」の被害が各国で続出 (ITmedia, 2019/07/02 13:00)
https://www.itmedia.co.jp/enterprise/articles/1907/02/news090.html
⇒ https://malware-log.hatenablog.com/entry/2019/07/02/000000_4
◆ランサムウェアに屈した地方自治体がIT担当職員を解雇--フロリダ州レイク・シティ (ZDNet, 2019/07/02 11:20)
https://japan.zdnet.com/article/35139315/
⇒ https://malware-log.hatenablog.com/entry/2019/07/02/000000_1
◆地方自治体を襲う「死神リューク」 ランサムウェア身代金支払いで被害増大の連鎖 (ITmedia, 2019/07/09 07:07)
https://www.itmedia.co.jp/news/articles/1907/09/news052.html
⇒ https://malware-log.hatenablog.com/entry/2019/07/09/000000_1
◇2019年09月
◆5億6000万円ものランサムウェア身代金を突っぱねて自力で問題を解決した自治体が現る (Gigazine, 2019/09/06 13:00)
https://gigazine.net/news/20190906-us-city-reject-ransom-demand/
⇒ https://malware-log.hatenablog.com/entry/2019/09/06/000000_10
◇2019年11月
◆身代金は15億円相当のビットコイン(BTC)、米国の老人ホームがランサムウエアに感染 (Coin Choice, 2019/11/29)
https://coinchoice.net/110-nursing-home-in-us-infected-ransomware-hackers-demand-14-million-btc_201911/
⇒ https://malware-log.hatenablog.com/entry/2019/11/29/000000_8
◇2019年12月
◆ランサムウェアの被害を拡大させるマルウェアの“運び屋”「Emotet」の脅威 (クラウドWatch, 2019/12/19 11:53)
https://cloud.watch.impress.co.jp/docs/news/1225418.html
⇒ https://malware-log.hatenablog.com/entry/2019/12/19/000000_2
◆US Coast Guard discloses Ryuk ransomware infection at maritime facility (ZDNet, 2019/12/30 06:00)
[米国沿岸警備隊、海事施設でのランサムウェア「Ryuk」の感染を公表]Ransomware infection led to a disruption of camera and physical access control systems, and loss of critical process control monitoring systems.
[ランサムウェアの感染により、カメラや物理的なアクセスコントロールシステムが破壊され、重要なプロセスコントロールのモニタリングシステムが失われました]Ransomware: Ryuk
https://www.zdnet.com/article/us-coast-guard-discloses-ryuk-ransomware-infection-at-maritime-facility/
⇒ https://malware-log.hatenablog.com/entry/2019/12/30/000000_2
■2020年
◇2020年03月
◆Ransomware victims are paying out millions a month. One particular version has cost them the most (ZDNet, 2020/03/02 17:02)
[ランサムウェアの被害者は毎月数百万ドルを支払っています。ある特定のバージョンでは最も多くの犠牲者を出しています]Over six-and-a-half years, ransomware victims have handed over vast amounts of bitcoin to crooks. Some variants of the malware have generated more ransom than others
ランサムウェアの被害者は毎月数百万ドルを支払っています。1つの特定のバージョンはそれらに最もコストがかかります
ランサムウェアの被害者は6年半にわたって、膨大な量のビットコインを詐欺師に手渡しています。マルウェアの一部の亜種は、他の亜種よりも身代金を生成していますhttps://www.zdnet.com/article/fbi-ransomware-victims-have-paid-out-140-million-one-version-has-cost-them-the-most/
⇒ https://malware-log.hatenablog.com/entry/2020/03/02/000000_4
◆Ryuk Ransomware Keeps Targeting Hospitals During the Pandemic (Bleeping Computer, 2020/03/26 18:08)
[Ryukランサムウェアはパンデミックの間、病院を標的にし続けている]
https://www.bleepingcomputer.com/news/security/ryuk-ransomware-keeps-targeting-hospitals-during-the-pandemic/
⇒ https://malware-log.hatenablog.com/entry/2020/03/26/000000_5
◇2020年07月
◆Ransomware: How clicking on one email left a whole business in big trouble (ZDNet, 2020/07/30 10:19)
[ランサムウェア:1つの電子メールをクリックすると、ビジネス全体が大きな問題を抱えたままになってしまった方法]A food and drink manufacturer fell victim to a ransomware attack and crucially didn't give into the extortion demand - but it could've been much worse.
[飲食物メーカーがランサムウェア攻撃の被害に遭い、恐喝要求に屈することはありませんでしたが、もっとひどいことになっていたかもしれません。]https://www.zdnet.com/article/ransomware-how-clicking-on-one-phishing-email-left-a-whole-business-in-big-trouble/
⇒ https://malware-log.hatenablog.com/entry/2020/07/30/000000_10
◇2020年09月
◆Conti (Ryuk) joins the ranks of ransomware gangs operating data leak sites (ZDNet, 2020/08/25 17:17)
[Conti(Ryuk)は、データ漏洩サイトを運営するランサムウェアギャングの仲間入りをしています]More and more ransomware gangs are now operating sites where they leak sensitive data from victims who refuse to pay the ransom demand.
[身代金要求の支払いを拒否した被害者から機密データを流出させるサイトを運営するランサムウェアギャングが増えている]https://www.zdnet.com/article/conti-ryuk-joins-the-ranks-of-ransomware-gangs-operating-data-leak-sites/
⇒ https://malware-log.hatenablog.com/entry/2020/08/25/000000_7
◇2020年09月
◆The mischievous Ryuk: Combatting the ‘Death Note’-inspired ransomware (CoinTelegraph, 2020/09/02)
[いたずら好きなRyuk デスノートにインスパイアされたランサムウェアとの戦い]As the Ryuk ransomware continues to wreak havoc, tracking ransomware payments has become critical in stopping criminals from cashing out.
[Ryukランサムウェアが大惨事を引き起こし続ける中、ランサムウェアの支払いを追跡することは、犯罪者が現金化するのを阻止する上で非常に重要になっています。]https://cointelegraph.com/news/the-mischievous-ryuk-combatting-the-death-note-inspired-ransomware
⇒ https://malware-log.hatenablog.com/entry/2020/09/02/000000_5
◆UHS hospitals hit by reported country-wide Ryuk ransomware attack (BleepingComputer, 2020/09/28)
[Ryukのランサムウェア攻撃が全国的に報告され、UHSの病院が被害を受ける]
https://www.bleepingcomputer.com/news/security/uhs-hospitals-hit-by-reported-country-wide-ryuk-ransomware-attack/
⇒ https://malware-log.hatenablog.com/entry/2020/09/28/000000
◆米病院大手UHSにサイバー攻撃、Ryukランサムウェアか。要手術者や急患受入れに支障 (Engadget, 2020/09/29)
https://japanese.engadget.com/uhs-hospitals-ransomeware-074030308.html
⇒ https://malware-log.hatenablog.com/entry/2020/09/29/000000
◆米国の大手医療企業がランサムウェアに攻撃され、多くの病院で現場が大混乱に陥っている (Wired, 2020/09/29 17:00)
全米や英国などで400以上の施設を運営する大手医療企業が、ランサムウェア攻撃に襲われた。全米の多くの病院ではネットワークが停止し、さまざまな混乱が起きている。今回の攻撃に使われたランサムウェアの特徴からは、ロシアの犯罪集団の存在が見え隠れする。
https://wired.jp/2020/09/29/universal-health-services-ransomware-attack/
⇒ https://malware-log.hatenablog.com/entry/2020/09/29/000000_1
◇2020年10月
◆Ransomware threat surge, Ryuk attacks about 20 orgs per week (BleepingComputer, 2020/10/06 06:09)
[ランサムウェアの脅威が急増、Ryukは週に約20の組織を攻撃]
https://www.bleepingcomputer.com/news/security/ransomware-threat-surge-ryuk-attacks-about-20-orgs-per-week/
⇒ https://malware-log.hatenablog.com/entry/2020/10/06/000000_1
◆BazarLoader used to deploy Ryuk ransomware on high-value targets (BleepingComputer, 2020/10/12 12:53)
[BazarLoaderは、高価値のターゲットにRyukランサムウェアを展開するために使用されています。]
https://www.bleepingcomputer.com/news/security/bazarloader-used-to-deploy-ryuk-ransomware-on-high-value-targets/
⇒ https://malware-log.hatenablog.com/entry/2020/10/12/000000
◆French IT giant Sopra Steria hit by Ryuk ransomware (BleepingComputer, 2020/10/22)
[フランスのIT大手 Sopra Steria がRyukランサムウェアに襲われる]
https://www.bleepingcomputer.com/news/security/french-it-giant-sopra-steria-hit-by-ryuk-ransomware/
⇒ https://malware-log.hatenablog.com/entry/2020/10/22/000000_2
◆Sopra Steria confirms being hit by Ryuk ransomware attack (BleepingComputer, 2020/10/26 09:54)
[Sopra Steriaは、Ryukランサムウェアの攻撃を受けたことを確認しています]
https://www.bleepingcomputer.com/news/security/sopra-steria-confirms-being-hit-by-ryuk-ransomware-attack/
⇒ https://malware-log.hatenablog.com/entry/2020/10/26/000000_2
◆Steelcase furniture giant hit by Ryuk ransomware attack (BleepingComputer, 2020/10/27 12:30)
https://www.bleepingcomputer.com/news/security/steelcase-furniture-giant-hit-by-ryuk-ransomware-attack/
⇒ https://malware-log.hatenablog.com/entry/2020/10/27/000000_8
◇2020年11月
◆How Ryuk Ransomware operators made $34 million from one victim (BleepingComputer, 2020/11/07 03:44)
[Ryukランサムウェアの運営者が1人の被害者から3400万ドルを稼いだ方法]
https://www.bleepingcomputer.com/news/security/how-ryuk-ransomware-operators-made-34-million-from-one-victim/
⇒ https://malware-log.hatenablog.com/entry/2020/11/07/000000
■2021年
◇2021年1月
◆155億円もの身代金を奪ったランサムウェア「Ryuk」が用いる手法とは? (Gigazine, 2021/01/08 14:01)
https://gigazine.net/news/20210108-ryuk-ransomware/
⇒ https://malware-log.hatenablog.com/entry/2021/01/08/000000_4
◇2021年3月
◆ランサムウェア「Ryuk」にワーム化した新亜種 (Security NEXT, 2021/03/05)
https://www.security-next.com/123856
⇒ https://malware-log.hatenablog.com/entry/2021/03/05/000000
◆Ryuk ransomware hits 700 Spanish government labor agency offices (BleepingComputer, 2021/03/10 08:35)
[ランサムウェア「Ryuk」がスペイン政府労働機関のオフィス700箇所を襲う]
https://www.bleepingcomputer.com/news/security/ryuk-ransomware-hits-700-spanish-government-labor-agency-offices/
⇒ https://malware-log.hatenablog.com/entry/2021/03/10/000000_8
◇2021年4月
◆Ryuk ransomware operation updates hacking techniques (BleepingComputer, 2021/04/17 10:15)
[ランサムウェア「Ryuk」、ハッキング技術をアップデート]
https://www.bleepingcomputer.com/news/security/ryuk-ransomware-operation-updates-hacking-techniques/
⇒ https://malware-log.hatenablog.com/entry/2021/04/17/000000
◇2021年5月
◆Ryuk Ransomware Attack Sprung by Frugal Student (ThreatPost, 2021/05/06 13:26)
https://threatpost.com/ryuk-ransomware-attack-student/165918/
⇒ https://malware-log.hatenablog.com/entry/2021/05/06/000000_4
◆ランサムウェア「Ryuk」がウェブサーバーのみを標的に 新たなサンプルに新機能 (ASCII.jp, 2021/07/09 17:30)
https://ascii.jp/elem/000/004/062/4062196/
⇒ https://malware-log.hatenablog.com/entry/2021/07/09/000000_6
■2023年
◇2023年2月
◆米国・英国政府、サイバー犯罪に関与したロシア人7人制裁リストに追加 (マイナビニュース, 2023/02/13 15:32)
https://news.mynavi.jp/techplus/article/20230213-2590526/
⇒ https://malware-log.hatenablog.com/entry/2023/02/13/000000
【ブログ】
■2018年
◇2018年08月
◆Ryuk Ransomware: A Targeted Campaign Break-Down (Checkpoint, 2018/08/20)
https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/
⇒ http://malware-log.hatenablog.com/entry/2018/08/20/000000_8
■2019年
◇2019年01月
◆Cloud Hosting Provider DataResolution.net Battling Christmas Eve Ransomware Attack (Krebs on Security, 2019/01/02)
https://krebsonsecurity.com/2019/01/cloud-hosting-provider-dataresolution-net-battling-christmas-eve-ransomware-attack/
⇒ http://malware-log.hatenablog.com/entry/2019/01/02/000000_2
◆Ryuk ransomware attacks businesses over the holidays (Malwarebytes, 2019/01/08)
https://blog.malwarebytes.com/cybercrime/malware/2019/01/ryuk-ransomware-attacks-businesses-over-the-holidays/
⇒ http://malware-log.hatenablog.com/entry/2019/01/08/000000_1
◆Ryuk Ransomware Attack: Rush to Attribution Misses the Point (McAfee, 2019/01/09)
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/ryuk-ransomware-attack-rush-to-attribution-misses-the-point/?sharedid=39902&SubId1=27591&SubId2=6476&lctid=27591
⇒ http://malware-log.hatenablog.com/entry/2019/01/09/000000_1
◆Big Game Hunting with Ryuk: Another Lucrative Targeted Ransomware (Crowdstrike, 2019/01/10)
https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/
⇒ http://malware-log.hatenablog.com/entry/2019/01/10/000000_3
◇2019年02月
◆LA地元紙で配送作業を混乱させたランサムウエア Ryukの分析は続く (McAfee, 2019/02/20)
https://blogs.mcafee.jp/ryuk-exploring-the-human-connection
⇒ http://malware-log.hatenablog.com/entry/2019/02/20/000000_8
◇2019年06月
◆3つの脅威:EmotetによるTrickBotの展開とTrickBotによるデータの窃取およびRyukの拡散 (CyberReason, 2019/06/25)
https://www.cybereason.co.jp/blog/cyberattack/3613/
⇒ https://malware-log.hatenablog.com/entry/2019/06/25/000000_7
◇2019年09月
◆US City Rejects $5.3 Million Ransom Demand and Restores Encrypted Files from Backup (Secaletrs, 2019/09/05)
https://secalerts.co/article/city-knocks-back-ransom-demand-and-restores-files-from-backup/c785f0f3
⇒ https://malware-log.hatenablog.com/entry/2019/09/06/000000_10
【公開情報】
■2018年
◇2018年08月
◆Detailed Technical Analysis Report of Ryuk Ransomware (HOW TO REMOVE IT, 2018/08/23)
https://www.howtoremoveit.info/detailed-technical-analysis-report-of-ryuk-ransomware/
⇒ http://malware-log.hatenablog.com/entry/2018/08/23/000000_10
■2019年
◇2019年07月
◆严重危害北美地区的Ryuk勒索病毒传入国内,受害者被勒索11 BTC(市值75万元人民币)(Tencent, 2019/07/15)
北アメリカを深刻に害するRyuk身代金ウイルスが国内に導入され、被害者は11 BTC(市場価値75万元)に脅かされました
https://mp.weixin.qq.com/s/IzwnUft0GpDJQ-sV-3f9eQ
⇒ https://malware-log.hatenablog.com/entry/2019/07/15/000000_4
【資料】
■2018年
◇2018年11月
◆SophosLabs 2019 Threat Report (sophos, 2018/11/25)
https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/sophoslabs-2019-threat-report.pdf
⇒ http://malware-log.hatenablog.com/entry/2018/11/25/000000_2
【関連資料】
出典: https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/
出典: https://www.howtoremoveit.info/detailed-technical-analysis-report-of-ryuk-ransomware/
The Hermes 2.1 ransomware kit, renamed and redistributed as Ryuk.
出典: https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/ryuk-ransomware-attack-rush-to-attribution-misses-the-point/?sharedid=39902&SubId1=27591&SubId2=6476&lctid=27591
出典: https://japan.zdnet.com/article/35131251/
出典: https://www.bleepingcomputer.com/news/security/ryuk-ransomware-operation-updates-hacking-techniques/
【IoC情報】
◆Ryuk (IoC (TT Malware Log))
https://ioc.hatenablog.com/entry/2018/08/20/000000
◆Ryuk (IoC (TT Malware Log))
https://ioc.hatenablog.com/entry/2018/08/23/000000
【検索】
google: Ryuk
google:news: Ryuk
google: site:virustotal.com Ryuk
google: site:github.com Ryuk
■Bing
https://www.bing.com/search?q=Ryuk
https://www.bing.com/news/search?q=Ryuk
https://twitter.com/search?q=%23Ryuk
https://twitter.com/hashtag/Ryuk
関連情報
【関連情報】
◆Conti (まとめ)
https://malware-log.hatenablog.com/entry/Conti
【関連まとめ記事】
◆ランサムウェア (まとめ)
https://malware-log.hatenablog.com/entry/Ransomware