TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Ryuk (まとめ)

【要点】

◎2018年後半に出現したランサムウェア。Emotet・TrickBotと共に使用されるケースが報告されている。後継マルウェアは 「Conti」か?


【目次】

概要

【概要】
項目 内容
関連マルウェア Emotet, TrickBot
後継マルウェア Conti


■特徴

  1. 脆弱な RDP(リモートデスクトッププロトコル)のパスワードを攻撃して、攻撃対象のネットワークに侵入
  2. 管理者権限を取得するまで権限を昇格
  3. 管理者権限を悪用して、セキュリティソフトウェアによって攻撃が検知されないようにする
  4. ユーザーのファイルを暗号化する前に、可能な限りランサムウェアを拡散させる
  5. ファイルを復号する場合には、身代金を要求するメモを残す
  6. 被害を受けたユーザーが電子メールで連絡を取るのを待つ


■身代金の総額

名称 期間 身代金総額
Ryuk 2018/02 ~2019/10 約6100万ドル
【最新情報】

◆UHS hospitals hit by reported country-wide Ryuk ransomware attack (BleepingComputer, 2020/09/28)
https://www.bleepingcomputer.com/news/security/uhs-hospitals-hit-by-reported-country-wide-ryuk-ransomware-attack/
https://malware-log.hatenablog.com/entry/2020/09/28/000000

◆米病院大手UHSにサイバー攻撃、Ryukランサムウェアか。要手術者や急患受入れに支障 (Engadget, 2020/09/29)
https://japanese.engadget.com/uhs-hospitals-ransomeware-074030308.html
https://malware-log.hatenablog.com/entry/2020/09/29/000000

◆米国の大手医療企業がランサムウェアに攻撃され、多くの病院で現場が大混乱に陥っている (Wired, 2020/09/29 17:00)

全米や英国などで400以上の施設を運営する大手医療企業が、ランサムウェア攻撃に襲われた。全米の多くの病院ではネットワークが停止し、さまざまな混乱が起きている。今回の攻撃に使われたランサムウェアの特徴からは、ロシアの犯罪集団の存在が見え隠れする。

https://wired.jp/2020/09/29/universal-health-services-ransomware-attack/
https://malware-log.hatenablog.com/entry/2020/09/29/000000_1

◆BazarLoader used to deploy Ryuk ransomware on high-value targets (BleepingComputer, 2020/10/12 12:53)
[BazarLoaderは、高価値のターゲットにRyukランサムウェアを展開するために使用されています。]
https://www.bleepingcomputer.com/news/security/bazarloader-used-to-deploy-ryuk-ransomware-on-high-value-targets/
https://malware-log.hatenablog.com/entry/2020/10/12/000000

記事

【ニュース】

■2018年

◆Ryuk Ransomware Emerges in Highly Targeted, Highly Lucrative Campaign (threat post, 2018/08/21 17:33)
https://threatpost.com/ryuk-ransomware-emerges-in-highly-targeted-highly-lucrative-campaign/136755/
http://malware-log.hatenablog.com/entry/2018/08/21/000000

◆Check Pointは新種のビットコインランサムウェアRyukを発見、北朝鮮にリンク? (Cointime, 2018/08/22 15:19)
http://jp.cointime.com/blockchain/12640.html
http://malware-log.hatenablog.com/entry/2018/08/22/000000_3

◆北ハッカー組織、ランサムウェアで64億ドルを奪取 (WoW! Korea, 2018/08/31 14:45)
http://www.wowkorea.jp/news/korea/2018/0831/10219582.html
http://malware-log.hatenablog.com/entry/2018/08/31/000000_5

◆SamSam 以降も標的型ランサムウェアが進化を続けていることを示す新しいランサムウェア Ryuk (naked Security (Sophos), 2018/12/18)
https://nakedsecurity.sophos.com/ja/2018/12/18/after-samsam-ryuk-shows-targeted-ransomware-is-still-evolving/
http://malware-log.hatenablog.com/entry/2018/12/18/000000_9

◆米新聞大手にサイバー攻撃=トリビューン社、各主要紙遅配 (時事通信, 2018/12/30 17:42)
https://www.jiji.com/jc/article?k=2018123000270&g=int
http://malware-log.hatenablog.com/entry/2018/12/30/000000

◆LAタイムズへサイバー攻撃 全米各地で印刷や配送に遅れ (毎日新聞, 2018/12/30 22:35)
https://mainichi.jp/articles/20181230/k00/00m/030/183000c
http://malware-log.hatenablog.com/entry/2018/12/30/000000

◆米紙にサイバー攻撃、印刷に支障出て配送遅れる (読売新聞, 2018/12/31 10:50)
https://www.yomiuri.co.jp/world/20181231-OYT1T50021.html
http://malware-log.hatenablog.com/entry/2018/12/31/000000_1

◆Ryuk Ransomware Involved in Cyberattack Stopping Newspaper Distribution (BleepingComputer, 2018/12/31)
https://www.bleepingcomputer.com/news/security/ryuk-ransomware-involved-in-cyberattack-stopping-newspaper-distribution/
http://malware-log.hatenablog.com/entry/2018/12/31/000000_4


■2019年

◆Ryuk ransomware gang probably Russian, not North Korean (ZDNet, 2019/01/11 12:46)
https://www.zdnet.com/article/ryuk-ransomware-gang-probably-russian-not-north-korean/
http://malware-log.hatenablog.com/entry/2019/01/11/000000_4

◆Ryuk Ransomware Partners with TrickBot to Gain Access to Infected Networks (BleepingComputer, 2019/01/12)
https://www.bleepingcomputer.com/news/security/ryuk-ransomware-partners-with-trickbot-to-gain-access-to-infected-networks/
http://malware-log.hatenablog.com/entry/2019/01/12/000000_2

◆Ryuk ransomware banks $3.7 million in five months (Engadget, 2019/01/14)
https://www.engadget.com/2019/01/14/ryuk-ransomware-pulls-3-7-million/
http://malware-log.hatenablog.com/entry/2019/01/14/000000

◆デスノート由来のランサムウェア「リューク」による被害 仮想通貨ビットコインで約700BTC、ロシアのハッカー集団が関与か=レポート (Cointelegraph, 2019/01/15)
https://jp.cointelegraph.com/news/research-suggests-russian-based-hackers-behind-ryuk-ransomwares-25-million-gains
http://malware-log.hatenablog.com/entry/2019/01/15/000000_1

◆「Ryuk」ランサムウェア、北朝鮮ではなくロシアのハッカー集団が関与か (ZDNet, 2019/01/15 15:05)
https://japan.zdnet.com/article/35131251/
http://malware-log.hatenablog.com/entry/2019/01/15/000000

◆ランサムウェアRyukの脅威と仮説を検証 (ASCII.jp, 2019/02/20 17:40)
http://ascii.jp/elem/000/001/816/1816121/
http://malware-log.hatenablog.com/entry/2019/02/20/000000

◆ランサムウェア+標的型攻撃=? 新たな攻撃、被害は数百万ドル (ITmedia, 2019/03/12 07:00)
https://www.itmedia.co.jp/news/articles/1903/11/news101.html
http://malware-log.hatenablog.com/entry/2019/03/12/000000_4

◆高額の身代金要求するランサムウェア。支払われた仮想通貨9割増:2019年Q1 (Coindesk, 2019/04/22 09:00)
https://www.coindeskjapan.com/8723/
https://malware-log.hatenablog.com/entry/2019/04/22/000000_12

◆漫画『DEATH NOTE』が名前の由来、ランサムウェア「Ryuk」の被害が各国で続出 (ITmedia, 2019/07/02 13:00)
https://www.itmedia.co.jp/enterprise/articles/1907/02/news090.html
https://malware-log.hatenablog.com/entry/2019/07/02/000000_4

◆ランサムウェアに屈した地方自治体がIT担当職員を解雇--フロリダ州レイク・シティ (ZDNet, 2019/07/02 11:20)
https://japan.zdnet.com/article/35139315/
https://malware-log.hatenablog.com/entry/2019/07/02/000000_1

◆地方自治体を襲う「死神リューク」 ランサムウェア身代金支払いで被害増大の連鎖 (ITmedia, 2019/07/09 07:07)
https://www.itmedia.co.jp/news/articles/1907/09/news052.html
https://malware-log.hatenablog.com/entry/2019/07/09/000000_1

◆5億6000万円ものランサムウェア身代金を突っぱねて自力で問題を解決した自治体が現る (Gigazine, 2019/09/06 13:00)
https://gigazine.net/news/20190906-us-city-reject-ransom-demand/
https://malware-log.hatenablog.com/entry/2019/09/06/000000_10

◆身代金は15億円相当のビットコイン(BTC)、米国の老人ホームがランサムウエアに感染 (Coin Choice, 2019/11/29)
https://coinchoice.net/110-nursing-home-in-us-infected-ransomware-hackers-demand-14-million-btc_201911/
https://malware-log.hatenablog.com/entry/2019/11/29/000000_8

◆ランサムウェアの被害を拡大させるマルウェアの“運び屋”「Emotet」の脅威 (クラウドWatch, 2019/12/19 11:53)
https://cloud.watch.impress.co.jp/docs/news/1225418.html
https://malware-log.hatenablog.com/entry/2019/12/19/000000_2

■2020年

◆Ransomware victims are paying out millions a month. One particular version has cost them the most (ZDNet, 2020/03/02 17:02)

Over six-and-a-half years, ransomware victims have handed over vast amounts of bitcoin to crooks. Some variants of the malware have generated more ransom than others
ランサムウェアの被害者は毎月数百万ドルを支払っています。1つの特定のバージョンはそれらに最もコストがかかります
ランサムウェアの被害者は6年半にわたって、膨大な量のビットコインを詐欺師に手渡しています。マルウェアの一部の亜種は、他の亜種よりも身代金を生成しています

https://www.zdnet.com/article/fbi-ransomware-victims-have-paid-out-140-million-one-version-has-cost-them-the-most/
https://malware-log.hatenablog.com/entry/2020/03/02/000000_4

◆Ryuk Ransomware Keeps Targeting Hospitals During the Pandemic (Bleeping Computer, 2020/03/26 18:08)
https://www.bleepingcomputer.com/news/security/ryuk-ransomware-keeps-targeting-hospitals-during-the-pandemic/
https://malware-log.hatenablog.com/entry/2020/03/26/000000_5

◆Ransomware: How clicking on one email left a whole business in big trouble (ZDNet, 2020/07/30 10:19)
[ランサムウェア:1つの電子メールをクリックすると、ビジネス全体が大きな問題を抱えたままになってしまった方法]

A food and drink manufacturer fell victim to a ransomware attack and crucially didn't give into the extortion demand - but it could've been much worse.
[飲食物メーカーがランサムウェア攻撃の被害に遭い、恐喝要求に屈することはありませんでしたが、もっとひどいことになっていたかもしれません。]

https://www.zdnet.com/article/ransomware-how-clicking-on-one-phishing-email-left-a-whole-business-in-big-trouble/
https://malware-log.hatenablog.com/entry/2020/07/30/000000_10

◆Conti (Ryuk) joins the ranks of ransomware gangs operating data leak sites (ZDNet, 2020/08/25 17:17)
[Conti(Ryuk)は、データ漏洩サイトを運営するランサムウェアギャングの仲間入りをしています]

More and more ransomware gangs are now operating sites where they leak sensitive data from victims who refuse to pay the ransom demand.
[身代金要求の支払いを拒否した被害者から機密データを流出させるサイトを運営するランサムウェアギャングが増えている]

https://www.zdnet.com/article/conti-ryuk-joins-the-ranks-of-ransomware-gangs-operating-data-leak-sites/
https://malware-log.hatenablog.com/entry/2020/08/25/000000_7

◆The mischievous Ryuk: Combatting the ‘Death Note’-inspired ransomware (CoinTelegraph, 2020/09/02)
[いたずら好きなリューク デスノートにインスパイアされたランサムウェアとの戦い]

As the Ryuk ransomware continues to wreak havoc, tracking ransomware payments has become critical in stopping criminals from cashing out.
[Ryukランサムウェアが大惨事を引き起こし続ける中、ランサムウェアの支払いを追跡することは、犯罪者が現金化するのを阻止する上で非常に重要になっています。]

https://cointelegraph.com/news/the-mischievous-ryuk-combatting-the-death-note-inspired-ransomware
https://malware-log.hatenablog.com/entry/2020/09/02/000000_5

◆UHS hospitals hit by reported country-wide Ryuk ransomware attack (BleepingComputer, 2020/09/28)
https://www.bleepingcomputer.com/news/security/uhs-hospitals-hit-by-reported-country-wide-ryuk-ransomware-attack/
https://malware-log.hatenablog.com/entry/2020/09/28/000000

◆米病院大手UHSにサイバー攻撃、Ryukランサムウェアか。要手術者や急患受入れに支障 (Engadget, 2020/09/29)
https://japanese.engadget.com/uhs-hospitals-ransomeware-074030308.html
https://malware-log.hatenablog.com/entry/2020/09/29/000000

◆米国の大手医療企業がランサムウェアに攻撃され、多くの病院で現場が大混乱に陥っている (Wired, 2020/09/29 17:00)

全米や英国などで400以上の施設を運営する大手医療企業が、ランサムウェア攻撃に襲われた。全米の多くの病院ではネットワークが停止し、さまざまな混乱が起きている。今回の攻撃に使われたランサムウェアの特徴からは、ロシアの犯罪集団の存在が見え隠れする。

https://wired.jp/2020/09/29/universal-health-services-ransomware-attack/
https://malware-log.hatenablog.com/entry/2020/09/29/000000_1

◆Ransomware threat surge, Ryuk attacks about 20 orgs per week (BleepingComputer, 2020/10/06 06:09)
[ランサムウェアの脅威が急増、Ryukは週に約20の組織を攻撃]
https://www.bleepingcomputer.com/news/security/ransomware-threat-surge-ryuk-attacks-about-20-orgs-per-week/
https://malware-log.hatenablog.com/entry/2020/10/06/000000_1

◆BazarLoader used to deploy Ryuk ransomware on high-value targets (BleepingComputer, 2020/10/12 12:53)
[BazarLoaderは、高価値のターゲットにRyukランサムウェアを展開するために使用されています。]
https://www.bleepingcomputer.com/news/security/bazarloader-used-to-deploy-ryuk-ransomware-on-high-value-targets/
https://malware-log.hatenablog.com/entry/2020/10/12/000000

【ブログ】

■2018年

◆Ryuk Ransomware: A Targeted Campaign Break-Down (Checkpoint, 2018/08/20)
https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/
http://malware-log.hatenablog.com/entry/2018/08/20/000000_8


■2019年

◆Cloud Hosting Provider DataResolution.net Battling Christmas Eve Ransomware Attack (Krebs on Security, 2019/01/02)
https://krebsonsecurity.com/2019/01/cloud-hosting-provider-dataresolution-net-battling-christmas-eve-ransomware-attack/
http://malware-log.hatenablog.com/entry/2019/01/02/000000_2

◆Ryuk ransomware attacks businesses over the holidays (Malwarebytes, 2019/01/08)
https://blog.malwarebytes.com/cybercrime/malware/2019/01/ryuk-ransomware-attacks-businesses-over-the-holidays/
http://malware-log.hatenablog.com/entry/2019/01/08/000000_1

◆Ryuk Ransomware Attack: Rush to Attribution Misses the Point (McAfee, 2019/01/09)
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/ryuk-ransomware-attack-rush-to-attribution-misses-the-point/?sharedid=39902&SubId1=27591&SubId2=6476&lctid=27591
http://malware-log.hatenablog.com/entry/2019/01/09/000000_1

◆Big Game Hunting with Ryuk: Another Lucrative Targeted Ransomware (Crowdstrike, 2019/01/10)
https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/
http://malware-log.hatenablog.com/entry/2019/01/10/000000_3

◆LA地元紙で配送作業を混乱させたランサムウエア Ryukの分析は続く (McAfee, 2019/02/20)
https://blogs.mcafee.jp/ryuk-exploring-the-human-connection
http://malware-log.hatenablog.com/entry/2019/02/20/000000_8

◆3つの脅威:EmotetによるTrickBotの展開とTrickBotによるデータの窃取およびRyukの拡散 (CyberReason, 2019/06/25)
https://www.cybereason.co.jp/blog/cyberattack/3613/
https://malware-log.hatenablog.com/entry/2019/06/25/000000_7

◆US City Rejects $5.3 Million Ransom Demand and Restores Encrypted Files from Backup (Secaletrs, 2019/09/05)
https://secalerts.co/article/city-knocks-back-ransom-demand-and-restores-files-from-backup/c785f0f3
https://malware-log.hatenablog.com/entry/2019/09/06/000000_10

【公開情報】

◆Detailed Technical Analysis Report of Ryuk Ransomware (HOW TO REMOVE IT, 2018/08/23)
https://www.howtoremoveit.info/detailed-technical-analysis-report-of-ryuk-ransomware/
http://malware-log.hatenablog.com/entry/2018/08/23/000000_10

◆严重危害北美地区的Ryuk勒索病毒传入国内,受害者被勒索11 BTC(市值75万元人民币)(Tencent, 2019/07/15)

北アメリカを深刻に害するRyuk身代金ウイルスが国内に導入され、被害者は11 BTC(市場価値75万元)に脅かされました

https://mp.weixin.qq.com/s/IzwnUft0GpDJQ-sV-3f9eQ
https://malware-log.hatenablog.com/entry/2019/07/15/000000_4

【IoC情報】

◆Ryuk (IoC (TT Malware Log))
https://ioc.hatenablog.com/entry/2018/08/20/000000

◆Ryuk (IoC (TT Malware Log))
https://ioc.hatenablog.com/entry/2018/08/23/000000

関連情報

【関連情報】

◆Conti (まとめ)
https://malware-log.hatenablog.com/entry/Conti

【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)

◆ランサムウェア (まとめ)
https://malware-log.hatenablog.com/entry/Ransomware


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020