Przejdź do treści

Ransomware Ryuk infekuje firmowe sieci w USA, Kanadzie i Polsce


  • Polska należy do krajów najczęściej atakowanych za pomocą kolejnego ransomware’u szyfrującego pliki.
  • Cyberprzestępcy używający Ryuka żądają od przedsiębiorstw okupu, celują w duże organizacje.
  • Wyjaśniamy, jak technicznie przebiega włamanie, a także opisujemy japońskie pochodzenie nazwy wirusa.

Eksperci ze słowackiej firmy ESET ostrzegają, że Polska trafiła do czołówki krajów atakowanych przez ransomware Ryuk. Jesteśmy na 3 miejscu tuż za Stanami Zjednoczonymi i Kanadą, jeśli chodzi o infekcje ulepszoną, 64-bitową wersją złośliwego oprogramowania, która powstała w marcu ubiegłego roku. Dopóki cyberprzestępcy korzystali z 32-bitowego wariantu, zamykaliśmy pierwszą dziesiątkę najczęściej atakowanych państw.

Wirus pierwszy raz został wykryty w 2018 roku, ale jego największa aktywność przypadła na wrzesień 2019. Do pierwszych głośnych ataków należała infekcja sieci przedsiębiorstwa wodociągowego z Karoliny Północnej w USA – Onslow Water and Sewer Authority. W pierwszym kwartale minionego roku cyberprzestępcy uderzyli znowu na wschodnim wybrzeżu Stanów Zjednoczonych, tym razem żądając okupu od Hrabstwa Jackson w Georgii – dostali wówczas 400 tysięcy dolarów (ok. 1,5 miliona złotych). Ostatnio o wirusie było głośno, kiedy hakerzy zaatakowali systemy jednego z amerykańskich portów morskich, paraliżując go na 30 godzin.

Jak ransomware przedostaje się do sieci w firmie?

Cyberprzestępcy używający Ryuka najpierw infekują komputer malware’em i sprawdzają, czy mają dostęp do tzw. high value target, czyli urządzenia podłączonego do dużej sieci firmowej. Jeśli tak, a sprzęt nie jest prywatnym komputerem lub maszyną w małej organizacji, następuje druga faza, czyli próba przejęcia kontrolera domeny. Jeśli kolejny krok idzie po myśli atakującego, przestępca kradnie dane, np. dokumenty i informacje płatnicze. Dopiero później haker infekuje system Ryukiem. Oprogramowanie, jeszcze zanim zaszyfruje pliki i wyświetli żądanie okupu, wyłącza uruchomione usługi i procesy, łącznie zatrzymuje około 120 zadań. Wirus usuwa również dane shadow copy (backup plików, nawet tych, które są aktualnie używane), podobnie jak robi to niedawno opisywany przez nas Ekans.

Skąd słowo Ryuk?

Nazwa złośliwego oprogramowania pochodzi z mangi Death Note autorstwa Tsugumi Ōby i Takeshiego Obaty. W komiksie Ryuk to shingami, czyli personifikacja śmierci w kulturze Japonii.


Zyskasz dostęp do rzetelnej wiedzy i aktualnych informacji o wydarzeniach oraz szkoleniach z zakresu transformacji cyfrowej. Zapisz się:

Zgadzam się na