Van bescheiden begin tot een beruchte boosdoener: De groei van Ryuk-ransomware

Next story

Ryuk is een ransomwarefamilie die, helaas, al te bekend is geworden voor het platleggen van. Van bibliotheeksystemen, medische centra, kranten, scholen en vele andere organisaties en bedrijven. Binnen de telemetrie van ESET verscheen Ryuk voor het eerst in 2018 als niet veelvoorkomende dreiging en verscheen eind 2019 steeds vaker.

De Ryuk-ransomwarefamilie werd in augustus 2018 voor het eerst gedetecteerd en destijds door ESET tot de malware “Win32/Filecoder.NRY” benoemd. Detecties van deze ransomware in ESETs telemetrie piekten in november 2018, maar in het algemeen waren er weinig detecties:

Figuur 1: Detectietrend van de 32-bitsversie van Ryuk – in het begin ook wel “NRY” genoemd

Andere onderzoekers in de securitygemeenschap merkten deze malware ook al vroeg op; Ryuk begon een slechte reputatie te krijgen na het aanvallen van minimaal vijf bedrijven in zijn eerste maand.

Een bijzonder kenmerk van Ryuk is dat je op het eerste gezicht al gauw denkt dat deze malware tot de ransomwarefamilie Hermes behoort. De bestanden die door Ryuk versleuteld worden bevatten zelfs – ook nu nog – het woord “HERMES” in de footer. Ryuk is echter een op zichzelf staande ransomwarefamilie die niet verward dient te worden met Hermes.

Eind april 2019 hernoemde ESET de malware tot “Win32.Filecoder.Ryuk”. Detecties met deze nieuwe naam gaan verder waar die met de naam “Win32/Filecoder.NRY” gestopt zijn:

Figuur 2: Detectie trend van 32-bitsversie van Ryuk

Al is er een kleine groei in detecties sinds mei 2019 te zien, wacht ons een grotere dreiging in een andere vorm van Ryuk. Ryuk lijkt opnieuw samengesteld te zijn tot een 64-bitsversie – door ESET “Win64/Filecoder.Ryuk” genoemd. Deze nieuwe versie van Ryuk, geboren in maart 2019, heeft tegen september 2019 al erg veel detecties op zijn naam staan:

Figuur 3: Detectietrend van de 64-bitsversie van Ryuk

De 64-bitsversie van Ryuk heeft op zijn hoogtepunt zo’n zeven keer meer gebruikers aangevallen in verhouding tot zijn 32-bitsbroertje. Sinds de geboorte heeft “Win64/Filecoder.Ryuk” een gestage groei doorgemaakt. Deze gestage groei kan bewijs zijn dat de actoren achter Ryuk zich op doelwitten van hogere waarde richten, zoals bedrijven of grote organisaties in plaats van thuisgebruikers. De berichtgeving rondom Ryuk, waarin bekende doelwitten als onder andere Virtual Care Provider, the National Veterinary Associates and CloudJumper benoemd worden, lijkt dit vermoeden te bevestigen.

Detecties van beide Ryuk-varianten waren gedurende 2019 het hoogste in de Verenigde Staten van Amerika:

Figuur 4: Detecties van de 32-bitsversie van Ryuk per land

Figuur 5: Detecties van de 64-bitsversie van Ryuk per land

Ryuk-ransomware ontsleutelen

Ryuk maakt gebruik van de native CryptoAPI die in Windows-besturingssystemen is ingebouwd om een uniek AES-256 encryptiesleutel per bestand te genereren. Omdat AES een symmetrische encryptiecipher is, zal een slachtoffer toegang tot elke losse sleutel moeten hebben om alle bestanden succesvol te ontsleutelen.

Het verkrijgen van die bestandssleutels is echter onhaalbaar. De bestandssleutels zelf zijn versleuteld door een publieke RSA-sleutel – zonder enige significante implementatiegebreken – die de Ryuk-auteurs verpakt hebben in een malware-executable. RSA is een asymmetrische encryptiecipher die gebruik maakt van een publiek-privé sleutelpaar: wat versleuteld wordt met een publieke sleutel kan alleen door een privésleutel ontsleuteld worden. Dat betekent dat dat aanvallers die beschikken over de RSA-privésleutel in staat zijn om de AES-bestandssleutels te ontsleutelen en het slachtoffer hier toegang toe te geven.

Hoe je ransomwareaanvallen kunt stoppen

Voor bedrijven zijn er een aantal mogelijkheden om specifiek op het gebied van ransomware tegen aanvallen te beschermen. Het is hiervoor cruciaal om na te gaan dat alle uitgerolde securityoplossingen in uw netwerk ook juist geconfigureerd zijn.

ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security voor Microsoft Exchange en ESET File Security voor Microsoft Windows Server hebben bijvoorbeeld allemaal een configureerbare beveiligingslaag: ESET Host-based Intrusion Prevention System (HIPS). De HIPS-module monitort systeemactiviteiten en gebruikt een set pre-gedefinieerde regels om verdacht gedrag te indentificeren en uitvoering te voorkomen.

IT-beheerders kunnen verder gebruik maken van HIPS-mogelijkheden door strengere configuratie-instellingen uit te rollen tegen ransomware-achtig gedrag op endpoints. Zo wordt in de anti-ransomwarerichtlijnen in de ESET Kennisbank aanbevolen gepersonaliseerde regels toe te voegen om te voorkomen dat onder andere Microsoft Office-processen en andere veelgebruikte processen (zoals explorer.exe, rundll32.exe en powershell.exe) scripts of processen kunnen opstarten. Denk hierbij aan PowerShell-scripts vanuit een Office-document of andere methoden die doorgaans niet gebruikt worden door alle gebruikers.

Tenzij er een goede reden in bedrijfsbelang is (bijvoorbeeld voor werknemers die ontwikkelaars zijn), is het niet nodig dat alle werknemers elk soort script of executable kunnen uitvoeren op hun apparaat. Dit soort werknemers (die geen extra scripts/executables nodig hebben voor hun werk) kunnen gegroepeerd worden in het ESET Security Management Center, de remote managementtool van ESET, voor betere controle over het beleidsmanagement van hun HIPS-modules.

IT-beheerders kunnen ook soortgelijke anti-ransomwareregels toepassen binnen de firewall- en antispammodules van ESETs endpoint-oplossingen.

Voor meer informatie over het beveiligen van uw organisatie tegen ransomware en soortgelijke aanvallen kunt u hier terecht:

  1. Wat is Ransomware?
  2. Beschermt ESET mij tegen Filecoder (cryptolocker) Malware?
  3. Ransomware: an enterprise perspective
  4. ESET vs. Crypto-ransomware: What, how and why?