Ryuk ransomware stał się jednym z najgroźniejszych zagrożeń cybernetycznych wymierzonych w duże organizacje od czasu swojego debiutu w 2018 roku. Operowany przez rosyjską grupę cyberprzestępczą WIZARD SPIDER, Ryuk specjalizuje się w tzw. „big game hunting”, koncentrując się na celach o wysokiej wartości, takich jak systemy opieki zdrowotnej, agencje rządowe czy międzynarodowe korporacje. Ransomware ten wykorzystuje zaawansowane techniki szyfrowania, lateralnego przemieszczania się po sieci oraz unikania detekcji, by zmaksymalizować szkody i wymusić wielomilionowe okupy. Przy średnim żądaniu okupu na poziomie 1,3 mln USD i głośnych atakach na takie podmioty jak Universal Health Services czy Sopra Steria, Ryuk stanowi przykład rosnącej wyrafinowania cyberprzestępczości. Integracja z rodzinami malware, takimi jak TrickBot i Emotet, oraz zdolność do wykorzystywania podatności typu EternalBlue podkreślają krytyczną potrzebę solidnych zabezpieczeń. Niniejszy raport analizuje genezę Ryuka, jego architekturę techniczną, skutki ekonomiczne i strategie obrony, dostarczając szczegółowego obrazu jego roli w kształtowaniu współczesnych zagrożeń ransomware.
Pochodzenie i rozwój Ryuk ransomware
Kontekst historyczny i pojawienie się
Ryuk po raz pierwszy pojawił się w sierpniu 2018 roku, wyróżniając się ukierunkowanymi atakami na duże organizacje. Nazwa pochodzi od „Ryuka”, boga śmierci z japońskiej mangi Death Note, co odzwierciedla destrukcyjne intencje twórców. Wczesne analizy łączyły Ryuka z północnokoreańskimi cyberprzestępcami ze względu na podobieństwo kodu do ransomware Hermes, ale dalsze śledztwa wykazały, że jego źródłem są rosyjskie grupy, zwłaszcza WIZARD SPIDER. Grupa ta przeszła od oszustw finansowych z użyciem TrickBota do operacji ransomware, co oznaczało strategiczną zmianę na „big game hunting”.
Bazowy kod Ryuka wykazuje znaczące podobieństwo do Hermesa, ransomware sprzedawanego na forach darknetu. W przeciwieństwie do Hermesa, Ryuk nie jest szeroko dystrybuowany, lecz wykorzystywany w precyzyjnie przygotowanych atakach, co wskazuje na jego rolę jako narzędzia specjalistycznego w arsenale WIZARD SPIDER. Rozwój Ryuka to ciągłe udoskonalanie — aktualizacje wprowadzały m.in. funkcje robakopodobne i integrację z narzędziami typu BazarLoader, zwiększając możliwości rozprzestrzeniania.
Powiązania z sieciami cyberprzestępczymi
WIZARD SPIDER, operator Ryuka, działa jako zaawansowane przedsiębiorstwo przestępcze z podgrupami jak GRIM SPIDER, specjalizującymi się w ransomware. Współpraca z innymi ekosystemami malware, zwłaszcza TrickBot i Emotet, umożliwia początkową infiltrację sieci. Przykładowo, infekcje TrickBotem często poprzedzają wdrożenie Ryuka, wykorzystując wykradzione dane uwierzytelniające do podniesienia uprawnień i wyłączenia zabezpieczeń. Infrastruktura syndykatu obejmuje zdecentralizowane serwery C2 oraz pranie kryptowalut przez giełdy takie jak Binance, co utrudnia śledzenie przepływów finansowych.
Techniczne mechanizmy działania Ryuk ransomware
Szyfrowanie i utrzymywanie się w systemie
Ryuk stosuje hybrydowy model szyfrowania, łącząc algorytmy RSA-2048 i AES-256. Każda ofiara otrzymuje unikalny klucz AES generowany podczas szyfrowania, który następnie szyfrowany jest kluczem publicznym RSA. Taka wielowarstwowa architektura sprawia, że odszyfrowanie jest niemożliwe bez klucza prywatnego atakującego, przekazywanego dopiero po zapłaceniu okupu.
Aby utrudnić odzyskanie danych, Ryuk systematycznie usuwa kopie zapasowe Volume Shadow Copy Service (VSS) i resetuje przydziały pamięci, eliminując punkty przywracania. Zamyka także procesy związane z bazami danych (np. SQL Server) i oprogramowaniem antywirusowym, uniemożliwiając ich ingerencję. Trwałość zapewnia przez modyfikacje rejestru, np. dodając wpisy do HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, co gwarantuje uruchamianie po restarcie.
Rozprzestrzenianie i ruch lateralny
Początkowe wektory infekcji to phishing (e-maile z załącznikami), wykorzystanie luk w Remote Desktop Protocol (RDP) oraz drive-by downloads z zainfekowanych stron. Po uzyskaniu dostępu Ryuk używa narzędzi takich jak Mimikatz do wyciągania poświadczeń z pamięci, co pozwala na ruch lateralny przez WMI i PowerShell Remoting. Wykorzystuje podatności, m.in. EternalBlue (CVE-2017-0144) i Zerologon (CVE-2020-1472), do eskalacji uprawnień i kompromitacji kontrolerów domeny.
Nowsze warianty integrują BazarLoader — modularny backdoor umożliwiający dyskretne rozpoznanie sieci przed wdrożeniem Ryuka. Ten dropper wykorzystuje kampanie phishingowe stylizowane na korespondencję biznesową, często hostując ładunki na legalnych platformach chmurowych, by ominąć filtry bezpieczeństwa.
Skutki ekonomiczne i głośne ataki
Wzorce wymuszeń finansowych
Operatorzy Ryuka żądają okupów w bitcoinach, średnio 1,3 mln USD za incydent, a niektóre żądania przekraczają 30 mln USD. Płatności przechodzą przez giełdy kryptowalut, takie jak Huobi i Binance, gdzie usługi mieszające utrudniają śledzenie transakcji. Analiza 61 portfeli BTC powiązanych z Ryukiem wykazała przychody ponad 150 mln USD w latach 2018–2021, co pokazuje jego opłacalność.
Ukierunkowanie na sektory
Służba zdrowia, edukacja i administracja lokalna to częste cele ze względu na krytyczny charakter danych i ograniczone zasoby bezpieczeństwa. W 2020 r. Ryuk sparaliżował ponad 400 amerykańskich szpitali, zmuszając je do pracy na papierze i opóźnień w transferach pacjentów. Atak na Universal Health Services (UHS) wygenerował straty przekraczające 67 mln USD, co podkreśla paraliż operacyjny powodowany ransomware.
Ważne incydenty:
- Sopra Steria (2020) – Nowy wariant Ryuka zaszyfrował Active Directory firmy IT, a pełne odzyskanie zajęło tygodnie mimo szybkiej izolacji.
- Baltimore County Public Schools (2020) – Dystrykt nie zapłacił okupu, ale wydał 8,1 mln USD na odzyskanie zaszyfrowanych danych uczniów.
- LaPorte County, Indiana (2019) – Władze zapłaciły 130 tys. USD za odszyfrowanie systemów ratunkowych w obawie o bezpieczeństwo publiczne.
Strategie obrony i łagodzenia skutków
Działania prewencyjne
Proaktywna obrona przed Ryukiem wymaga podejścia wielowarstwowego:
- Zarządzanie poprawkami – Regularne aktualizacje systemów i oprogramowania eliminują podatności typu Zerologon.
- Segmentacja sieci – Izolowanie krytycznych zasobów ogranicza ruch lateralny i rozprzestrzenianie infekcji.
- Uwierzytelnianie wieloskładnikowe (MFA) – Ogranicza skuteczność przejęcia poświadczeń, szczególnie dla RDP i kont administracyjnych.
- Szkolenia użytkowników – Symulacje phishingu i programy edukacyjne minimalizują ryzyko nieświadomego uruchomienia malware.
Reakcja na incydent i odzyskiwanie
Organizacje powinny utrzymywać offline’owe, niezmienne kopie zapasowe, by odzyskać dane bez płacenia okupu. Narzędzia EDR (Endpoint Detection and Response) jak SentinelOne czy CrowdStrike Falcon oferują monitoring w czasie rzeczywistym, blokując podejrzane procesy związane z Ryukiem. W przypadku szyfrowania, analiza notatek okupu (np. RyukReadme.txt) i logów ruchu sieciowego pozwala zidentyfikować infrastrukturę atakującego do celów czarnej listy.
Ewolucja i przyszłe zagrożenia
Adaptacja do środków obronnych
Operatorzy Ryuka nieustannie doskonalą techniki omijania zabezpieczeń. Wariant z 2021 roku wprowadził samorozprzestrzenianie się, umożliwiając szybkie rozprzestrzenianie się po sieci bez udziału człowieka. Współpraca z tzw. initial access brokers (IABs) zapewnia nowe wektory, np. przez podatne urządzenia VPN, utrzymując skuteczność infekcji mimo likwidacji Emotet i TrickBot.
Ryzyko dla infrastruktury krytycznej
Po sukcesach w sektorze zdrowia i użyteczności publicznej Ryuk stanowi rosnące zagrożenie dla energetyki i transportu. Zdolność ransomware do szyfrowania plików rozruchowych ICS (systemów sterowania przemysłowego) może prowadzić do fizycznych szkód, zgodnie z trendami ataków cyber-fizycznych.
Wnioski
Ryuk ransomware to przykład połączenia wyrafinowania cyberprzestępczości i strategicznego celowania, skutkującego bezprecedensowymi stratami finansowymi i operacyjnymi. Integracja z zaawansowanymi ekosystemami malware oraz nieustanna innowacja w technikach unikania detekcji wymuszają dynamiczne podejście do obrony. Organizacje muszą priorytetowo traktować cyberhigienę, wymianę informacji o zagrożeniach oraz inwestycje w narzędzia AI do wykrywania, by ograniczyć to ewoluujące zagrożenie. Wraz z przejmowaniem przez inne grupy modelu „big game hunting”, globalna współpraca rządów, branż i podmiotów cyberbezpieczeństwa pozostaje kluczowa dla rozbijania infrastruktur umożliwiających te ataki.
Walka z Ryukiem to nie tylko wyzwanie techniczne, ale egzystencjalne — wymaga redefinicji odporności w cyfrowej rzeczywistości.
