Ryuk ransomware to atak typu ransomware. Wariant ransomware Ryuk zostal pierwotnie odkryty w sierpniu 2018 roku i od tego czasu zdolal zwiekszyc widocznosc, aby stac sie jednym z najbardziej znanych, jak rowniez najdrozszych wariantow ransomware naszych czasow. Wynika to z faktu, ze w przeciwienstwie do wczesnych wariantow, takich jak WannaCry, Ryuk zostal zaprojektowany tak, aby byl ukierunkowany. Konstrukcja tego malware oznacza, ze kazda z ofiar musi otrzymac indywidualna uwage cyberprzestepcow obslugujacych malware. Ryuk jest wykorzystywany w wielu ukierunkowanych kampaniach, ktore maja wysoce dostosowane wektory infekcji, a takze wysokie zadania okupu.

Omawiajac Ryuk jeszcze bardziej, ransomware skupia sie na jakosci nad iloscia, jesli chodzi o wybieranie swoich ofiar. Infekcja Ryuk rozpoczyna sie od ukierunkowanego ataku w celu zainfekowania zamierzonej ofiary, po ktorym nastepuje szyfrowanie plikow, jak rowniez niezwykle duze zadanie okupu przez ransomware Ryuk.

Gdy mowimy o srodkach ukierunkowanych, obejmuja one wykorzystanie dostosowanych wiadomosci e-mail typu spear-phishing, jak rowniez wykorzystanie skompromitowanych danych uwierzytelniajacych, ktore sa wykorzystywane do zdalnego dostepu do systemow za posrednictwem protokolu Remote Desktop Protocol (RDP).

E-mail spear phishingowy moze przenosic Ryuka bezposrednio lub byc jednym z pierwszych w serii infekcji. Ryuk wykorzystuje wtedy kombinacje algorytmow szyfrowania, takich jak algorytm asymetryczny znany jako AES-256 oraz algorytm asymetryczny znany jako RSA 4096. Oznacza to, ze Ryuk zasadniczo szyfruje plik za pomoca algorytmu symetrycznego i zawiera kopie klucza szyfrowania symetrycznego zaszyfrowanego za pomoca klucza publicznego RSA. Gdy ofiara zaplaci okup, operator Ryuk dostarczy kopie odpowiedniego klucza prywatnego RSA, ktory umozliwia odszyfrowanie dla symetrycznego klucza szyfrujacego, gdy jest on uzywany na zaszyfrowanych plikach.