s0446-ryuk - RunkIntel

# Ryuk > Tipo: **malware (ransomware)** - Big Game Hunting - S0446 - [MITRE ATT&CK](https://attack.mitre.org/software/S0446) > [!danger] Herdeiro do Hermes - US$ 150 milhões coletados > Ryuk representou um terco de todos os ataques de ransomware em 2020. O FBI estima que vitimas pagaram mais de US$ 61 milhões entre 2018 e 2020. Tres dos dez maiores pedidos de resgaté do ano foram feitos pelo Ryuk: US$ 5.3M, US$ 9.9M e US$ 12.5M. ## Visão Geral [[s0446-ryuk|Ryuk]] e um ransomware de alta precisao operado pelo grupo [[g0102-conti-group|WIZARD SPIDER]], ativo desde agosto de 2018 como sucessor tecnico do Hermes ransomware. Diferente de ransomwares oportunistas, o Ryuk e exclusivamente utilizado em ataques de "Big Game Hunting" - campanhas manuais e altamente direcionadas contra grandes organizacoes nos setores de governo, saúde, manufatura, academia e tecnologia. O grupo nomeia o malware em referência ao personagem do anime Death Note, cujo nome significa "presente de deus". A cadeia de infecção clássica do Ryuk e o triplo encadeamento **Emotet - TrickBot - Ryuk**: o [[s0367-emotet|Emotet]] (operado pelo grupo MUMMY SPIDER) serve como dropper inicial via phishing, instala o [[s0266-trickbot|TrickBot]] que realiza reconhecimento de rede e extrai credenciais, e então o [[g0102-conti-group|WIZARD SPIDER]] implanta o Ryuk manualmente através de ferramentas de pos-exploração como Cobalt Strike e PowerShell Empire. O [[s0266-trickbot|TrickBot]] e o [[bazarloader|BazarLoader]] sao os dois principais vetores de distribuição do Ryuk - o ultimo emergiu em marco de 2020 como alternativa mais furtiva. Uma variante com capacidade de propagação automatica semelhante a worm foi identificada em janeiro de 2021 pela ANSSI francesa: ao invadir uma rede, o Ryuk escaneia compartilhamentos de rede e copia versoes únicas do executavel para cada host encontrado, sem necessidade de intervencao humana. Alem disso, o Ryuk utiliza Wake-on-LAN para ligar computadores desligados e cifra-los remotamente - técnica que maximiza o impacto em ambientes corporativos. **Plataformas:** Windows ## Como Funciona O [[s0446-ryuk|Ryuk]] nao contem a funcionalidade de parada de processos embutida no executavel principal - ela e executada via dois scripts batch separados (`kill.bat` e `windows.bat`) para dificultar a detecção. O script `kill.bat` para mais de 180 servicos e 40 processos relacionados a antivirus, bancos de dados e backups. O script `windows.bat` elimina shadow copies e desabilita o reparo automatico de inicializacao do Windows via `bcdedit.exe`, tornando a recuperacao sem pagamento extremamente dificil. **Criptografia:** Combinacao de AES-256 simetrico (por arquivo) com RSA-4096 assimetrico para proteger as chaves AES. Cada vitima recebe um par de chaves RSA único pre-gerado pelos operadores. Sem a chave privada do [[g0102-conti-group|WIZARD SPIDER]], a recuperacao e impossível. Os arquivos cifrados recebem extensao `.ryk` e duas notas de resgaté sao depositadas: `RyukReadMe.txt` e `UNIQUE_ID_DO_NOT_REMOVE.txt` com endereco ProtonMail para negociacao. ## Attack Flow ```mermaid graph TB A["📧 Phishing / Malspam Emotet como dropper inicial T1566 - Spearphishing"] --> B["🔗 TrickBot ou BazarLoader Reconhecimento e credenciais T1082 - System Discovery"] B --> C["🔍 Pos-Exploração Manual Cobalt Strike / PowerShell Empire AdFind / BloodHound / Mimikatz"] C --> D["📊 Mapeamento AD T1018 Remote Discovery T1558.003 Kerberoasting"] D --> E["🛑 Evasão e Preparação kill.bat - 180 servicos parados T1489 Service Stop"] E --> F["🔑 Criptografia AES-256 + RSA-4096 Wake-on-LAN para hosts offline T1486 Data Encrypted for Impact"] F --> G["💰 Negociacao via ProtonMail Resgaté: 1.7 BTC até 99 BTC Sem site de vazamento de dados"] classDef access fill:#c0392b,color:#fff classDef loader fill:#e67e22,color:#fff classDef recon fill:#f39c12,color:#fff classDef discov fill:#8e44ad,color:#fff classDef evade fill:#2980b9,color:#fff classDef encrypt fill:#1a5276,color:#fff classDef impact fill:#1e3a5f,color:#fff class A access class B loader class C recon class D discov class E evade class F encrypt class G impact ``` ## Timeline ```mermaid timeline title Ryuk - Linha do Tempo 2018-08 : Primeiras amostras - herdeiro tecnico do Hermes 2018-12 : CrowdStrike documenta WIZARD SPIDER operando Ryuk 2019 : Tres dos 10 maiores resgates do ano - até US$12.5M 2020-03 : WIZARD SPIDER muda para Conti temporariamente 2020-09 : Retomada do Ryuk - campanha massiva contra setor de saude (UNC1878) 2020-10 : Ataque ao Universal Health Services (UHS) - 400 hospitais impactados 2020-11 : FBI estima US$61M pagos desde 2018 2021-01 : Nova variante worm-like descoberta pela ANSSI francesa 2021-02 : WIZARD SPIDER migra definitivamente para Conti ``` ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - entrega do Emotet/TrickBot - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1055-001-dll-injection|T1055.001 - DLL Injection]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - systeminfo, Get-ADComputer - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - AdFind, Nltest - [[t1482-domain-trust-discovery|T1482 - Domain Trust Discovery]] - nltest /domain_trusts - [[t1069-permission-groups-discovery|T1069 - Permission Groups Discovery]] - [[t1558-003-kerberoasting|T1558.003 - Kerberoasting]] - ferramenta Rubeus - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - AES-256 + RSA-4096 - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - vssadmin, bcdedit - [[t1489-service-stop|T1489 - Service Stop]] - kill.bat para 180+ servicos - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1197-bits-jobs|T1197 - BITS Jobs]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - implantação via WebDAV ## Grupos que Usam - [[g0102-conti-group|WIZARD SPIDER]] - operador exclusivo, origem Russia - [[unc1878|UNC1878]] - subgrupo responsavel por ataques ao setor de saúde (2020) ## Detecção > [!warning] Indicadores de Pre-Ransomware > A presenca de TrickBot ou BazarLoader em qualquer endpoint e indicador critico de potencial implantação de Ryuk. Isolamento imediato e triagem forense de toda a rede sao mandatorios antes que o [[g0102-conti-group|WIZARD SPIDER]] inicie a fase de cifragem. **Indicadores comportamentais:** - Execução de `kill.bat` e `windows.bat` com parada massiva de servicos em rapida sequencia - Chamadas a `vssadmin delete shadows /all /quiet` e `bcdedit /set {default} bootstatuspolicy ignoreallfailures` - Uso de ferramentas de descoberta AD: AdFind, BloodHound, Nltest, net.exe em sequencia - Criação de notas `RyukReadMe.txt` e `UNIQUE_ID_DO_NOT_REMOVE.txt` em múltiplos diretorios - Trafego Wake-on-LAN incomum em redes corporativas antes da cifragem - Uso do Rubeus para Kerberoasting contra contas de servico do Active Directory **Sigma recomendado:** - `proc_creation_win_vssadmin_delete_shadows.yml` - `proc_creation_win_bcdedit_disable_recovery.yml` - `proc_creation_win_adfind_discovery.yml` - `sysmon_ransomware_ryuk_notes.yml` ## Relevância LATAM/Brasil O [[s0446-ryuk|Ryuk]] e o setor de saúde constituem uma combinacao especialmente perigosa para o Brasil. O ataque de outubro de 2020 ao Universal Health Services (UHS) nos EUA - que paralisou 400 hospitais simultaneamente - demonstrou a capacidade devastadora do grupo [[g0102-conti-group|WIZARD SPIDER]] contra infraestrutura hospitalar. Hospitais brasileiros, especialmente os privados de grande porte e redes de hospitais públicos como os do SUS com conectividade digital, enfrentam o mesmo perfil de risco. A cadeia Emotet-TrickBot-Ryuk foi documentada em campanhas contra organizacoes brasileiras em 2019-2020, com phishing em portugues distribuindo o TrickBot. O successor do Ryuk, o [[conti|Conti]] ransomware, atacou diretamente o governo federal brasileiro em dezembro de 2021 (STJ e varios ministerios), confirmando que o ecosistema do [[g0102-conti-group|WIZARD SPIDER]] tem interesse operacional na regiao. ## Referências - [MITRE ATT&CK - S0446](https://attack.mitre.org/software/S0446) - [CrowdStrike - Big Game Hunting with Ryuk](https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/) - [CERT-FR - Ryuk CTI Report 2021](https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-006.pdf) - [Picus Security - Ryuk Attack Chain Analysis](https://www.picussecurity.com/resource/blog/ryuk-ransomware-attack-chain-impact) - [HHS - TrickBot, Ryuk and the HPH Sector](https://www.hhs.gov/sites/default/files/trickbot-ryuk-and-the-hph-sector.pdf)