# Ryuk > Tipo: **malware** · S0446 · [MITRE ATT&CK](https://attack.mitre.org/software/S0446) ## Cadeia de Infecção ```mermaid graph TB A["📧 Emotet / TrickBot<br/>Infecção de 1° estágio<br/>Acesso inicial ao domínio"] --> B["🔍 Reconhecimento<br/>Enumeração de AD<br/>Domain Controller discovery"] B --> C["🔧 Cobalt Strike<br/>Pós-exploração<br/>Movimento lateral SMB T1021.002"] C --> D["💥 Privilege escalation<br/>Contas de domínio T1078.002<br/>Comprometimento do DC"] D --> E["🔧 Ryuk dropper<br/>Implantação massiva<br/>Masquerading T1036.005"] E --> F["📡 Cifragem em rede<br/>Stop services T1489<br/>Delete shadows T1490"] F --> G["💀 Ransomware ativo<br/>Cifragem de arquivos<br/>Resgaté multi-milhões USD"] classDef delivery fill:#e74c3c,color:#fff classDef recon fill:#27ae60,color:#fff classDef install fill:#3498db,color:#fff classDef exploit fill:#e67e22,color:#fff classDef c2 fill:#9b59b6,color:#fff classDef impact fill:#2c3e50,color:#fff class A delivery class B recon class C,E install class D exploit class F c2 class G impact ``` ## Descrição [[s0446-ryuk|Ryuk]] é um ransomware projetado para atacar ambientes corporativos e institucionais de grande porte, em uso em ataques desde pelo menos 2018 e operado pelo grupo [[g0102-conti-group|Wizard Spider]] - grupo de crimes cibernéticos de língua russa. O [[s0446-ryuk|Ryuk]] compartilha semelhanças de código significativas com o ransomware Hermes, que foi previamente atribuído ao grupo norte-coreano Lazarus, embora a relação operacional entre os grupos sejá disputada. O [[g0037-fin6|FIN6]] também foi associado ao uso do Ryuk em algumas campanhas. O [[s0446-ryuk|Ryuk]] é frequentemente implantado como estágio final em ataques de múltiplas fases que começam com infecções por [[s0266-trickbot|TrickBot]] ou [[s0367-emotet|Emotet]], após reconhecimento extenso da rede-alvo e movimento lateral para comprometer controladores de domínio. O malware implementa verificação de idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]) para evitar criptografar sistemas em países da CEI (Comunidade dos Estados Independentes), sugerindo origem russa dos operadores. Utiliza contas de domínio comprometidas ([[t1078-002-domain-accounts|T1078.002]]) para maximizar o impacto, atingindo o maior número possível de sistemas na rede antes de ativar a criptografia. Entre os alvos mais notórios do [[s0446-ryuk|Ryuk]] estão hospitais, redes municipais de governos e provedores de serviços gerenciados. Durante a pandemia de COVID-19 em 2020, o FBI e a CISA emitiram alertas sobre ataques intensificados do Ryuk contra hospitais e provedores de saúde nos EUA - um padrão alarmante que demonstra a disposição dos operadores de atacar infraestrutura crítica de saúde. Resgaté típico exigido pelo Ryuk varia de centenas de milhares a vários milhões de dólares. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1106-native-api|T1106 - Native API]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - [[t1078-002-domain-accounts|T1078.002 - Domain Accounts]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1222-001-windows-file-and-directory-permissions-modification|T1222.001 - Windows File and Directory Permissions Modification]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] ## Grupos que Usam - [[g0102-conti-group|Wizard Spider]] - [[g0037-fin6|FIN6]] ## Detecção - Implementar detecção de TrickBot e Emotet como indicadores precoces de possível implantação de Ryuk - Monitorar movimento lateral via compartilhamentos administrativos SMB por contas de domínio - Alertar sobre encerramento de serviços de backup e recuperação de dados - Detectar modificação em massa de permissões de arquivos por processos não relacionados a administração - Implementar segmentação de rede rigorosa para limitar o alcance do movimento lateral em redes corporativas ## Relevância LATAM/Brasil O [[s0446-ryuk|Ryuk]] é uma das ameaças de ransomware mais relevantes para o Brasil, especialmente após ataques a hospitais e sistemas de saúde que seguiram padrão similar ao observado em campanhas globais do Ryuk. Hospitais brasileiros públicos e privados foram alvo de ransomwares operados por grupos com TTPs similares ao Wizard Spider, muitas vezes aproveitando infecções pré-existentes por TrickBot. A dependência de muitos hospitais brasileiros de sistemas legados sem segmentação de rede adequada aumenta significativamente o risco de impacto catastrófico por ransomwares de estágio final como o Ryuk. ## Referências - [MITRE ATT&CK - S0446](https://attack.mitre.org/software/S0446)