# Ryuk Ransomware > Tipo: **ransomware** - S0446 - [MITRE ATT&CK](https://attack.mitre.org/software/S0446) > [!info] Predecessor do Conti - Legado no Big Game Hunting > O Ryuk foi o pioneiro do modelo "big game hunting" em ransomware - atacar grandes organizacoes com alta capacidade de pagamento em vez de distribuir em massa. Sua linhagem direta levou ao Conti, que incorporou e expandiu o modelo. A cadeia Emotet-TrickBot-Ryuk foi responsavel por centenas de ataques a hospitais, municipios e empresas de 2018 a 2021. ## Visão Geral [[ryuk-ransomware|Ryuk]] e um ransomware de alta precisao identificado pela primeira vez em agosto de 2018, derivado do malware **Hermes** atribuido ao Lazarus Group norte-coreano. Desenvolvido e operado pelo [[g0102-conti-group|Wizard Spider]] (específicamente a sub-unidade **GRIM SPIDER**), o Ryuk redefiniu o ecossistema de ransomware ao demonstrar que ataques direcionados a grandes organizacoes podiam render dezenas de milhões de dólares por operação. A cadeia de entrega clássica do Ryuk e: [[s0367-emotet|Emotet]] (spam malicioso) -> [[s0266-trickbot|TrickBot]] (reconhecimento e movimento lateral) -> Ryuk (criptografia). Essa cadeia de tres estagios permitia que os operadores conduzissem reconhecimento extenso de varios dias antes de implantar o ransomware, identificando servidores criticos, controladores de dominio e sistemas de backup. O resultado era uma criptografia quase total da rede corporativa. Em outubro de 2020, o Ryuk foi responsavel por **75% dos ataques a hospitais americanos** em uma semana - um momento que gerou alertas de emergência do FBI/CISA/HHS durante a pandemia de COVID-19. Em janeiro de 2021, foi identificada uma variante com capacidade de **auto-propagação worm-like** - o Ryuk ganhava a habilidade de se espalhar automaticamente pela rede local sem precisar de intervencao manual adicional. **Plataformas:** Windows ## Como Funciona O Ryuk opera via cadeia multi-estagio com reconhecimento manual antes da criptografia: 1. **Entrega via Emotet:** O [[s0367-emotet|Emotet]] funciona como dropper primario, enviando spam com documentos Office maliciosos que baixam e executam o [[s0266-trickbot|TrickBot]] via PowerShell ([[t1059-001-powershell|T1059.001]]) 2. **Reconhecimento pelo TrickBot:** Coleta informações de sistema ([[t1016-system-network-configuration-discovery|T1016]]), lista processos ([[t1057-process-discovery|T1057]]), identifica controladores de dominio e servidores de backup 3. **Acesso manual via [[s0154-cobalt-strike|Cobalt Strike]]:** Operadores do [[g0102-conti-group|Wizard Spider]] assumem controle manual para escalada final de privilegios e planejamento de implantação 4. **Escalada com token manipulation:** Access Token Manipulation ([[t1134-access-token-manipulation|T1134]]) e Process Injection ([[t1055-process-injection|T1055]]) para obter SYSTEM 5. **Preparação pre-criptografia:** Para mais de 40 servicos e processos (antivirus, backup, banco de dados), deleta shadow copies ([[t1490-inhibit-system-recovery|T1490]]) 6. **Criptografia seletiva:** RSA-2048 + AES-256, exclui extensoes de sistema para manter a maquina operacional - nota de resgaté personalizada por vitima ```mermaid graph TB A["Emotet spam<br/>Documento Office + macro<br/>Phishing PT-BR em LATAM"] --> B["TrickBot instalado<br/>Reconhecimento extenso<br/>Mapeamento de AD e backups"] B --> C["Cobalt Strike deploy<br/>Operador manual assume<br/>Avaliacao de capacidade de pagamento"] C --> D["Escalada privilegios<br/>Token manipulation T1134<br/>Process injection T1055"] D --> E["Preparação<br/>40+ servicos terminados T1489<br/>Shadow copies deletadas T1490"] E --> F["Ryuk criptografa<br/>RSA-2048 + AES-256<br/>Nota personalizada por vitima"] classDef emotet fill:#e74c3c,color:#fff classDef trickbot fill:#e67e22,color:#fff classDef cs fill:#8e44ad,color:#fff classDef priv fill:#2980b9,color:#fff classDef prep fill:#c0392b,color:#fff classDef encrypt fill:#2c3e50,color:#fff class A emotet class B trickbot class C cs class D priv class E prep class F encrypt ``` ## Timeline ```mermaid timeline title Ryuk Ransomware - Historico Ago 2018 : Primeiro Ryuk detectado - derivado do Hermes : Modelo big game hunting inaugurado 2019 : Cadeia Emotet-TrickBot-Ryuk estabelecida : Ataques a municipios e escolas americanas 2020 : US$150M acumulados pela operação : Out 2020 - 75% dos ataques a hospitais EUA : Alerta emergencia FBI/CISA/HHS durante COVID Ján 2021 : Variante worm detectada - autopropagação LAN Mai 2022 : Conti encerra - Ryuk já havia sido substituido 2022+ : Código influenciou Black Basta e outros grupos ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell | | Execution | [[t1106-native-api\|T1106]] | Native API | | Discovery | [[t1016-system-network-configuration-discovery\|T1016]] | System Network Configuration Discovery | | Discovery | [[t1057-process-discovery\|T1057]] | Process Discovery | | Privilege Escalation | [[t1134-access-token-manipulation\|T1134]] | Access Token Manipulation | | Defense Evasion | [[t1055-process-injection\|T1055]] | Process Injection | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | RSA-2048 + AES-256 | | Impact | [[t1489-service-stop\|T1489]] | Terminar 40+ servicos | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Deletar Shadow Copies | ## Relevância LATAM/Brasil O [[ryuk-ransomware|Ryuk]] e a cadeia [[s0367-emotet|Emotet]]-[[s0266-trickbot|TrickBot]]-Ryuk foram documentadas no Brasil e LATAM entre 2018 e 2021. O CERT.br registrou ondas de infecção via phishing em portugues brasileiro com temas de cobanca, SEFAZ e Receita Federal distribuindo o [[s0367-emotet|Emotet]] como primeiro estagio da cadeia. Hospitais brasileiros - especialmente durante a pandemia de COVID-19 em 2020-2021 - foram alvos potenciais do padrao global do [[g0102-conti-group|Wizard Spider]] de atacar infraestrutura hospitalar sob pressao maxima. Organizacoes do setor de [[healthcare|saúde]] com sistemas legados e conectividade limitada de backup eram vulneraveis ao modelo de criptografia total do Ryuk. O legado do Ryuk persiste: o [[s0575-conti-ransomware|Conti]] - seu sucessor direto - reutilizou grande parte do código e TTPs, e grupos derivados do Conti (Black Basta, Quantum) continuam ativos na América Latina com abordagem identica de big game hunting. **Setores impactados:** [[healthcare|saúde]] - [[government|governo]] - [[education|educação]] - [[financial|financeiro]] ## Detecção - Monitorar [[s0367-emotet|Emotet]] e [[s0266-trickbot|TrickBot]] como indicadores de alerta precoce - Ryuk frequentemente chegava 48-72h após a infecção inicial - Detectar encerramento em massa de processos de AV, backup e banco de dados em curto intervalo de tempo - Alertar para criação de arquivos `.ryk` ou `.ryuk` em diretorio compartilhado - indicador de criptografia ativa - Monitorar delecao de shadow copies via `vssadmin` ou `wbadmin` ```sigma title: Ryuk Ransomware Service Termination status: stable logsource: service: system product: windows detection: selection: EventID: 7036 Message|contains: - 'stopped' Channel: System filter_count: EventID: 7036 condition: selection level: medium tags: - attack.impact - attack.t1489 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S0446) MITRE ATT&CK - S0446 Ryuk (2024) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-302a) FBI/CISA/HHS - Advisory AA20-302A Healthcare Sector Ryuk (2020) - [3](https://thedfirreport.com/2020/10/18/ryuk-in-5-hours/) DFIR Report - Ryuk in 5 Hours (2020) - [4](https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/) CrowdStrike - Big Game Hunting with Ryuk (2019) - [5](https://www.bleepingcomputer.com/news/security/ryuk-ransomware-now-self-spreads-to-other-windows-lan-devices/) BleepingComputer - Ryuk Worm Variant Self-Spreads LAN (2021)