Como o ataque funciona
Com base na análise realizada pela ESET e na revisão de outras análises publicadas recentemente, a equipe de pesquisa concluiu que o Ryuk é capaz de acessar os sistemas de uma organização e infectar uma máquina de diferentes maneiras. Algumas delas podem ser:
- Usando e-mails de phishing direcionados, também conhecidos como Spear Phishing, que podem incluir anexos que baixam malware, como documentos do Office ou outros tipos de arquivos.
- Comprometendo computadores por meio do protocolo RDP exposto à Internet.
- Sendo distribuído por outros códigos maliciosos, como foi o caso da ameaça tripla em que as vítimas foram infectadas com o malware Emotet, este baixou e executou o Trickbot e este executou o Ryuk no maior número de computadores possível.
Depois que os operadores por trás do Ruyk obtêm acesso aos sistemas da vítima, eles usam diferentes ferramentas para realizar tarefas de reconhecimento dentro dos sistemas para finalmente implantar o ransomware.
A ESET recomenda que as vítimas do Ryuk não realizem o pagamento por não ter certeza de que os criminosos permitirão a recuperação dos arquivos. O conselho é que se evite situações como essas através de treinamento de pessoal, backup de arquivos e atualização de sistemas.
