概要
Ryuk は 2018年8月-2021年現在のロシア Conti 系ランサムウェア。米国主流標的 (病院 + 自治体 + 教育機関 + 新聞社) + 身代金 BTC $100K-$1M (平均$300K) + Hermes コードベース改良 + Wizard Spider/UNC1878 (ロシア・後の Conti)・「米国 病院 + 自治体主流標的・米国 ランサムウェア被害推定$150M+」。Ryuk は2018年8月初感染確認で、「ロシア Wizard Spider/UNC1878 (Conti 前身) 開発 + 米国主流標的 + 身代金 BTC $100K-$1M + 大規模組織 Targeted Attack」でWannaCry (2017年・Worm 自動拡散) と異なる Targeted Big Game Hunting。Ryuk の特徴: ① Wizard Spider/UNC1878 (ロシア・後の Conti) がHermes (2017年) コードベース改良で Ryuk 開発 ② Targeted Attack (Big Game Hunting) でEmotet → TrickBot → Ryuk 連携で大規模組織標的 ③ 米国主流標的 (病院 + 自治体 + 教育機関 + 新聞社・ロシアは標的除外で内政問題回避) ④ 身代金 BTC $100K-$1M (平均$300K)・Big Game Hunting + 大規模組織 ⑤ 2020年9月 UHS Health System (米国大手病院チェーン・250病院) 感染で$67M 損失 + 数週間サービス停止。Ryuk → Conti 進化: ① 2020年5月 Conti 発生 (Ryuk 後継・コードベース流用) ② 2021年5月 アイルランド HSE (国営医療システム) Conti 感染 + 2週間サービス停止 + $100M 損失 ③ 2022年2月 ウクライナ侵攻 + Conti 公式声明 ロシア支持 + Conti Leaks (2022年2月 ウクライナ系メンバー Conti 内部チャット 1年分リーク・組織構造 + 戦術 + 身代金 + メンバー特定) ④ 2022年5月 Conti 公式解散 + Black Basta + Royal + BlackByte + 派生グループに分裂 ⑤ 2024-2026年 派生グループ + RaaS (Ransomware-as-a-Service) ビジネスモデル継続。
主な特徴・仕組み
- 発生: 2018年8月 (Ryuk 初感染確認)
- 国家関与: ロシア (Wizard Spider/UNC1878 → Conti)
- コードベース: Hermes (2017年・Park Jin Hyok 北朝鮮 ←→ Wizard Spider 流用) → Ryuk 改良
- 暗号化: AES-256 + RSA-4096
- 身代金: BTC $100K-$1M (平均$300K)・支払率 30-40%
- 感染ベクター: Emotet (バンキング マルウェア) → TrickBot (情報窃取) → Ryuk 連携
- 対象: 米国主流 (病院 + 自治体 + 教育機関 + 新聞社) ・ロシア除外
- 総被害: 米国 $150M+ (推定・2018-2021年)
- 主要被害: UHS Health System (2020年9月・$67M) + Tribune Publishing (2018年12月) + Florida City of Riviera Beach (2019年6月・$600K 支払) + 多数自治体
- 進化: Ryuk → Conti (2020年5月) → Black Basta + Royal + BlackByte (2022年5月分裂)
- 競合 ランサム ファミリー: WannaCry + LockBit + REvil/Sodinokibi + Maze + DarkSide + Conti
スペック比較表
| ランサムウェア | 発生 | 国家 | 標的 | 身代金 |
|---|
| Ryuk | 2018年8月-現在 |