Ryuk Ransomware ត្រូវបានគេស្គាល់ថាជាអ្នកកំណត់គោលដៅចងចាំសម្រាប់អង្គភាពធំៗ ជាច្រើនទូទាំងពិភពលោក។ ជារឿយៗវាត្រូវបានចែកចាយដោយមេរោគឯទៀតដូចជា Emotet or TrickBot? Ryuk Ransomware បានរកឃើញដំបូងនៅខែសីហា ឆ្នាំ២០១៨ ចាប់តាំងពីពេលនោះមកវាបានឆ្លងនិងលុកលុយដល់អង្គភាពផ្សេងៗ និងលួចយកប្រាក់រាប់លានដុល្លារពីជនរងគ្រោះ។ 

ការវិភាគបានបង្ហាញថា Ryuk គឺជាគំហើញនៃការអភិវឌ្ឍន៍ទំនៀមទម្លាប់របស់ពពួកមេរោគអេឡិចត្រូនិចចាស់ៗដែលត្រូវបានគេស្គាល់ថាជា(Hermes)។ គេជឿថាត្រូវបានផ្តល់សិទ្ធិដោយ Stardust Chollima របស់កូរ៉េខាងជើង (a.k.a. APT38 ដែលគេជឿថា ជាការបង្កើតប្រាក់ចំណូលរបស់ក្រុមហ៊ុន APT Lazarus ដ៏ល្បីឈ្មោះ)។ Ryuk និង Zerologon គឺជាអ្នករងគ្រោះដ៏គ្រោះថ្នាក់មួយដែលត្រូវបានគេតាមដានដូចជា CVE-2020-1472 ដោយសារតែកំហុសនៅក្នុងដំណើរការចុះឈ្មោះចូល ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារបង្កើតការភ្ជាប់បណ្តាញសុវត្ថិភាព Netlogon ងាយរងប៉ះពាល់ទៅនឹងឧបករណ៍បញ្ជាដែនកំណត់ ដោយប្រើ Netlogon Protocol (MS-NRPC) ។ 

Ryuk ព្រមាន អ្នកប្រើភាពងាយរងគ្រោះ Zerologon (CVE-២០២០-១៤៧២) ដើម្បីព្យាបាទដល់ប្រព័ន្ធដែនកំណត់ក្នុងរយៈពេលប្រហែល ៥ ម៉ោង។ យើងបានឃើញការព្រមាន ជំរុញអោយមានបរិស្ថានតាមរយៈកម្មវិធីផ្ទុកមេរោគ។ នៅពេលនេះយើងបានឃើញពួកគេសម្រេចគោលបំណងបានលឿនជាងមុន ប៉ុន្តែយុទ្ធសាស្ត្រ និងបច្ចេកទេសទូទៅ នៅតែស្រដៀងគ្នារវាងឧប្បត្តិហេតុនានា។                                                                 

ក្នុងករណីនេះ Ryuk បានដាក់មេរោគ Bazar Loaderទំនើប ដែលជាផ្នែកមួយនៃក្រុម TrickBot ហើយវាផ្តោតសំខាន់លើគោលដៅដែលមានតំលៃខ្ពស់។ អ្នកវាយប្រហារបានចាប់ផ្តើមជាអ្នកប្រើប្រាស់កម្រិតទាបហើយទាញយកភាពងាយរងគ្រោះ Zerologon (CVE-២០២០-១៤៧២) ដើម្បីទទួលបានសិទ្ធិចូលប្រើឧបករណ៍បញ្ជាដែនបឋម។ ចលនាខាងក្រោយបានដោះស្រាយតាមរយៈការផ្ទេរឯកសារ SMB និងប្រតិបត្តិការ WMI នៅពេលដែលពួកគេផ្លាស់ប្តូរជាមួយឧបករណ៍បញ្ជាបន្ទាប់ និងអាចព្រមានតួអង្គដែលរកឃើញដែនកំណត់ច្រើនតាមរយៈប្រព័ន្ធ Net និង ផ្នែកកំណត់ត្រាដែលសកម្មរបស់ PowerShell ។ ក្នុងរយៈពេលប្រហែលប្រាំម៉ោងអ្នកវាយប្រហារបានបញ្ចប់គោលបំណងរបស់គេដោយការប្រតិបត្តិ ransomware លើឧបករណ៍បញ្ជាដែនបឋមនេះ៕