Noll
En ny ransomware kampanj som riktar sig till stora organisationer i USA och runt om i världen har gjort anfallare bakom det över $640,000 i bitcoin inom loppet av två veckor, och verkar vara kopplad till Lazarus, hacking grupp som arbetar utanför Nordkorea.
“Från driftsfasen genom att krypteringen och upp till lösen efterfrågan i sig, är de noga drivs Ryuk kampanj är inriktad på företag som är i stånd att betala en massa pengar för att få tillbaka på rätt spår”, säger säkerhetsföretaget Check Point.
Ryuk ransomware första uppstod i mitten av augusti och under loppet av bara några dagar infekterade flera organisationer i USA, kryptering av Datorer och lagring och datacenter offer och krävde enorma Bitcoin lösensummor – en organisation som tros ha betalat 50 Bitcoin (runt $320,000) efter att ha fallit offer för attacken.
Den nya ransomware kampanj har varit närmare av forskare vid Check Point som beskriver attackerna som mycket riktade till en sådan grad att de skyldiga att genomföra skräddarsydda kampanjer med omfattande nätverk kartläggning, nätverk kompromiss och referens stjäla för att nå det slutliga målet med att installera Ryuk och kryptera system.
Det låter likt de tekniker som används av dem som står bakom SamSam ransomware, som har gjort sin författare över $6 miljoner, även om det inte är tänkt att vara en länk mellan dessa två särskilt skadlig verksamhet.
Forskare har ännu inte avgöra exakt hur den skadliga koden levereras, men användare infekterade med Ryuk är uppfyllda med en av två lösen anteckningar.
En är skriven nästan artigt, hävdar att förövarna har hittat en “betydande hål i trygghetssystemen för ditt företag”, vilket har lett till att alla filer är krypterade, och att en Bitcoin lösen måste vara betald för att hämta filer.
“Kom ihåg, vi är inte scammers” meddelandet avslutas innan om hur alla filer kommer att förstöras om en betalning inte erhållits inom två veckor.
En av de Ryuk lösen anteckningar.
Bild: Check Point
En andra obs är blunter, som helt enkelt säger att filerna är krypterade och att lösen skall betalas för att hämta filer. I båda fallen, offren får ett e-postmeddelande till kontakt och en bitcoin plånbok adress och säger att “inget system är säkra” från Ryuk.
I båda fallen, lösensummor har det varit mellan 15 och 35 Bitcoin ($224 000 personer) med ytterligare en halv bitcoin läggs till varje dag offret inte ge efter för kraven.
Se även: Ransomware: En verkställande guide till en av de största hot på webben
Med sådana stora lösensummor som krävs, att det verkar som om angriparna har forskat sina offer och har kommit till slutsatsen att de kommer att vara villiga att betala för att hämta sina data.
“Det är rimligt att anta att hotet aktörer hade vissa förkunskaper om deras offer och deras ekonomiska bakgrund,” Mark Lechtik, malware forskningsledare vid Check Point berättade ZDNet.
“Det faktum att målen organisationer och inte enskilda personer, kan leda till ett scenario där de har mycket värdefulla data är krypterade, vilket ger förövarna hävstång för att begära högre belopp för dess återhämtning.
“I sådana fall och i ljuset av den underliggande verksamheten påverkan, blir det oundvikligt för offren att betala lösen,” tillade han.
Om offren betala in cryptocurrency är uppdelad och överföras mellan olika plånböcker som angripare att försöka dölja var medlen kom från.
Den ransomware har inte fått stor spridning, vilket tyder på att noggrann planering som ligger bakom attacker mot specifika organisationer.
Men medan Ryuk är en kampanj som ny, har forskare funnit att koden är nästan exakt samma som en annan form av ransomware – Hermes.
Hermes ransomware först dök upp i slutet av förra året och har tidigare varit ansluten till attacker utförs av den nordkoreanska Lazarus hacka gruppen, även när det användes som en avledning för en $60m it-heist mot Far Eastern International Bank i Taiwan.
Forskare inspektera Ryuk är kryptering logik har funnit att det är väldigt mycket liknar Hermes, i en sådan utsträckning att det fortfarande referenser Hermes i koden och att ett antal regler och instruktioner som är samma i båda formerna av skadlig kod, visar identiska källkod.
Som leder In till två möjliga slutsatser: Ryuk är ett fall av nordkoreanska hackare att återanvända kod för att genomföra en ny kampanj, eller att det är ett verk av en annan angripare som har på något sätt fått tillgång till Hermes källkod.
I båda fallen, speciellt riktade attacker och spaning som krävs för att genomföra dem tyder på att de bakom Ryuk har den tid och de resurser som är nödvändiga för att genomföra kampanjen. Den nuvarande bounty på minst $640,000 tyder på det är att betala av och forskare varnar för att fler attacker kommer att komma.
“Efter att lyckas med infekterar och få betalt några $640,000, anser vi att detta inte är slutet för denna kampanj och att ytterligare organisationer är benägna att falla offer för Ryuk,” sade forskarna.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Ransomware: Inte döda, bara få en massa sneakierCybercrime skada företag att stämma av $600 miljarder[MAG]WannaCry ransomware krisen, ett år: Är vi redo för nästa globala it-attack?Undvik ransomware betalningar genom att skapa en solid data backup plan [TechRepublic]Nya ransomware kommer med en dold funktion som tips på mer sofistikerade attacker för att komma
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0