Nul
En ny ransomware kampagne rettet mod store organisationer i USA og rundt omkring i verden har gjort det muligt for angribere bag det over $640,000 i bitcoin i løbet af bare to uger, og synes at være forbundet til Lazarus, hacking gruppen arbejder ud fra Nordkorea.
“Fra driftsfasen gennem krypteringsprocessen og op til løsesum efterspørgsel i sig selv, at den nøje drives Ryuk kampagne er målrettet mod virksomheder, der er i stand til at betale en masse penge for at komme tilbage på sporet,” sagde sikkerhedsfirma Check Point.
Ryuk ransomware først opstod i midten af August og i løbet af blot få dage inficeret med flere organisationer på tværs af USA, kryptering af Pc ‘ er og storage og data centre for ofre og krævede store Bitcoin løsepenge – en organisation, som menes at have betalt 50 Bitcoin (omkring $320,000) efter at blive offer for angrebet.
Den nye ransomware kampagne har været beskrevet af forskerne på Check Point, der beskriver de angreb, som meget målrettet i en sådan grad, at gerningsmændene er at gennemføre skræddersyede kampagner, der involverer omfattende netværk kortlægning, netværk kompromis og credential at stjæle for at nå det endelige mål om installation af Ryuk og kryptering af systemer.
Det lyder svarende til de teknikker, der anvendes af dem, der står bag SamSam ransomware, som har gjort sin forfattere over 6 millioner dollars, selv om der ikke menes at være en sammenhæng mellem disse to særlige ondsindede aktiviteter.
Forskere har endnu at bestemme, hvordan netop de skadelige data er leveret, men brugerne inficeret med Ryuk er opfyldt med en af de to løsesum noter.
Den ene er skrevet for næsten høfligt, hævder, at gerningsmændene har fundet en “betydelige hul i den sikkerhed systemer i din virksomhed”, som har ført til, at alle filer bliver krypteret, og at en Bitcoin løsesum, der skal betales for at hente filer.
“Husk, vi er ikke svindlere” meddelelsen konkluderer, – før med angivelse af, hvordan alle filer vil blive ødelagt, hvis en betaling ikke er modtaget inden for to uger.
En af Ryuk løsesum noter.
Billede: Check Point
En anden bemærkning er blunter, der blot angiver, at filen er krypteret, og at en løsesum, der skal betales for at hente filerne. I begge tilfælde, at ofrene får en e-mail til kontakt og en bitcoin wallet-adresse og får at vide, at der intet system er sikkert” fra Ryuk.
I begge tilfælde, løsepenge har været mellem 15 og 35 Bitcoin ($224,000) med yderligere en halv bitcoin tilføjet for hver dag, den skadelidte ikke give efter for de krav.
Se også: Ransomware: executive-guide til en af de største trusler på nettet
Med så store løsepenge, som bliver efterspurgt, det lader til, at angriberne har forsket deres ofre, og er kommet til den konklusion, at de vil være villige til at betale for at hente deres data.
“Det er rimeligt at antage, at truslen aktører havde nogle forudgående viden om deres ofre og deres økonomiske baggrund,” Mark Lechtik, malware research team leader hos Check Point fortalte ZDNet.
“Det faktum, at de mål, der er organisationer og ikke enkeltpersoner, kan føre til en situation, hvor de har meget værdifulde data, der er krypteret, hvilket giver gerningsmændene løftestang til at anmode om større beløb til inddrivelse.
“I sådanne tilfælde, og i lyset af de underliggende forretningsmæssige konsekvenser, bliver det uundgåeligt, at ofrene til at betale løsepenge,” tilføjede han.
Hvis ofrene betaler op cryptocurrency er opdelt, og som er overført mellem flere tegnebøger, som de angribere forsøger at skjule, hvor de penge kom fra.
Ransomware ikke har været vidt udbredt, hvilket indikerer, at omhyggelig planlægning, der ligger bag angreb mod specifikke organisationer.
Men mens Ryuk kampagne er nye, har forskerne fundet, at koden er næsten nøjagtig det samme som en anden form for ransomware – Hermes.
Hermes ransomware dukkede første gang op i slutningen af sidste år og har tidligere været forbundet til angreb foretaget af den nordkoreanske Lazarus hacking gruppen, herunder, hvor det blev brugt som en afledningsmanøvre for en $60m cyber-kuppet mod den fjernøstlige Internationale Bank i Taiwan.
Forskere inspektion af Ryuk ‘ s kryptering logik har fundet, at der er meget meget ligner Hermes, i en sådan grad, at det stadig er referencer Hermes i koden, og at en række regler og anvisninger, der er den samme i begge former for malware, der angiver ens kildekode.
At føre Ind Pege på to mulige konklusioner: Ryuk er et tilfælde af nordkoreanske hackere igen ved at bruge koden til at foretage en ny kampagne, eller at der er arbejdet af en anden angriber, som har en eller anden måde fået adgang til Hermes kildekode.
I begge tilfælde, den specielt målrettede angreb og rekognoscering, der kræves for at gennemføre dem tyder på, at dem, der står bag Ryuk har den tid og de ressourcer, der er nødvendige for at gennemføre kampagnen. Den nuværende dusør på mindst $640,000 tyder på, at det betaler sig, og forskere advarer om, at flere angreb vil komme.
“Efter at lykkes med at inficere og at få betalt nogle $640,000, vi mener, at dette er ikke slutningen af denne kampagne, og at yderligere organisationer er tilbøjelige til at falde offer for at Ryuk,” siger forskere.
LÆS MERE OM IT-KRIMINALITET
Ransomware: Ikke død, bare at få en masse sneakierCybercrime såre virksomheder til at tune på $600 milliarder[CNET]WannaCry ransomware krise, et år på: Er vi klar til den næste globale cyber-angreb?Undgå ransomware betalinger ved at etablere et solidt data backup plan [TechRepublic]Ny ransomware ankommer med en skjult funktion, der antyder mere sofistikerede angreb til at komme
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0