Nul
De Ryuk ransomware is waarschijnlijk de oprichting van de russische financieel gemotiveerde cyber-criminelen, en niet van de Noord-koreaanse staat-gesponsorde hackers, volgens de rapporten deze week gepubliceerd door vier cyber-security bedrijven –Crowdstrike, FireEye, Kryptos Logica, en McAfee.
Deze bedrijven publiceerden deze rapporten deze week na een aantal verkooppunten nieuws toegeschreven een Ryuk ransomware infectie op een belangrijke AMERIKAANSE nieuwsmedia groep die plaats vond tijdens de Kerst vakantie op Noord-koreaanse hackers.
Echter, er zijn aanwijzingen dat de ransomware werd gemaakt door een criminele groep die Crowdstrike oproepen Grim Spider, die lijkt te hebben gekocht van een versie van de Hermes ransomware van een hack forum, en aangepast aan hun eigen behoeften in wat nu bekend staat als de Ryuk ransomware.
De verwarring komt voort uit het feit dat de Noord-koreaanse staat hackers ingezet met een versie van de Hermes ransomware op het netwerk van het Verre Oosten International Bank (FEIB) in Taiwan na het uitvoeren van een hack in oktober 2017.
Onderzoekers geloven dat de Noord-koreaanse hackers kocht hetzelfde Hermes ransomware kit van het hacken van een forum, zoals het Grimmige Spider-groep, en zette het op de bank-netwerk als afleiding en om de sporen van hun cyber-heist, en dat er geen verbinding is tussen het regime in Pyongyang de hackers en de Ryuk ransomware stam.
Integendeel, CrowdStrike zegt Grim Spider (de Ryuk ransomware bende) verschijnt een sub-afdeling van een grotere cyber-crimineel operatie die ze gevolgd hebben als de Wizard Spider, wat ze zeggen is verantwoordelijk voor het maken van de TrickBot banking trojan.
Crowdstrike, Kryptos Logica, en FireEye zeggen dat meerdere Ryuk ransomware slachtoffers werden voor het eerst besmet met het TrickBot malware voordat de ransomware werd ingezet op hun systemen.
Experts geloven dat TrickBot operators gebruik maken van grote spam campagnes te infecteren tienduizenden slachtoffers, en dan kiezen ze de geïnfecteerde computers die zij van mening zijn op de netwerken van grote bedrijven of overheidsorganisaties en implementeren van Ryuk om de winst te maximaliseren.
In een ander scenario, Crowdstrike en Kryptos Logica zeggen dat ze hebben gezien de TrickBot groep het huren van installaties van de auteurs van de Emotet malware, het implementeren van TrickBot, en later ook het selecteren van de grootste vis voor Ryuk ransomware infecties.
Afbeelding: Kryptos Logica
Een ransomware groep selecteren van hoog profiel doelstellingen voor afpersing is geen nieuwe techniek. Voor Ryuk, de exploitanten van de SamSam en BitPaymer ransomware stammen hebben hetzelfde gedaan.
Het verschil is dat SamSam en BitPaymer operators lijken te hebben gebruikt brute-force aanvallen of in gevaar referenties voor bedrijven’ RDP (Remote Desktop Protocol) eindpunten, terwijl de Ryuk team maakt gebruik van commodity-malware zoals TrickBot en Emotet voor de eerste voet aan de grond binnen een bedrijf.
En business is booming, volgens Crowdstrike het team.
“Sinds Ryuk’ s uiterlijk in augustus, de dreiging spelers het hebben opgeleverd over 705.80 BTC over 52 transacties voor een totaal actuele waarde van $3,701,893.98 USD,” de onderzoekers gezegd.
Na het observeren van transacties bekend Ryuk Bitcoin adressen, onderzoekers zei dat losgeld eisen variëren aanzienlijk. Ze zeggen dit suggereert dat Ryuk operators zijn scouting slachtoffers’ netwerken en beslissen over verschillende losgeld kosten voor elk slachtoffer
“Met 52 bekend transacties verspreid over 37 BTC adressen […] om de datum, de laagste waargenomen losgeld werd voor 1,7 BTC en de hoogste was voor 99 BTC,” Crowdstrike zei.
Het tijdperk van de individuele ransomware operaties lijkt te eindigen, met minder en minder ransomware stammen wordt ontwikkeld en verspreid door lone hackers. Ransomware is langzamerhand de perquisite van top tier cyber-criminele organisaties.
Meer zekerheid:
Canadese restaurant keten lijdt land-breed uitval na malware outbreakCity van Valdez, Alaska geeft toe dat het aflossen van ransomware infectionWhy WannaCry ransomware is nog steeds een bedreiging voor uw PC
Haven van San Diego lijdt cyber-aanval, de tweede haven in een week na BarcelonaEverything u moet weten over een van de grootste bedreigingen op het web Ransomware: hij is Niet dood, alleen voor een veel sneakier Ransomware nr. 1 cyberthreat aan de Mkb-sector TechRepublicAtlanta ransomware aanvallen op ‘mission critical’ systemen CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0