Zero
Le Ryuk ransomware est le plus susceptible de la création de russe financièrement motivés par les cyber-criminels, et non pas Nord-coréens d’état-parrainé par les pirates informatiques, selon des rapports publiés cette semaine par quatre cyber-sécurité des entreprises –Crowdstrike, FireEye, Kryptos Logic, et McAfee.
Ces compagnies ont publié ces rapports cette semaine après plusieurs organes de presse incorrectement attribué un Ryuk infection ransomware à un important groupe de médias news qui ont eu lieu pendant les vacances de Noël sur la corée du Nord pirates.
Cependant, les preuves suggèrent que le ransomware a été créé par un groupe criminel qui Crowdstrike appels Sombre Araignée, qui semble avoir acheté une version de l’Hermes ransomware à partir d’un piratage du forum, et l’a modifié à leurs propres exigences en ce qui est maintenant connu comme le Ryuk ransomware.
La confusion vient du fait que l’etat Nord-coréen pirates déployé une version de l’Hermes ransomware sur le réseau de l’Extrême-Orient International de la Banque (FEIB) à Taiwan après la réalisation d’un hack en octobre 2017.
Les chercheurs croient que les Nord-coréens, les pirates acheté les mêmes Hermes ransomware kit de piratage, de forums, comme le Sombre de Spider groupe, et déployé sur le réseau de la banque comme une distraction et afin de couvrir les traces de leurs cyber-heist, et qu’il n’y a pas de lien entre le régime de Pyongyang hackers et les Ryuk ransomware souche.
Au contraire, CrowdStrike dit Grim Spider (Ryuk ransomware gang) semble être une sous-division d’une plus grande cyber-criminel de l’opération qu’ils ont été suivi en tant que Assistant d’Araignée, qui, disent-ils, est responsable de la création de la TrickBot bancaire de troie.
Crowdstrike, Kryptos Logic, et FireEye dire que plusieurs Ryuk ransomware les victimes ont d’abord été infecté par le TrickBot des logiciels malveillants avant le ransomware a été déployé sur leurs systèmes.
Les Experts croient TrickBot les opérateurs utilisent de grandes campagnes de spam pour infecter des dizaines de milliers de victimes, et puis ils sélectionnent les ordinateurs infectés qu’ils croient sont sur les réseaux de grandes entreprises ou des organismes gouvernementaux et de déployer Ryuk pour maximiser les profits.
Dans un autre scénario, Crowdstrike et Kryptos Logic disent qu’ils ont vu le TrickBot groupe de la location d’installations chez les auteurs de la Emotet les logiciels malveillants, le déploiement de TrickBot, et plus tard aussi à sélectionner les plus gros poissons pour Ryuk infections ransomware.
Image: Kryptos Logic
Un ransomware sélection du groupe de haut-profil des cibles pour extorsion de fonds n’est pas une technique nouvelle. Avant de Ryuk, les opérateurs de l’SamSam et BitPaymer ransomware souches ont fait de même.
La différence est que SamSam et BitPaymer les opérateurs semblent avoir utilisé les attaques en force ou compromis des informations d’identification pour les entreprises ” RDP (Remote Desktop Protocol) de points de terminaison, alors que le Ryuk équipe utilise des produits de base des logiciels malveillants comme TrickBot et Emotet pour le premier pied à l’intérieur d’une entreprise.
Et l’entreprise a été en plein essor, selon Crowdstrike de l’équipe.
“Depuis Ryuk son apparition au mois d’août, la menace des acteurs ont permis de récolter plus 705.80 BTC à travers 52 transactions pour un total valeur actuelle de $3,701,893.98 USD,” les chercheurs a dit.
Après l’observation de transactions connues Ryuk adresses Bitcoin, les chercheurs ont déclaré que les demandes de rançon varier de manière significative. Ils disent ceci suggère que Ryuk les opérateurs sont le scoutisme victimes de réseaux et de décision sur les différents rançon frais pour chaque victime
“Avec 52 transactions connues réparties sur 37 BTC adresses […] à ce jour, le niveau le plus bas de la rançon a été pour 1,7 BTC et le plus élevé pour 99 BTC,” Crowdstrike dit.
L’ère de l’individu ransomware opérations semble être la fin, avec de moins en moins de ransomware souches étant développé et distribué par les pirates. Ransomware est en train de devenir la condition sine qua non de haut niveau cyber-des organisations criminelles.
Plus de la couverture de sécurité:
Canadian restaurant de la chaîne d’souffre pays panne de l’ensemble après le malware outbreakCity de Valdez, en Alaska admet à payer ransomware infectionWhy WannaCry ransomware est toujours une menace pour votre PC
Port de San Diego souffre d’une cyber-attaque, deuxième port après une semaine de BarcelonaEverything que vous devez savoir à propos de l’une des plus grandes menaces sur le web Ransomware: n’est Pas mort, juste obtenir beaucoup plus sournoises Ransomware pas. 1 cyberthreat aux Pme TechRepublicAtlanta ransomware attentat a frappé “mission critique” systèmes de CNET
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données
0