Noll
Den Ryuk ransomware är mest sannolikt skapandet av ryska ekonomiskt motiverade it-brottslingar, och inte den nordkoreanska staten sponsrade hackare, enligt rapporter publiceras denna vecka av fyra it-säkerhet företag-Crowdstrike, FireEye, Kryptos Logik, och McAfee.
Dessa företag publiceras dessa rapporter denna vecka efter flera nyhetskanaler felaktigt tillskrivs en Ryuk ransomware infektion i stora AMERIKANSKA medier grupp som ägde rum under Julen på nordkoreanska hackare.
Dock finns det belägg för att den ransomware skapades av en kriminell grupp som Crowdstrike samtal Grym Spindel som verkar ha köpt en version av Hermes ransomware från en hacking forum, och ändrat den till sina egna krav i vad som nu är känt som Ryuk ransomware.
Förvirringen kommer från det faktum att den nordkoreanska staten hackare implementerat en version av Hermes ransomware på nätet av Far Eastern International Bank (FEIB) i Taiwan efter att ha genomfört ett hack i oktober 2017.
Forskare tror att de nordkoreanska hackare köpte samma Hermes ransomware kit från hacking forum, som Grim Spider-gruppen, och distribuerat det på bankens nätverk som en distraktion och att täcka spåren av deras it-heist, och att det inte finns något samband mellan Pyongyang regimens hackare och Ryuk ransomware stam.
Tvärtom, CrowdStrike säger Grim Spindel (Ryuk ransomware gänget) verkar vara en underavdelning av ett större it-kriminella verksamhet som de har uppföljning som Guiden Spider, som de säger är ansvarig för att skapa TrickBot bank trojan.
Crowdstrike, Kryptos Logik, och FireEye säga att flera Ryuk ransomware offren var första smittade med TrickBot skadlig kod innan den ransomware var utplacerade på sina system.
Experter tror TrickBot operatörer använder stora spam-kampanjer för att infektera tiotusentals offer, och sedan välja den infekterade datorer som de tror är på nätverk av stora företag eller statliga organisationer och distribuera Ryuk att maximera vinsten.
I ett annat scenario, Crowdstrike och Kryptos Logik säger att de har sett TrickBot koncernen hyr anläggningar från författarna av Emotet malware, distribuera TrickBot, och senare också välja den största fisken för Ryuk ransomware infektioner.
Bild: Kryptos Logik
En grupp ransomware att välja hög profil mål för utpressning är inte en ny teknik. Innan Ryuk, operatörerna av SamSam och BitPaymer ransomware stammar har gjort samma sak.
Skillnaden är att SamSam och BitPaymer aktörer som verkar ha använt en “brute force” attacker eller äventyras referenser för företag som RDP (Remote Desktop Protocol) ändpunkter, medan Ryuk team använder råvaror skadlig kod som TrickBot och Emotet för första fotfäste inom ett företag.
Och verksamheten har gått på högvarv, enligt Crowdstrike team.
“Eftersom Ryuk utseende i augusti, hot aktörer det har tagit över 705.80 BTC över 52 transaktioner för en summa kortfristiga värde av $3,701,893.98 USD,” forskarna säger.
Efter att ha observerat transaktioner till kända Ryuk Bitcoin adresser, forskarna sade att lösen efterfrågan varierar betydligt. De säger att detta tyder på att Ryuk aktörer är scouting offrens nätverk och besluta om olika lösen avgifter för varje offer
“Med 52 kända transaktioner spridda över 37 BTC-adresser […] hittills har den lägsta observerade lösen var för 1.7 BTC och den högsta var för 99 BTC,” Crowdstrike sagt.
En tid präglad av enskilda ransomware verksamhet verkar vara slut, med färre och färre ransomware stammar utvecklas och distribueras av ensam hackare. Ransomware blir långsamt perquisite av toppskiktet cyber-kriminella organisationer.
Mer trygghet:
Kanadensiska restaurang kedja lider landsomfattande strömavbrott efter skadlig kod outbreakCity Valdez, Alaska medger att betala av ransomware infectionWhy WannaCry ransomware är fortfarande ett hot mot din PC
Port of San Diego lider av en it-attack, andra porten i en vecka efter BarcelonaEverything du behöver veta om ett av de största hoten på nätet Ransomware: Inte döda, bara få en massa sneakier Ransomware nr. 1 cyberthreat till Små och medelstora företag TechRepublicAtlanta ransomware attack hit ‘mission critical’ system CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0