Nul
Den Ryuk ransomware er mest sandsynligt oprettelsen af russisk økonomisk motiveret af cyber-kriminelle, og ikke nordkoreansk stats-sponsoreret hackere, ifølge rapporter, der er offentliggjort i denne uge af fire cyber-sikkerhed i virksomheder –Crowdstrike, FireEye, Kryptos Logik, og McAfee.
Disse virksomheder udgivet disse rapporter i denne uge, efter at flere medier fejlagtigt tillagt en Ryuk ransomware infektion på et større US news media group, der fandt sted i løbet af juleferien på nordkoreanske hackere.
Men alt tyder på, at ransomware blev skabt af en kriminel gruppe, der Crowdstrike opkald Grim Edderkop, der ser ud til at have købt en version af Hermes ransomware fra en hacking forum, og ændrede det til deres egne krav til, hvad der nu er kendt som Ryuk ransomware.
Den forvirring, der kommer fra det faktum, at nordkoreanske stat hackere indsat en version af Hermes ransomware på nettet af den fjernøstlige Internationale Bank (FEIB) i Taiwan efter at have foretaget et hack i oktober 2017.
Forskere mener, at nordkoreanske hackere har købt den samme Hermes ransomware kit fra hacking fora, ligesom de Dystre Spider-gruppen, og indsat det på bankens netværk som en distraktion, og til at dække sporene af deres cyber-heist, og at der ikke er nogen forbindelse mellem Pyongyang-regimet hackere og Ryuk ransomware stamme.
Tværtimod, CrowdStrike siger Grim Edderkop (Ryuk ransomware bande) ser ud til at være en underafdeling af en større cyber-kriminelle drift, at de har været tracking, som Guiden Edderkop, som de siger, er ansvarlig for at skabe TrickBot bank trojan.
Crowdstrike, Kryptos Logik, og FireEye sige, at flere Ryuk ransomware ofre først blev inficeret med TrickBot malware, før ransomware blev indsat på deres systemer.
Eksperter mener, TrickBot operatører bruger store spam-kampagner til at inficere tusindvis af ofre, og så skal de vælge den inficerede computere, de tror er på netværk af store virksomheder eller offentlige organisationer og implementere Ryuk at maksimere profitten.
I et andet scenarie, Crowdstrike og Kryptos Logik siger, at de har set den TrickBot gruppe leje af anlæg fra forfatterne af Emotet malware, installation TrickBot, og senere også vælge den største fisk for Ryuk ransomware infektioner.
Billede: Kryptos Logik
En ransomware-gruppen valg af højt profilerede mål for afpresning er ikke en ny teknik. Før Ryuk, operatørerne af SamSam og BitPaymer ransomware stammer, har gjort det samme.
Forskellen er, at SamSam og BitPaymer aktører synes at have brugt brute-force-angreb eller kompromitteret legitimationsoplysninger for virksomheder, der’ RDP (Remote Desktop Protocol) endpoints, mens Ryuk team bruger vare malware som TrickBot og Emotet for det første fodfæste i en virksomhed.
Og virksomheden har været i kraftig vækst, i henhold til Crowdstrike ‘ s team.
“Da Ryuk’ s optræden i August, truslen aktører det har dirigeres over 705.80 BTC på tværs af 52 transaktioner til en samlet værdi på $3,701,893.98 USD,” siger forskerne.
Efter observere transaktioner kendt Ryuk Bitcoin adresser, forskere sagde, at krav om løsepenge, variere betydeligt. De siger, at det tyder på, at Ryuk operatører er spejder ofre’ netværk og beslutte, om forskellige løsesum gebyrer for hvert offer
“Med 52 kendt transaktioner fordelt over 37 BTC-adresser […] til dato den lavest observerede løsesum var 1,7 BTC og den højeste var for 99 BTC,” Crowdstrike sagde.
Den æra af individuelle ransomware operationer, der ser ud til at være sluttede, med færre og færre ransomware stammer, der er ved at blive udviklet og distribueret af lone hackere. Ransomware er langsomt ved at blive perquisite af top tier-cyber-kriminelle organisationer.
Mere sikkerhed dækning:
Canadiske restaurant kæde lider landsdækkende nedbrud efter malware outbreakCity af Valdez i Alaska indrømmer at betale af ransomware infectionWhy WannaCry ransomware er stadig en trussel mod din PC
Port of San Diego og lider af cyber-angreb, anden port i en uge efter BarcelonaEverything du har brug for at vide om en af de største trusler på nettet Ransomware: Ikke død, bare at få en masse sneakier Ransomware nr. 1 cyberthreat til små og mellemstore virksomheder TechRepublicAtlanta ransomware angreb hit ‘mission critical’ systemer CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0