Úgy tűnik, kifejezetten zsíros, vállalati áldozatok megfertőzésére "tenyésztették ki" azt az új zsarolóvírust, amely tavaly augusztus óta szedi áldozatait. Bár a Ryuk elnevezés koreai eredetre utalna, de több biztonsági cég is inkább orosz kötődésű bűnözőket sejt a háttérben. Az biztos, hogy az internet útonállói nem keresnek rosszul az akcióikkal.
Válogatós bűnözők
A végponti védelmet kínáló CrowdStrike elemzése szerint a zsarolóvírus rövid működési ideje alatt már több mint félszáz fizetős áldozatot ejtett, akik összességében nagyjából 3,7 millió dollárnak megfelelő bitcoint utaltak át azért, hogy adataikról lekerüljön a ransomware által feltett digitális bilincs.
A Ryuk meglehetősen kifinomult módon, komótos tempóban dolgozik. A támadás első fázisát egy jellemzően e-mailen keresztül érkező malware indítja. A TrickBot elnevezésű kód hozzáférést szerez a megfertőzött rendszerhez, és kezdetben csak csendes szemlélőként funkcionál. Ezt az időszakot, ami a FireEye szakértői szerint akár egy év is lehet, a bűnözők arra használják fel, hogy minél több információt gyűjtsenek be potenciális áldozatukról. A kizárólag vállalati célpontokra utazó csapat ezek alapján dönti el, hogy megindítsa-e magát a zsarolásos akciót.
Ha megvannak a kritikus fontosságú rendszerek és a megfertőzött szervezet kellően gazdagnak tűnik, akkor érkezik maga a Ryuk és a szokásos módon elérhetetlenné teszi az üzleti működéshez szükséges adatokat, funkciókat és szoftvereket. Amennyiben viszont a célpont nem kellően "kövér", egyszerűen békén hagyják, és nem fecsérlik az idejüket kétes kimenetelű, kevés haszonnal kecsegtető zsarolási kísérletre.
Koreainak látszó orosz hekkerek?
Egyelőre a program mögött álló bűnözők kiléte bizonytalan, de abban a fentebb említett szakmai elemzések egyetértenek, hogy hiába koreai eredetű az elnevezés, Észak-Korea helyett inkább Oroszországban érdemes keresni őket. A CrowdStrike bejegyzésében csak Grim Spiderként emlegetett csoport vélhetően a nagyobb Wizard Spider bűnszervezet egyik egysége. Utóbbinak tulajdonítják többek között a TrickBot üzemeltetését is, amelyett eddig leginkább banki visszaélések elkövetésére használtak fel.
Maga Ryuk pedig valószínűleg a már korábban hírnevet szerzett Hermes ransomware leszármazottja lehet. A Hermest egyébként a dark weben bárki beszerezheti magának, de Ryuk egyelőre megmaradt a Grim Spider kizárólagos használatában.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak