Úgy tűnik, kifejezetten zsíros, vállalati áldozatok megfertőzésére "tenyésztették ki" azt az új zsarolóvírust, amely tavaly augusztus óta szedi áldozatait. Bár a Ryuk elnevezés koreai eredetre utalna, de több biztonsági cég is inkább orosz kötődésű bűnözőket sejt a háttérben. Az biztos, hogy az internet útonállói nem keresnek rosszul az akcióikkal.

Válogatós bűnözők

A végponti védelmet kínáló CrowdStrike elemzése szerint a zsarolóvírus rövid működési ideje alatt már több mint félszáz fizetős áldozatot ejtett, akik összességében nagyjából 3,7 millió dollárnak megfelelő bitcoint utaltak át azért, hogy adataikról lekerüljön a ransomware által feltett digitális bilincs.

A Ryuk meglehetősen kifinomult módon, komótos tempóban dolgozik. A támadás első fázisát egy jellemzően e-mailen keresztül érkező malware indítja. A TrickBot elnevezésű kód hozzáférést szerez a megfertőzött rendszerhez, és kezdetben csak csendes szemlélőként funkcionál. Ezt az időszakot, ami a FireEye szakértői szerint akár egy év is lehet, a bűnözők arra használják fel, hogy minél több információt gyűjtsenek be potenciális áldozatukról. A kizárólag vállalati célpontokra utazó csapat ezek alapján dönti el, hogy megindítsa-e magát a zsarolásos akciót.

Ha megvannak a kritikus fontosságú rendszerek és a megfertőzött szervezet kellően gazdagnak tűnik, akkor érkezik maga a Ryuk és a szokásos módon elérhetetlenné teszi az üzleti működéshez szükséges adatokat, funkciókat és szoftvereket. Amennyiben viszont a célpont nem kellően "kövér", egyszerűen békén hagyják, és nem fecsérlik az idejüket kétes kimenetelű, kevés haszonnal kecsegtető zsarolási kísérletre.

Koreainak látszó orosz hekkerek?

Egyelőre a program mögött álló bűnözők kiléte bizonytalan, de abban a fentebb említett szakmai elemzések egyetértenek, hogy hiába koreai eredetű az elnevezés, Észak-Korea helyett inkább Oroszországban érdemes keresni őket. A CrowdStrike bejegyzésében csak Grim Spiderként emlegetett csoport vélhetően a nagyobb Wizard Spider bűnszervezet egyik egysége. Utóbbinak tulajdonítják többek között a TrickBot üzemeltetését is, amelyett eddig leginkább banki visszaélések elkövetésére használtak fel.

Maga Ryuk pedig valószínűleg a már korábban hírnevet szerzett Hermes ransomware leszármazottja lehet. A Hermest egyébként a dark weben bárki beszerezheti magának, de Ryuk egyelőre megmaradt a Grim Spider kizárólagos használatában.