Úgy tűnik, kifejezetten zsíros, vállalati áldozatok megfertőzésére "tenyésztették ki" azt az új zsarolóvírust, amely tavaly augusztus óta szedi áldozatait. Bár a Ryuk elnevezés koreai eredetre utalna, de több biztonsági cég is inkább orosz kötődésű bűnözőket sejt a háttérben. Az biztos, hogy az internet útonállói nem keresnek rosszul az akcióikkal.
Válogatós bűnözők
A végponti védelmet kínáló CrowdStrike elemzése szerint a zsarolóvírus rövid működési ideje alatt már több mint félszáz fizetős áldozatot ejtett, akik összességében nagyjából 3,7 millió dollárnak megfelelő bitcoint utaltak át azért, hogy adataikról lekerüljön a ransomware által feltett digitális bilincs.
A Ryuk meglehetősen kifinomult módon, komótos tempóban dolgozik. A támadás első fázisát egy jellemzően e-mailen keresztül érkező malware indítja. A TrickBot elnevezésű kód hozzáférést szerez a megfertőzött rendszerhez, és kezdetben csak csendes szemlélőként funkcionál. Ezt az időszakot, ami a FireEye szakértői szerint akár egy év is lehet, a bűnözők arra használják fel, hogy minél több információt gyűjtsenek be potenciális áldozatukról. A kizárólag vállalati célpontokra utazó csapat ezek alapján dönti el, hogy megindítsa-e magát a zsarolásos akciót.
Ha megvannak a kritikus fontosságú rendszerek és a megfertőzött szervezet kellően gazdagnak tűnik, akkor érkezik maga a Ryuk és a szokásos módon elérhetetlenné teszi az üzleti működéshez szükséges adatokat, funkciókat és szoftvereket. Amennyiben viszont a célpont nem kellően "kövér", egyszerűen békén hagyják, és nem fecsérlik az idejüket kétes kimenetelű, kevés haszonnal kecsegtető zsarolási kísérletre.
Koreainak látszó orosz hekkerek?
Egyelőre a program mögött álló bűnözők kiléte bizonytalan, de abban a fentebb említett szakmai elemzések egyetértenek, hogy hiába koreai eredetű az elnevezés, Észak-Korea helyett inkább Oroszországban érdemes keresni őket. A CrowdStrike bejegyzésében csak Grim Spiderként emlegetett csoport vélhetően a nagyobb Wizard Spider bűnszervezet egyik egysége. Utóbbinak tulajdonítják többek között a TrickBot üzemeltetését is, amelyett eddig leginkább banki visszaélések elkövetésére használtak fel.
Maga Ryuk pedig valószínűleg a már korábban hírnevet szerzett Hermes ransomware leszármazottja lehet. A Hermest egyébként a dark weben bárki beszerezheti magának, de Ryuk egyelőre megmaradt a Grim Spider kizárólagos használatában.
a melléklet támogatója a Clico
CIO kutatás
Merre tart a vállalati IT és annak irányítója?
Hiánypótló nagykép a hazai nagyvállalati informatikáról és az IT-vezetőkről: skillek, felelősségek, feladatkörök a múltban, a jelenben és a jövőben.
Töltse ki Ön is, hogy tisztábban lássa, hogyan építse vállalata IT-ját és saját karrierjét!
Az eredményeket május 8-án ismertetjük a 17. CIO Hungary konferencián.
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?