г. Самара тел: +7 (927) 709-4742
г. Москва тел: +7 (964) 532-0773

Шифровальщик Ryuk объединил усилия с трояном TrickBot

В конце прошлой неделе свежие отчеты о вымогателе Ryuk представили специалисты сразу нескольких компаний: CrowdstrikeFireEyeKryptos Logic и McAfee. Дело в том, что перед новогодними праздниками шифровальщик атаковал крупные зарубежные СМИ, включая Wall Street Journal, New York Times, Los Angeles Times.

Специалисты отмечают, что теперь операторы Ryuk действуют сообща с разработчиками известного трояна TrickBot (вредоносы часто обнаруживают в зараженных системах вместе), и эксперты не до конца уверены, почему так происходит. Есть две основные теории: возможно, за созданием двух вредоносов вообще стоит одна и та же группа; или же авторы TrickBot, распространяющие свою малварь посредством спама, а затем предоставляют «коллегам» доступ к зараженным системам крупных компаний в качестве сервиса, за отдельную плату. Вероятно, авторы TrickBot вообще «арендуют» зараженные системы у операторов малвари Emotet, инфицируют их и потом выбирают наиболее подходящих жертв для Ryuk.

Аналитики Crowdstrike полагают, что за созданием самого шифровальщика может стоять группировка Grim Spider, приобретшая исходные коды вымогателя Hermes и переделавшая их для своих нужд, после чего вредонос и стал известен как Ryuk.

Ранее считалось, что за разработкой Ryuk стоят северокорейские правительственные хакеры. В частности, к такому выводу эксперты пришли после атаки на тайваньский банк Far Eastern International Bank (FEIB), произошедшей осенью 2017 года. Этот инцидент связывали с известной хак-группой Lazarus. Теперь исследователи полагают, что атаковавшая банк хак-группа, вероятно, действительно была из Северной Кореи и тоже приобрела исходники Hermes на черном рынке, но в той атаке была задействована другая модификация шифровальщика, не имевшая отношение к группе Grim Spider и Ryuk.

Согласно теории экспертов, Grim Spider может являться «подразделением» более крупной группы Wizard Spider, которой как раз приписывают создание трояна TrickBot. Исследователи FireEye отмечают, что создатели TrickBot, скорее всего, базируются в Восточный Европе, и корни Ryuk, очевидно, тоже нужно искать там, а не в Северной Корее. С этим согласны и специалисты McAfee, которые и убеждены, что преступники находятся в России.

По оценке специалистов, появившийся в августе прошлого года Ryuk уже принес своим операторам около 700 биткоинов (3 701 893 миллиона долларов по курсу на момент публикации отчета). При этом размер выкупа операторы шифровальщика в каждом отдельном случае устанавливают разный. Эксперты Crowdstrike сумели проследить 52 транзакции на 37 разных адресов, и самый маленький выкуп составлял 1,7 BTC, а наиболее крупный равнялся 99 BTC.

Хакер

 

 

Вернуться в раздел: Новости