Новая, сильно нацеленная атака на вымогательство оказала влияние на крупные предприятия. Операция Ryuk требует, чтобы жертвы делали большие платежи с биткоинами за возвращение своих файлов.
Является ли Ryuk вымогательство подключенным к Kazarus Group Северной Кореи?
Атака Ryuk была обнаружена охранной компанией Check Point. В длинном отчете фирма заявляет, что группа за этой операцией уже заработала более $ 640 000 биткоинов за две недели.
Check Point отмечает, что атака гораздо более целенаправленная, чем предыдущие примеры вымогательства.
«От этапа эксплуатации до процесса шифрования и до самого требования о выкупе тщательно продуманная кампания Ryuk нацелена на предприятия, которые способны заплатить много денег, чтобы вернуться в нужное русло».
Кажется, что каждая кампания специально предназначена для отдельных предприятий. Это связано с широким сетевым отображением и массовым хищением учетных данных для успешной заражения систем программным обеспечением Ryuk.
После заражения одна из двух нот выкупа отправляется в компании. Первое – это подробное, почти доброжелательное письмо, в котором сообщается фирмам об их слабых сторонах безопасности и детализируется, что заявленное требование биткоинов должно быть удовлетворено в течение двух недель, или зараженные файлы будут автоматически удалены.
Далее говорится, что требования выкупа будут увеличиваться на каждый день, когда они игнорируются. После доставки платежа те, кто находится за атакой, заявляют, что они будут расшифровывать файлы и сообщать компании о том, как исправлять их дыры в безопасности. В нем говорится:
«Господа! Ваш бизнес подвергается серьезному риску. В безопасности вашей компании есть значительная дыра … Вы должны поблагодарить Господа за то, что его взломали серьезные люди, а не какие-то глупые школьники или опасные панки … Окончательная цена зависит от того, как быстро вы пишете нам. Каждый день просрочки будет стоить вам дополнительно + 0.5BTC … Ничего личного только бизнес».
Второе примечание о выкупе гораздо более круто, но несет одно и то же общее сообщение. Оба подписали «Ryuk» с сообщением как: «Нет системы в безопасности».
Несмотря на то, что нападение Ryuk только что появилось, оно в значительной степени напоминает еще одну атаку, появившуюся в конце прошлого года. Большая часть программного обеспечения похожа на кодировку программы Hermes вымогательство. Hermes ранее был связан с северокорейской хакерской группой, известной как Lazarus.
Сходство между двумя атаками привело Check Point к выводу, что либо атака Ryuk включает ту же группу, которая запустила Hermes, либо что это работа другой группы, которая каким-то образом получила доступ к исходному коду предыдущей операции.
В любом случае, Check Point полагает, что больше предприятий станет жертвой нападения Ryuk из-за успеха, который он имел в течение короткого периода времени:
«После успешного заражения и получения около 640 000 долларов мы считаем, что это не конец этой кампании, и что дополнительные организации могут стать жертвой Pyuk».