Шифровальщик Ryuk объединил усилия с трояном TrickBot

В конце прошлой неделе свежие отчеты о вымогателе Ryuk представили специалисты сразу нескольких компаний: CrowdstrikeFireEyeKryptos Logic и McAfee. Дело в том, что перед новогодними праздниками шифровальщик атаковал крупные зарубежные СМИ, включая Wall Street Journal, New York Times, Los Angeles Times.

Специалисты отмечают, что теперь операторы Ryuk действуют сообща с разработчиками известного трояна TrickBot (вредоносы часто обнаруживают в зараженных системах вместе), и эксперты не до конца уверены, почему так происходит. Есть две основные теории: возможно, за созданием двух вредоносов вообще стоит одна и та же группа; или же авторы TrickBot, распространяющие свою малварь посредством спама, а затем предоставляют «коллегам» доступ к зараженным системам крупных компаний в качестве сервиса, за отдельную плату. Вероятно, авторы TrickBot  вообще «арендуют» зараженные системы у операторов малвари Emotet, инфицируют их и потом выбирают наиболее подходящих жертв для Ryuk.

Схема заражения по версии Kryptos Logic

Аналитики Crowdstrike полагают, что за созданием самого шифровальщика может стоять группировка Grim Spider, приобретшая исходные коды вымогателя Hermes и переделавшая их для своих нужд, после чего вредонос и стал известен как Ryuk.

Ранее считалось, что за разработкой Ryuk стоят северокорейские правительственные хакеры. В частности, к такому выводу эксперты пришли после атаки на тайваньский банк Far Eastern International Bank (FEIB), произошедшей осенью 2017 года. Этот инцидент связывали с известной хак-группой Lazarus. Теперь исследователи полагают, что атаковавшая банк хак-группа, вероятно, действительно была из Северной Кореи и тоже приобрела исходники Hermes на черном рынке, но в той атаке была задействована другая модификация шифровальщика, не имевшая отношение к группе Grim Spider и Ryuk.

Согласно теории экспертов, Grim Spider может являться «подразделением» более крупной группы Wizard Spider, которой как раз приписывают создание трояна TrickBot. Исследователи FireEye отмечают, что создатели TrickBot, скорее всего, базируются в Восточный Европе, и корни Ryuk, очевидно, тоже нужно искать там, а не в Северной Корее. С этим согласны и специалисты McAfee, которые и убеждены, что преступники находятся в России.

Объявление о продаже Hermes

По оценке специалистов, появившийся в августе прошлого года Ryuk уже принес своим операторам около 700 биткоинов (3 701 893 миллиона долларов по курсу на момент публикации отчета). При этом размер выкупа операторы шифровальщика в каждом отдельном случае устанавливают разный. Эксперты Crowdstrike сумели проследить 52 транзакции на 37 разных адресов, и самый маленький выкуп составлял 1,7 BTC, а наиболее крупный равнялся 99 BTC.

Читать новость в источнике Xakep

0