Ryuk | Vállalkozásokat és vállalkozásokat célzó új zsarolóvírus

Olvasási idő: 3 jegyzőkönyv

Vigyázz, SamSam. Van egy új zsarolóvírus a városban, amely nagyon óvatosan célozza meg a vállalkozásokat és vállalkozásokat. Köszönj Ryukot. Az augusztusi debütálást követő első két hétben a zsarolóprogramok több mint 640,000 XNUMX USD-t kerestek kibertámadóik számára. Ezzel szemben a SamSam körülbelül három évbe telt, amíg a szerzője körülbelül 6 millió dollárt csinált.

Miközben a Ryuk mögött álló emberek úton vannak az első millió dollár értékű Bitcoin felé, azt is gondolják, hogy nagy megtiszteltetésnek kell lennie, ha megtámadnak. Ez áll a váltságdíj-levelükben:

"Urak! Vállalkozása komoly veszélyben van. Jelentős lyuk van a céged biztonságában… Az Úrnak kell köszönni, hogy komoly emberek hackelték meg, nem pedig hülye iskolások vagy veszélyes punkok… A végső ár attól függ, milyen gyorsan írsz nekünk. Minden nap késés plusz 0.5 BTC-be fog kerülni… Semmi személyes, csak üzlet.”

A kriptovaluta értékei vadul ingadoznak, de amikor ellenőriztem a Bitcoin-US dollár árfolyam augusztus 23-án egy Bitcoin 6,410.74 dollár volt. Úgy tűnik tehát, hogy egy szervezet késedelme minden nap többe kerül, mint néhány ezres. A fő váltságdíj összege 15 és 50 Bitcoin között változott, ami körülbelül 96,000 320,000 és XNUMX XNUMX dollár között mozog. Mivel ezek a támadások annyira célzottak, úgy gondolom, hogy a keresletüket aszerint módosíthatják, hogy szerintük mit tud fizetni a célpontjuk.

A legtöbb más, a vállalatot célzó zsarolóprogramhoz hasonlóan a Ryuk is kihasználja a Windows sebezhetőségeit. De a WannaCry-vel ellentétben nincs egyetlen olyan sebezhetőség, amelyet mindig először céloz meg, mint például az a hírhedt Windows SMB exploit. Ryuk számítógépes támadói időt töltenek célpontjaik hálózatának feltérképezésével és rosszindulatú hitelesítő adatok megszerzésével. Miközben a Microsoft javítja a Windows-t, a Cisco pedig a hálózati eszközöket, a Ryuk csapata valószínűleg új, kihasználható sebezhetőségeket fog találni. És mindezt csak érted teszik!

Feltételezik, hogy a Ryuk mögött álló emberek vagy észak-koreaiak Lazarus csoport, vagy egy csoport, amely tanult Lázár munkájából. Ez azért van, mert Ryuk hasonlít HERMES sok tekintetben. A HERMES-t 2017 októberében fedezték fel, amikor a tajvani Far Eastern International Bank ellen használták fel körülbelül 60 millió dollár ellopására a SWIFT-en keresztül. Erősen úgy gondolják, hogy Lázár hajtotta végre a támadást. A Ryuk-ban használt kód egy jelölő elhelyezésére annak ellenőrzésére, hogy a fájl titkosítva van-e, megegyezik a HERMES-ben ugyanazon funkcióhoz használt kóddal. Mind a Ryuk, mind a HERMES nagyon válogatja, hogy mit titkosít a Windows rendszerben. Titkosítják azt, amire a célpontnak valóban szüksége van, de azt nem, amire a váltságlevél elolvasásához és a Bitcoin-fizetés végrehajtásához van szüksége. És mindketten ugyanúgy végzik el a titkosítási folyamatot: engedélyezőlistára helyezik az adott Windows-mappákat, minden mappába írnak egy „window.bat” nevű fájlt, és egy szkriptet az árnyékkötetek és biztonsági másolatok törlésére.

Ryuk készen áll a valóban örökölt Windows rendszerek, például a 2000 bites Windows 32 kiaknázására is. Mit csinál az interneten egy olyan operációs rendszer, amely régóta nem támogatott? Vagy lehet, hogy ezek a gépek csak egy szervezet belső hálózatában vannak, de a Ryuk fekete kalapok minden bizonnyal egy internetre csatlakozó gépen keresztül jutottak célpontjaik belső hálózatába. Minden olyan számítógépet, amelyen már nem támogatott operációs rendszer fut, teljesen el kell különíteni az internettől, vagy virtuális gépként kell léteznie (amit a hálózati rendszergazda tetszés szerint törölhet), ha az adott operációs rendszer/verzió használata nem kerülhető el.

Ryuknak van egy nagyon csúnya kitartási technikája is. Csak beírja magát a Run registry-be. Jaj!

Csak az idő fogja eldönteni, hogy a Ryuk a hírhedt észak-koreai Lazurus Group alkotása, vagy a Lazurus Part Deux munkáját nézzük. A LulzSec a Lazarus' Anonymous számára, ha úgy tetszik. (Nos, nem csak az idő dönti el, hanem a rosszindulatú programokat elhivatott kutatók munkája is, mint pl Comodo fenyegetés hírszerzési labor.)

Kapcsolódó források:
Víruseltávolítás
Antivirus szoftver
Mi az a számítógépes vírus
A Wikipédia feltörte a DDoS Attack által
Víruskeresés
Ransomware támadás

Ransomware védelmi szoftver

INGYENES PRÓBA INDÍTÁSA INGYEN SZEREZZE MEG AZONNALI BIZTONSÁGI EREDMÉNYKÁRTYÁT

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://blog.comodo.com/comodo-news/ryuk-new-ransomware-targeting-businesses-and-enterprises/