Ryuk | Ransomware Baru Menargetkan Bisnis dan Perusahaan

Ryuk | Ransomware Baru Menargetkan Bisnis dan Perusahaan

Stempel Waktu: 17 September 2018 5

Serangan Ransomware Waktu Membaca: 3 menit

Ransomware Ryuk

Awas, SamSam. Ada ransomware baru di kota ini yang dengan sangat hati-hati menargetkan perusahaan dan bisnis. Sampaikan salam pada Ryuk. Dalam dua minggu pertama setelah debutnya di bulan Agustus, ransomware telah menghasilkan lebih dari $640,000 USD bagi penyerang cyber mereka. Sebaliknya, SamSam membutuhkan waktu sekitar tiga tahun untuk menghasilkan sekitar $6 juta USD.

Sementara orang-orang di belakang Ryuk sedang dalam perjalanan menuju Bitcoin senilai jutaan dolar pertama mereka, mereka juga berpikir Anda akan merasa sangat terhormat jika diserang oleh mereka. Ini adalah beberapa isi catatan tebusan mereka:

“Tuan-tuan! Bisnis Anda berada pada risiko yang serius. Ada lubang yang signifikan dalam keamanan perusahaan Anda… Anda harus berterima kasih kepada Tuhan karena telah diretas oleh orang-orang yang serius, bukan oleh anak sekolah yang bodoh atau bajingan yang berbahaya… Harga akhirnya tergantung pada seberapa cepat Anda menulis kepada kami. Setiap hari penundaan akan dikenakan biaya tambahan +0.5BTC… Bukan masalah pribadi, hanya bisnis.”

Nilai mata uang kripto berfluktuasi dengan liar, tetapi ketika saya memeriksanya Nilai tukar Bitcoin ke dolar AS pada tanggal 23 Agustus, satu Bitcoin adalah $6,410.74. Jadi rupanya setiap hari penundaan sebuah organisasi merugikan mereka lebih dari beberapa ribu dolar. Jumlah tebusan utama yang diminta bervariasi dari 15 hingga 50 Bitcoin, yaitu sekitar $96,000 hingga $320,000. Karena serangan-serangan ini sangat tepat sasaran, saya yakin mereka mungkin menyesuaikan permintaan mereka berdasarkan apa yang mereka pikir dapat dibayar oleh target mereka.

Seperti kebanyakan ransomware lain yang menargetkan perusahaan, Ryuk mengeksploitasi kerentanan Windows. Namun tidak seperti WannaCry, tidak ada satu kerentanan spesifik yang selalu ditargetkan terlebih dahulu, seperti kerentanan terkenal tersebut Eksploitasi Windows SMB. Penyerang cyber Ryuk akan menghabiskan waktu untuk memetakan jaringan target mereka dan secara jahat memperoleh kredensial. Saat Microsoft menambal Windows dan Cisco menambal perangkat jaringan, tim Ryuk mungkin akan menemukan kerentanan baru untuk dieksploitasi. Dan mereka melakukan semuanya hanya untuk Anda!

Ada hipotesis bahwa orang-orang di belakang Ryuk adalah orang Korea Utara Grup Lazarus, atau kelompok yang telah belajar dari pekerjaan Lazarus. Itu karena Ryuk mirip HERMES dalam banyak hal. HERMES ditemukan pada bulan Oktober 2017 ketika digunakan melawan Bank Internasional Timur Jauh Taiwan untuk mencuri sekitar $60 juta melalui SWIFT. Sangat diyakini bahwa Lazarus yang melakukan serangan itu. Kode yang digunakan di Ryuk untuk menempatkan penanda guna memeriksa apakah file telah dienkripsi identik dengan kode yang digunakan untuk fungsi yang sama di HERMES. Baik Ryuk dan HERMES sangat selektif dalam mengenkripsi apa pun dalam sistem Windows. Mereka akan mengenkripsi apa yang benar-benar dibutuhkan target, namun bukan apa yang mereka perlukan untuk membaca catatan tebusan dan melakukan pembayaran Bitcoin. Dan keduanya melakukan proses enkripsi dengan cara yang sama, memasukkan folder Windows tertentu ke dalam daftar putih, menulis file bernama “window.bat” ke setiap folder, dan skrip untuk menghapus volume bayangan dan file cadangan.

Ryuk juga siap mengeksploitasi sistem Windows lawas, seperti Windows 2000 32-bit. OS apa yang sudah lama tidak didukung di internet? Atau mungkin mesin-mesin itu hanya ada di jaringan internal organisasi, tapi topi hitam Ryuk pasti masuk ke jaringan internal targetnya melalui mesin yang terhubung ke internet. Komputer apa pun yang menjalankan OS yang tidak lagi didukung harus diisolasi sepenuhnya dari internet, atau ada sebagai mesin virtual (yang dapat dihapus oleh administrator jaringan sesuka hati) jika penggunaan OS/versi tersebut tidak mungkin dihindari.

Ryuk juga memiliki teknik ketekunan yang sangat buruk. Itu hanya menulis sendiri ke registri Jalankan. Aduh!

Hanya waktu yang akan membuktikan apakah Ryuk adalah karya Lazurus Group yang terkenal kejam di Korea Utara, atau apakah kita sedang melihat karya Lazurus Part Deux. LulzSec ke Lazarus' Anonymous jika Anda mau. (Tidak hanya waktu yang akan membuktikannya, namun juga hasil kerja para peneliti malware yang berdedikasi seperti itu Laboratorium intelijen ancaman Comodo.)

Sumber Daya Terkait:
Penghapusan Virus
Software antivirus
Apa itu Virus Komputer?
Wikipedia Diretas oleh DDoS Attack
Pemindaian Virus
Serangan Ransomware

Perangkat Lunak Perlindungan Ransomware

MULAI PERCOBAAN GRATIS DAPATKAN SCORECARD KEAMANAN INSTAN ANDA GRATIS

Stempel Waktu:

Lebih dari Comodo Keamanan Cyber