Ryuk | Nuovo ransomware che prende di mira aziende e imprese

Momento della lettura: 3 verbale

Attento, SamSam. C'è un nuovo ransomware in città che si rivolge con molta attenzione alle imprese e alle imprese. Saluta Ryuk. Nelle prime due settimane dopo il suo debutto ad agosto, il ransomware ha reso i suoi cyber aggressori oltre $ 640,000 USD. Al contrario, SamSam ha impiegato circa tre anni per rendere il suo autore circa $ 6 milioni di dollari.

Mentre le persone dietro Ryuk stanno raggiungendo il loro primo milione di dollari di Bitcoin, pensano anche che dovresti essere molto onorato di essere attaccato da loro. Questo è ciò che dice la loro nota di riscatto:

"Gentiluomini! La tua azienda è a grave rischio. C'è un buco significativo nella sicurezza della tua compagnia ... Dovresti ringraziare il Signore per essere stato violato da persone serie, non da stupidi scolari o pericolosi punk ... Il prezzo finale dipende dalla velocità con cui ci scrivi. Ogni giorno di ritardo ti costerà un supplemento di + 0.5 BTC ... Niente di personale, solo affari. "

I valori di criptovaluta fluttuano selvaggiamente, ma quando ho controllato il Tasso di cambio da Bitcoin a Dollaro statunitense il 23 agosto, un Bitcoin era $ 6,410.74. Quindi apparentemente ogni giorno un'organizzazione ritarda costa loro più di qualche grande. L'importo del riscatto principale richiesto è variato da 15 a 50 Bitcoin, ovvero da $ 96,000 a $ 320,000. Poiché questi attacchi sono così mirati, credo che potrebbero adeguare la loro domanda in base a ciò che pensano che il loro obiettivo possa pagare.

Come la maggior parte degli altri ransomware destinati all'azienda, Ryuk sfrutta le vulnerabilità di Windows. Ma a differenza di WannaCry, non esiste una specifica vulnerabilità che colpisce sempre per prima, come quella nota Exploit SMB di Windows. I cyber aggressori di Ryuk impiegheranno del tempo a mappare le reti dei loro obiettivi e ad acquisire maliziosamente le credenziali. Man mano che Microsoft corregge i dispositivi di rete di Windows e Cisco, il team Ryuk probabilmente troverà nuove vulnerabilità da sfruttare. E fanno tutto solo per te!

Si ipotizza che le persone dietro Ryuk siano della Corea del Nord Gruppo Lazzaroo un gruppo che ha imparato dal lavoro di Lazzaro. Questo perché Ryuk ricorda HERMES in molti modi. HERMES è stato scoperto nell'ottobre 2017 quando è stato utilizzato contro la banca internazionale dell'Estremo-Oriente di Taiwan per rubare circa $ 60 milioni tramite SWIFT. Si ritiene fermamente che Lazzaro abbia condotto quell'attacco. Il codice utilizzato in Ryuk per posizionare un marcatore per verificare che un file sia stato crittografato è identico al codice utilizzato per la stessa funzione in HERMES. Sia Ryuk che HERMES sono molto selettivi di ciò che crittografano in un sistema Windows. Crittograferanno ciò di cui il target ha davvero bisogno, ma non ciò di cui hanno bisogno per leggere la nota di riscatto ed effettuare il pagamento Bitcoin. Entrambi eseguono il processo di crittografia allo stesso modo, autorizzando specifiche cartelle di Windows, scrivendo un file chiamato "window.bat" in ciascuna cartella e uno script per eliminare i volumi shadow e i file di backup.

Ryuk è anche pronto a sfruttare i sistemi Windows legacy, come Windows 2000 a 32 bit. Cos'è un sistema operativo che non è stato supportato per così tanto tempo su Internet? O forse quelle macchine si trovano solo nella rete interna di un'organizzazione, ma i cappelli neri Ryuk devono essere entrati nelle reti interne dei loro obiettivi attraverso una macchina connessa a Internet. Qualsiasi computer che esegue un sistema operativo non più supportato dovrebbe essere completamente isolato da Internet o esistere come una macchina virtuale (che un amministratore di rete può eliminare a piacimento) se non è possibile evitare l'utilizzo di tale sistema operativo / versione.

Ryuk ha anche una tecnica di persistenza davvero brutta. Si scrive semplicemente nel registro di esecuzione. Ahia!

Solo il tempo ci dirà se Ryuk è opera del famigerato Lazurus Group della Corea del Nord, o se stiamo guardando il lavoro di Lazurus Part Deux. Se vuoi, dai LulzSec all'Anonimo di Lazzaro. (Beh, non solo il tempo lo dirà, ma anche il lavoro di ricercatori di malware dedicati come Laboratorio di intelligence sulle minacce Comodo.)

Risorse correlate:
Rimozione di virus
Software antivirus
Che cos'è Computer Virus
Wikipedia compromessa da DDoS Attack
Scansione dei virus
Attacco ransomware

Software di protezione da ransomware

INIZIA LA PROVA GRATUITA OTTIENI IL TUO SCORECARD DI SICUREZZA ISTANTANEO GRATUITAMENTE

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://blog.comodo.com/comodo-news/ryuk-new-ransomware-targeting-businesses-and-enterprises/