Новый шифровальщик Ryuk «заработал» 640 тысяч долларов за неделю

Специалисты по кибербезопасности строят догадки о происхождении и механизмах атак нового зловреда-шифровальщика Ryuk. Впервые вредоносное ПО было обнаружено независимым исследователем под ником MalwareHunter 13 августа. С тех пор появилось несколько сообщений об атаках Ryuk из разных стран мира. Эксперты компании Check Point подготовили первый отчет о зловреде, и хотя до полноты представлений о нем еще далеко, некоторые выводы сделать уже можно. Организаторы атак Ryuk не прибегают к «ковровым бомбардировкам», распространяя зловред с помощью спама и фишинга. Они скорее копируют «бизнес-модель», принятую злоумышленниками, стоящими за атаками шифровальщика SamSam: тщательный выбор жертвы из числа крупных компаний или государственных организаций и инфицирование «вручную» с использованием заранее обнаруженных уязвимостей. Об этой избирательности говорит и тот факт, что варьируется даже текст сообщения с требованием о выкупе. Сумма его, к слову сказать, может составлять от 224 до 320 тысяч долларов в криптовалюте биткоин. При этом всего за неделю зловред уже «заработал» для своих хозяев 640 тысяч долларов.

Зловред использует комбинацию типов шифрования AES-RSA, что делает практически невозможной расшифровку заблокированных файлов, если сами злоумышленники не предоставят ключ. Исследователи Check Point обнаружили существенное сходство кода Ryuk с кодом другого зловреда-шифровальщика – Hermes. Можно с высокой степенью вероятности предположить, что Ryuk был создан теми же программистами, что и Hermes – либо людьми, знакомыми с его исходным кодом. Стоит отметить, что атаками с использованием Hermes отметилась в прошлом северокорейская хакерская группировка Lazarus Group.