След зловреда-вымогателя Ryuk привел из Кореи в Россию

Сразу несколько компаний, работающих в сфере кибербезопасности, объявили о том, что известное вредоносное ПО Ryuk могло быть создано российской хакерской группировкой. Об этом сообщили представители Crowdstrike, FireEye, Kryptos Logic и McAfee Labs. Зловред Ryuk относится к числу весьма опасных программ-шифровальщиков, блокирующих файлы на инфицированных устройствах. Организаторы атак с его использованием известны тщательным выбором жертв и очень высокой суммой выкупа, который они требуют за разблокировку зашифрованных файлов. В числе последних инцидентов с использованием Ryuk – атака на несколько крупных издательских домов и сетей распространения периодической печати в США в конце прошлого года. По оценкам экспертов, Ryuk принес своим создателям уже не менее 3,7 миллиона долларов.

Ранее считалось, что за атаками Ryuk стоят северокорейские хакеры. Это предположение основывалось на том, что Ryuk создан на базе вымогательского ПО Hermes, использованного северокорейской группировкой Lazarus в атаке на крупный тайваньский банк в 2017 году. Однако новые исследования показали, что зловред Hermes продавался на хакерских черных рынках еще до этой атаки, и приобрести (а затем и модифицировать) его могли совсем не только киберпреступники из КНДР. Кроме того, установлено, что Ryuk используется в атаках вместе с банковским троянцем TrickBot, а его создание специалисты приписывают российской хакерской группировке, которую исследователи Crowdstrike именуют Grim Spider. Таким образом, теперь в атаках Ryuk многие склонны видеть именно российский след. Впрочем, другие эксперты предостерегают от поспешных выводов.

Источник: SCMagazine