Программа-вымогатель Ryuk оказалась чрезвычайно прибыльной для создателей

Несмотря на то, что программы-вымогатели больше не считаются угрозой № 1 в мире, они не исчезнут в ближайшее время. Исследование, проведенное независимой командой MalwareHunterTeam, а также компанией Check Point, занимающейся кибербезопасностью, показывает, что новая программа-вымогатель приносит прибыль своим создателям. Программа-вымогатель, получившая название Ryuk, была впервые объявлена угрозой через MalwareHunterTeam в ветке Twitter, которая идентифицировала программу-вымогатель как содержащую гибридные компоненты Bitpaymer (в частности, в примечании о выкупе) и Hermes. Упоминание Hermes важно, поскольку это вредоносное ПО было связано с северокорейской хакерской группой Lazarus.

Эффект, который Гермес оказывает на Рюка, очень заметен после анализа, что и сделал Check Point в своем исследовательском блоге. Как отмечает Check Point, метод шифрования, который использует Ryuk, более или менее идентичен методу Hermes. Исследователи дополнительно отмечают, что создатели «даже не удосужились изменить маркер в зашифрованных файлах, поскольку код, используемый для генерации, размещения и проверки этого маркера, чтобы определить, был ли файл уже зашифрован, идентичен в обоих вредоносных программах».

Предполагаемый ущерб, причиненный Рюком, на данный момент составляет 640 000 долларов на основе оценок Каталин Чимпану из Bleeping Computer. Во многом это связано с эффективностью социальной инженерии, взятой более или менее из справочника Hermes, а также с дизайном программы-вымогателя. Кампания программ-вымогателей представляет собой целенаправленную атаку на определенные цели, и, хотя программа-вымогатель построена довольно примитивно, она использует комбинацию шифрования AES-RSA, которая считается не поддающейся шифрованию. В этом случае любой, зараженный Рюком, более или менее вынужден платить выкуп или взорвать свою машину.

Кроме того, Рюк создает уникальные биткойн-адреса для каждой жертвы, что затрудняет отслеживание преступников. Кроме того, платежи быстро удаляются со счетов и отмываются, чтобы устранить любые следы, которые могут привести к преступникам. Я делаю ставку на то, что это не Лазарь, поскольку они не были бы настолько глупы, чтобы указывать пальцем на себя, используя ту же самую структуру, что и их предыдущее творение Гермес. Другие эксперты не согласны со мной, в том числе Чимпану, который заявляет, что «новый штамм вымогателя Ryuk, по-видимому, является новой попыткой Lazarus Group разработать штамм, подобный SamSam, для использования в точечных хирургических ударах по отдельным организациям».

По мере проведения дополнительного анализа мы сможем расшифровать, кто стоит за атаками, потому что, кем бы они ни были (Lazarus или нет), более полумиллиона долларов в биткойнах — это значительный ущерб за такой короткий промежуток времени. Те, кто стоит за Рюком, должны быть обнаружены и привлечены к ответственности.