В конце прошлой недели свежие отчеты о вымогателе Ryuk представили специалисты сразу нескольких компаний: Crowdstrike, FireEye, Kryptos Logic и McAfee. Дело в том, что перед новогодними праздниками шифровальщик атаковал крупные зарубежные СМИ, включая Wall Street Journal, New York Times, Los Angeles Times.
Специалисты отмечают, что теперь операторы Ryuk действуют сообща с разработчиками известного трояна TrickBot (вредоносы часто обнаруживают в зараженных системах вместе), и эксперты не до конца уверены, почему так происходит. Есть две основные теории: возможно, за созданием двух вредоносов вообще стоит одна и та же группа; или же авторы TrickBot, распространяющие свою малварь посредством спама, затем предоставляют «коллегам» доступ к зараженным системам крупных компаний в качестве сервиса, за отдельную плату. Вероятно, авторы TrickBot вообще «арендуют» зараженные системы у операторов малвари Emotet, инфицируют их и потом выбирают наиболее подходящих жертв для Ryuk.
Аналитики Crowdstrike полагают, что за созданием самого шифровальщика может стоять группировка Grim Spider, приобретшая исходные коды вымогателя Hermes и переделавшая их для своих нужд, после чего вредонос и стал известен как Ryuk.
Ранее считалось, что за разработкой Ryuk стоят северокорейские правительственные хакеры. В частности, к такому выводу эксперты пришли после атаки на тайваньский банк Far Eastern International Bank (FEIB), произошедшей осенью 2017 года. Этот инцидент связывали с известной хак-группой Lazarus. Теперь исследователи полагают, что атаковавшая банк хак-группа, вероятно, действительно была из Северной Кореи и тоже приобрела исходники Hermes на черном рынке, но в той атаке была задействована другая модификация шифровальщика, не имевшая отношение к группе Grim Spider и Ryuk.
Согласно теории экспертов, Grim Spider может являться «подразделением» более крупной группы Wizard Spider, которой как раз приписывают создание трояна TrickBot. Исследователи FireEye отмечают, что создатели TrickBot, скорее всего, базируются в Восточной Европе, и корни Ryuk, очевидно, тоже нужно искать там, а не в Северной Корее. С этим согласны и специалисты McAfee, которые и убеждены, что преступники находятся в России.
По оценке специалистов, появившийся в августе прошлого года Ryuk уже принес своим операторам около 700 биткоинов (3 701 893 миллиона долларов по курсу на момент публикации отчета). При этом размер выкупа операторы шифровальщика в каждом отдельном случае устанавливают разный. Эксперты Crowdstrike сумели проследить 52 транзакции на 37 разных адресов, и самый маленький выкуп составлял 1,7 BTC, а наиболее крупный равнялся 99 BTC.
