Интересую угрозу обнаружили на этой неделе специалисты MalwareHunterTeam. Новый вредонос определенно связан с вымогателем Ryuk, хотя в отличие от известного шифровальщика, он не шифрует информацию и не требует выкуп у пострадавших. Вместо этого малварь похищает данные с зараженных машин, причем интересуется конфиденциальной финансовой информацией, а также секретными данными военных и правоохранителей.
Как распространяется данный вредонос пока неизвестно, но ИБ-специалист Виталий Кремез рассказал, как работает стилер. Проникнув в систему, малварь выполняет рекурсивное сканирование всех файлов и ищет файлы Word (.docx) и Excel (.xlsx), которые затем похищает. Причем в черный список малвари занесены стандартные файлы и папки, которые обычно не трогают шифровальщики, например, Windows, Intel, Mozilla, Public и так далее. Кроме того, вредонос пропускает любые файлы, связанные с Ryuk, такие как RyukReadMe.txt и любые файлы с расширением .RYK.
Когда подходящий файл обнаружен, малварь сравнивает его имя со списком из 77 строк. В список входят такие ключевые слова, как «marketwired», «10-Q», «fraud», «hack», «tank», «defence», «military», «checking», «classified», «secret», «clandestine», «undercover», «federal». Судя по этому списку, операторы малвари ищут секретные документы, банковскую информацию, файлы, связанные с уголовными расследованиями и так далее. Также стилера почему-то интересуют файлы, чьи названия содержат имена «Emma», «Liam», «Olivia», «Noah», «William», «Isabella», «James», «Sophia» и «Logan».
Все подходящие файлы малварь загружает на FTP-сервер злоумышленников — 66.42.76.46/files_server/a8-5, как показано ниже.
Также исследователи обнаружили некоторые сходства в коде стилера и шифровальщика Ryuk. Например, стилер имеет функцию создания новых файлов и добавления к ним расширения .RYK, но эта функция неактивна. Также вредонос с неизвестной целью проверяет на зараженной машине наличие файла с именем Ahnlab, как обычно делает Ryuk.
В свете перечисленных сходств эксперты полагают, что между Ryuk и обнаруженными вредоносом есть какая-то связь. Либо обе угрозы были созданы одними и теми же злоумышленниками, либо кому-то удалось получить доступ к исходным кодам Ryuk и неизвестный построил стилер на его базе.