Недавно обнаруженное вредоносное программное обеспечение Ryuk, требующее выкуп у своих жертв, с августа прошлого года принесло своим авторам около $4 млн. В нём применяется нетипичный для отрасли подход. Вместо массового заражения компьютеров авторы Ryuk используют избирательный подход. В результате шифруются данные лишь на компьютерах наиболее богатых целей, например, крупных компаний. О такой специфике сообщают компании CrowdStrike и FireEye, специализирующиеся на вопросах компьютерной безопасности.
В отчётах компаний сказано, что фактическое начало вредоносной деятельности начинается не сразу после заражения, а спустя дни, недели и даже год с момент первоначального заражения системы. Как правило, первоначальное заражение осуществляется при помощи троянской программы Trickbot. При этом небольшие организации, изначально атакованные трояном Trickbot, зачастую не сталкиваются с последующей атакой шифровальщиком и вымогателем Ryuk. Для злоумышленников интерес представляют лишь крупные и богатые компании. Благодаря «охоте за крупной рыбой» злоумышленники смогли получить $3,7 млн в Bitcoin при помощи всего 52 транзакций.
Помимо избирательности атак, ориентированных только на крупные компании, злоумышленники использовали ещё один нестандартный подход. Основная атака шифровальщиков осуществляется не сразу же после заражения трояном, а через некоторый промежуток времени. Это время используется злоумышленниками для проведения разведывательной операции внутри сети компании-жертвы и выявления наиболее критических систем. Благодаря полученным данным злоумышленники могут нанести максимальный ущерб.
По данным разных источников, вредоносное ПО Ryuk могло быть создано в России либо же в Северной Корее. Предполагается, что в дальнейшем такие избирательные атаки с отсрочкой второй части будут становиться всё более распространёнными. Впервые подобная атака была осуществлена в 2015 году, когда использовалось вредоносное ПО SamSam. В 2018 году фиксировалось увеличение количества случаев, когда атака шифровальщиком осуществлялась уже после первоначального заражения. В FireEye ожидают, что в 2019 году количество подобных атак будет только увеличиваться благодаря преимуществам, которые обеспечивает данный метод для злоумышленников (возможность выявить слабые места жертвы для нанесения максимального ущерба и сосредоточиться только на крупных компаниях ).
Источник: arstechnica