Хакерская группировка Ryuk, активная с 2018 года, известна своими атаками на крупные компании и организации. Группировка использует методы рансомвара и требует от своих жертв крупные суммы выкупа. Некоторые известные кампании, связанные с группировкой Ryuk, включают:
Атака на университет Мэриленда в марте 2021 года, в результате которой были зашифрованы данные университета и группировка потребовала выкуп в размере 450 000 долларов.
Атака на крупную американскую компанию Cloudstar в ноябре 2020 года.
Атака на крупную американскую технологическую компанию Xerox в июне 2020 года.
Атака на крупную фармацевтическую компанию Universal Health Services в сентябре 2020 года.
Атака на крупную авиакомпанию Norwegian Air в декабре 2019 года.
Другие известные названия группировки Ryuk включают WIZARD SPIDER и GRIM SPIDER.
Вместо требований денежного выкупа вредонос предлагает вступить в ряды ЧВК «Вагнер».
Северная Корея зарабатывает путём вымогательства денег у больниц по всему миру.
Исполнительный директор биржи признал вину, он будет отбывать наказание много лет.
Россиянин отрицает свою вину в отмывании более $400 тыс.
Группы сосредоточены на атаках крупных компаний с использованием социальной инженерии.
Средняя сумма выкупа стала на 45% больше.
Россиянин Денис Дубников был арестован в Нидерландах по экстрадиционному ордеру США, которые обвиняют мужчину в отмывании денег.
На взлом компьютерных систем жертв у преступников из FIN12 уходит примерно два с половиной дня.
По некоторым данным, ответственность за инцидент лежит на кибервымогательской группировке Ryuk.
С 2018 года создатели шифровальщика Ryuk атаковали по меньшей мере 235 больниц и психиатрических стационаров в США, потребовав выкуп за восстановление файлов.
За Ryuk вступился участник группировки REvil, использующий псевдоним Unknown.
Преступники начали использовать инструменты с открытым исходным кодом KeeThief и CrackMapExec для хищения учетных данных.
Если пострадавшая компания решает заплатить операторам вымогательского ПО, Марк Бляйхер от ее имени договаривается с хакерами.
Специалисты обнаружили ранее неизвестный механизм, позволяющий бэкдору KEGTAP сохранять персистентность с помощью BITS.
Инцидент затронул серверные системы и web-сайт Servicio Publico de Empleo Estatal, которое контролирует и выплачивает государственные пособия по безработице.
Распространение вымогателя по сети достигается за счет копирования исполняемого файла на идентифицированные общие сетевые ресурсы.
В результате кибератаки UHS пришлось оплачивать расходы на рабочую силу и профессиональные услуги.
Операторы Ryuk в основном используют две легитимные криптовалютные биржи для обналичивания биткойнов.
Операторы Conti утверждают, что данные банковских карт были скомпрометированы, но TSYS отрицает данный факт.
Новая тенденция наблюдалась с августа по сентябрь нынешнего года, и применялась группировками Sekhmet, Maze, Conti и Ryuk.
Итогом тяжелого периода для мировых экономик стал расцвет рынка продажи доступов в скомпрометированные сети компаний.
Ответственность за атаку несет группировка Ryuk.
Атака включает в себя 15 шагов и предполагает использование легитимных инструментов для тестирования безопасности.
Кибератака повлекла сбой бизнес-операций, но не привела к утечке данных, утверждает производитель.
В некоторых случаях развертывание вымогателей происходило в течение 24 часов после взлома.
ФБР и Министерство внутренней безопасности предупредили больницы о надвигающейся угрозе, и на этом их помощь закончилась.
Операторы Ryuk также известны своими атаками с использованием вредоносного ПО TrickBot и BazarLoader.
Высокая скорость атаки была достигнута в основном благодаря эксплуатации уязвимости повышения привилегий Zerologon.
Специалисты представили подробное описание всех этапов атаки с использованием вымогательского ПО Ryuk.
Самыми распространенными вымогателями в последние месяцы стали Maze, Ryuk и REvil.
В результате атаки ряд медучреждений остались без доступа к компьютерам и телефонным системам.
Часть средств вымогатели вывели через криптовалютную биржу Binance.
На примере неназванного производителя пищевых продуктов эксперт рассказал о том, как вымогательское ПО попадает в атакуемую сеть.
«Народный мститeль» подмeняeт около 25% «полeзных нагрузок» Emotet.
Одно из медицинских учреждений в США стало жертвой вымогателей.
Атака вымогательского ПО уничтожила доказательную базу, и с подозреваемых были сняты обвинения.
Пострадали web-серверы компании Electronic Warfare Associates и несколько сайтов дочерних предприятий.
Вредоносному ПО удалось проникнуть в системы управления технологическим процессом перевалки грузов.
Linux/Unix-версии Ryuk не существует, однако из-за функции WSL в Windows 10 в результате атак вымогателя переставали работать установки Linux.
В инструменте, предоставляемом операторами Ryuk своим жертвам после того, как они заплатили выкуп, содержится уязвимость.
В результате инцидента вся сеть компании была отключена, а сотрудники отпущены домой.
Преступники потребовали выкуп в размере $14 млн в биткойнах в обмен на доступ к файлам.
Злоумышленники потребовали от нефтяной компании выкуп в размере 565 биткойнов и лишили ее скидки за «просрочку».
Компьютерные системы оказались заражены вымогательским ПО Ryuk.
Распространение вымогателей может быть делом рук отдельных участников группировки, ищущих дополнительный способ заработка.
Киберпреступники приобрели на черном рынке вредоносное ПО Hermes, модифицировали его и получили Ryuk.
Ryuk может быть работой тех же людей, которые разработали вымогательское ПО Hermes.