Авторами вымогательского ПО Ryuk являются русские киберпреступники

image

Теги: Ryuk, Hermes, Grim Spider, TrickBot, вымогательское ПО, вредоносное ПО

Киберпреступники приобрели на черном рынке вредоносное ПО Hermes, модифицировали его и получили Ryuk.

Создателями вымогательского ПО Ryuk, вероятнее всего, являются русские киберпреступники, жаждущие финансовой выгоды, а не северокорейские спецслужбы, как считалось ранее. Об этом сообщили сразу четыре ИБ-компании – Crowdstrike , FireEye , Kryptos Logic и McAfee .

В конце прошлого года из-за атак с использованием вымогательского ПО Ryuk возникли серьезные проблем с печатью и доставкой нескольких крупнейших газет США. В частности, инцидент затронул издательство Tribune Publishing и принадлежавшую ему ранее газету Los Angeles Times. В результате кибератаки выпуск ряда субботних газет был отложен на сутки.

Несмотря на сообщения в СМИ о северокорейском следе, специалисты Crowdstrike, FireEye, Kryptos Logic и McAfee уверены, что авторами Ryuk являются русские киберпреступники. Похоже, Ryuk был создан группировкой Grim Spider (название по версии Crowdstrike), купившей на одном из хакерских форумов вредоносное ПО Hermes и модифицировавшей его в соответствии со своими нуждами.

СМИ ошибочно приписали кибератаки на Tribune Publishing северокорейским государственным хакерам, поскольку в октябре 2017 года версия Hermes использовалась ими в атаке на тайваньский банк Far Eastern International Bank (FEIB).

По мнению ИБ-экспертов, так же как и Grim Spider, северокорейские хакеры приобрели Hermes на хакерском форуме и использовали его в атаке на банк с целью скрыть хищение средств и замести следы. Никакой связи между финансируемыми государством северокорейскими хакерами и создателями Ryuk нет, уверены исследователи.

Согласно отчету Crowdstrike , Grim Spider является подразделением более крупной киберпреступной организации Wizard Spider, создавшей известный банковский троян TrickBot. По данным Crowdstrike, Kryptos Logic и FireEye, до заражения Ryuk многие пострадавшие компьютеры сначала были инфицированы TrickBot.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.