Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Авторами вымогательского ПО Ryuk являются русские, а не северные корейцы

14/01/19

hack60Создателями вымогательского ПО Ryuk, вероятнее всего, являются русские киберпреступники, жаждущие финансовой выгоды, а не северокорейские спецслужбы, как считалось ранее. Об этом сообщили сразу четыре ИБ-компании – Crowdstrike , FireEye , Kryptos Logic и McAfee .

В конце прошлого года из-за атак с использованием вымогательского ПО Ryuk возникли серьезные проблем с печатью и доставкой нескольких крупнейших газет США. В частности, инцидент затронул издательство Tribune Publishing и принадлежавшую ему ранее газету Los Angeles Times. В результате кибератаки выпуск ряда субботних газет был отложен на сутки.

Несмотря на сообщения в СМИ о северокорейском следе, специалисты Crowdstrike, FireEye, Kryptos Logic и McAfee уверены, что авторами Ryuk являются русские киберпреступники. Похоже, Ryuk был создан группировкой Grim Spider (название по версии Crowdstrike), купившей на одном из хакерских форумов вредоносное ПО Hermes и модифицировавшей его в соответствии со своими нуждами.

СМИ ошибочно приписали кибератаки на Tribune Publishing северокорейским государственным хакерам, поскольку в октябре 2017 года версия Hermes использовалась ими в атаке на тайваньский банк Far Eastern International Bank (FEIB).

По мнению ИБ-экспертов, так же как и Grim Spider, северокорейские хакеры приобрели Hermes на хакерском форуме и использовали его в атаке на банк с целью скрыть хищение средств и замести следы. Никакой связи между финансируемыми государством северокорейскими хакерами и создателями Ryuk нет, уверены исследователи.

Согласно отчету Crowdstrike , Grim Spider является подразделением более крупной киберпреступной организации Wizard Spider, создавшей известный банковский троян TrickBot. По данным Crowdstrike, Kryptos Logic и FireEye, до заражения Ryuk многие пострадавшие компьютеры сначала были инфицированы TrickBot.

 

Темы:Преступления
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...