Вирус-вымогатель Ryuk, блокирующий доступ к данным на зараженном компьютере, и открывающий его только после выплаты выкупа – противозаконный, но довольно прибыльный бизнес. За 5 месяцев жертвы вируса выплатили вымогателям свыше 700 биткоинов. Изначально считалось, что этот вирус – дело рук хакеров из КНДР, однако проанализировав данные, специалисты теперь считают, что следы ведут в Россию.
К такому выводу пришли эксперты из CrowdStrike и McAfee Labs, проанализировав технические детали, связанные с вирусом. Специалисты McAfee нашли много общего в коде Ryuk и вируса Hermes, проявившего себя еще в 2017 году и ассоциируемого с российскими хакерами.
В частности, одной из особенностей вируса был тот факт, что его нельзя было использовать против компьютера, одним из системных языков которого был русский, украинский либо белорусский. По их мнению, Ryuk технически является развитием Hermes и основан на его коде.
CrowdStrike также считает вирус Ryuk реинкарнацией Hermes, правда, уточняя, что последний продавался на интернет-форумах за $300, то есть теоретически его мог купить любой желающий из любой страны. Обе компании считают, за последними атаками с использованием этого вируса стоит хакерская группа GRIM SPIDER.
Первые случаи применения нового вируса-вымогателя зафиксированы еще в августе, однако по-настоящему он прогремел сразу после Нового года. Поражение вирусом систем издательского дома Tribune Publishing привело к задержке выхода ряда известных американских изданий, включая Los Angeles Times, San Deigo Union Tribune, Wall Street Journal и New York Times.
Еще одна характерная особенность вируса, названного в честь персонажа японского манга-сериала – дифференцированный подход к сумме выкупа. Вирус атакует в основном корпоративные сети, однако сумма требуемого выкупа за разблокировку данных существенно отличается в зависимости от масштаба цели или представления хакеров о нем. Исследователи утверждают, что им известны случаи с требованием суммы выкупа в размере от 1,7 биткоина до 99 биткоинов.
Напомним, в августе вышел любопытный отчет по результатам опроса сотрудников 750 крупных британских компаний – половина респондентов призналась, что их организация располагает некоторыми суммами в криптовалюте, в частности, в биткоинах, специально для этих целей. Т.е. в большинстве случаев компании покупают и хранят крипту, чтобы иметь возможность оперативно заплатить требуемый хакерами выкуп.