Pomimo, że techniczne możliwości Ryuk są stosunkowo niewielkie, przynajmniej trzy firmy z różnych stron świata zostały poważnie dotknięte atakiem. Co gorsza, część organizacji zapłaciła ogromne kwoty okupu w celu odzyskania swoich plików. Cena okupu poszczególnych ofiar wahała się od 15 do 50 BTC, w sumie dając  ponad 640 000 dolarów.

Co ciekawe, badania Check Pointa wykazały, że sposób działania oprogramowania Ryuk jest zbliżony do ransomware HERMES, którego autorstwo przypisuje się północnokoreańskiej APT Lazarus Group. Firma opisała precyzyjnie zaplanowane ataki za pomocą aplikacji Ryuk oraz porównał  je z atakami przeprowadzanymi przy użyciu oprogramowania HERMES. Eksperci analizują także finansowe aspekty ataków i przedstawiają w jaki sposób autorzy Ryuka chcą ukryć swoją tożsamość poprzez podział i przekazywanie wpłat do różnych portfeli.

Ogólne spojrzenie na Ryuk

W przeciwieństwie do zwykłego ransomware, regularnie rozpowszechnianego poprzez kampanie spamowe i exploity, Ryuk jest wykorzystywany tylko w atakach na ściśle określone cele. Szyfrowane są jedynie kluczowe zasoby w każdej z zainfekowanych sieci, a atakujący ręcznie rozpowszechniają złośliwe oprogramowanie.

Oznacza to, że przed każdym atakiem każda sieć jest mapowana, a w wyniku ataków hakerskich zbierane są dane logowania. Wynika z tego, że atakujący posiadają spore doświadczenie w tego typu atakach, co było widoczne np. we włamaniu do Sony Pictures w 2014 roku.

Check Point wykrył dwie wersje wiadomości wysyłanej do ofiar: dłuższa, lepiej napisana notatka, która spowodowała wypłatę okupu 50 BTC (około 320 000 dolarów) oraz krótsza, bardziej bezpośrednia, która została wysłana do wielu innych organizacji z żądaniem wypłaty okupów w wysokości 15-35 BTC (do 224 000 dolarów). Może to świadczyć o tym, że przeprowadzono dwie fazy ataków.

Ryuk kontra HERMES

Ransomware HERMES wykryto w październiku 2017, kiedy zostało użyte w ataku na Far Eastern International Bank (FEIB) na Tajwanie. W ataku, który powszechnie przypisano grupie Lazarus, skradziono 60 milionów dolarów. Na szczęście później udało się odzyskać tę sumę. W tym przypadku bank zainfekowano HERMES-em w formie dywersji.

W przypadku Ryuk jednak nie ma wątpliwości, że ataki typu ransomware, które przeprowadzono w ciągu dwóch ostatnich tygodni nie zasłoną dymną. Po sumie już zapłaconych okupów widać, że Ryuk zdecydowanie skutecznie oddziaływuje na ofiary ataków.

Ciekawy faktem dostrzeżonym przez firmę Malwarebytes jest podobieństwo algorytmów kodujących programów Ryuk i HERMES.  Autor Ryuka nie zadał sobie nawet trudu żeby zmienić generowany przez program w zaszyfrowanych plikach znacznik, który służy do określenia, czy plik został już zaszyfrowany - jest on identyczny w obu plikach. Ponadto, funkcja, która wywołuje powyższy kod, wykonuje bardzo podobne kroki w obu przypadkach. Ta sama logika wykorzystywana jest w 32 i 64 bitowych wersjach Ryuka. Podobieństwa mogą wskazywać na to, że zostały one wygenerowane z identycznego kodu źródłowego. Dalsza część analizy jest dostępna na blogu firmy Check Point.

Źródło: Check Point