勒索软件Ryuk幕后主使者疑似来自俄罗斯

2018年8月，Check Point的安全专家发现，一群朝鲜黑客针对世界各地组织发起了一场勒索软件活动——这也是该公司首次检测到Ryuk 勒索软件。

这场活动看起来目标明确、计划周密，针对了多家企业，并对每家受感染企业的数百台电脑、存储设备和数据中心进行加密。一些受害者企业为了恢复被加密的文件支付了巨额赎金，经CheckPoint确认，受害者支付的赎金金额介于15 到50 比特币之间。全球范围内至少有三个组织因此受到严重影响，据估计，到目前为止攻击者已经净赚64万美元。

Ryuk勒索软件似乎与Hermes恶意软件有关，而Hermes恶意软件则与臭名昭着的Lazarus APT网络犯罪组织有关。最近，《华尔街日报》、《纽约时报》和《洛杉矶时报》等大型报纸的报纸出版也受到了相同的勒索软件的攻击。所以Ryuk被误会与朝鲜有关。

真实“身份”新线索

通过对恶意软件的进一步调查，安全公司使得FireEye和CrowdStrike的专家发现，Ryuk勒索软件背后的威胁行为者正在与另一个网络犯罪团伙合作，以获得对目标网络的访问权。他们正在与TrickBot背后的威胁演员合作。（TrickBot是一种恶意软件，一旦感染了系统，就会向攻击者创建一个反向shell，允许他们进入网络）

• Crowdstrike的专家认为，Ryuk勒索软件是由他们追踪的名为GRIM SPIDER的犯罪集团操作的，更具体来说是 TrickBot 背后 的俄罗斯团伙WIZARD SPIDER 。

“GRIM SPIDER是一个复杂的犯罪集团，自2018年8月以来一直在运营Ryuk勒索软件，目标是攻击大型组织获得高额赎金。这种被称为“大型游戏狩猎”的方法标志着WIZARD SPIDER的运营方式发生了变化，GRIM SPIDER似乎只是其中一个部门构成。WIZARD SPIDER threat group，即俄罗斯的银行恶意软件“TickBot”的运营者，过去主要关注电信欺诈领域。”

• FireEye正在追踪与TEMP.MixMaster相同动机的活动，后者涉及攻击者使用与TrickBot感染相关的Ryuk勒索软件。 这种情况表明，TrickBot运营者正在采用犯罪即服务模式(crime-as-a-service)来提供对他们已经妥协的系统的访问权限。

“需要注意的是，TEMP.MixMaster仅仅是我们看到Ryuk在TrickBot感染后部署的事件，而且并非所有TrickBot感染都会导致部署Ryuk勒索软件。我们怀疑TrickBot管理员组织可能位于东欧，很可能向有限数量的网络犯罪分子提供恶意软件，以便在运营中使用。”

• FireEye专家观察到malspam传播了Ryuk勒索软件的活动，使用了伪装德勤工资表的信息。一旦受害者打开附件并启用了宏，它就会从远程服务器上下载并执行TrickBot恶意软件。

从FireEye获得的数据表明，尽管这种特定的恶意垃圾邮件运行可能已经分发了不同的文档，活动本身也跨越了不同地区跨行业，但是文档尝试检索辅助有效负载的URL在附件或收件人之间并没有变化。

• 攻击者使用名为Empire的PowerShell后期开发 工具 包。Empire通过访问的网络分配有效载荷。Empire也允许窃取网络中其他计算机的凭据，然后在其上安装Ryuk Ransomware。

结论

FireEye、CrowdStrike、McAfee进行的调查似乎排除了Ryuk与朝鲜有关这一可能，专家认为勒索软件背后的威胁演员来自俄罗斯。根据McAfee的说法，最初将攻击者归属于朝鲜可能是错误的，因为只有Ryuk和Hermes之间的代码具有相似性。专家们指出，2017年8月，一名讲俄语卖家正在利用Exploit.in在线销售Hermes勒索软件。很可能是Lazarus集团购买了勒索软件，并在其运营中使用它，让人们产生了误解。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。