Нещодавно виявлений вірус Ryuk, який вимагає викуп у своїх жертв, керується вибірковим принципом. Так, особливість цього шкідливого програмного забезпечення у тому, що дані шифруються лише на комп’ютерах найбільш заможних фізичних чи юридичних осіб, наприклад, великих компаній.
На таку специфіку застосування вірусу вказують компанії з кібербезпеки CrowdStrike і FireEye, пише ITC.ua з посиланням на Ars Technica.
У звітах компаній сказано, що фактичний початок шкідливої діяльності починається не відразу після зараження, а через дні, тижні і навіть рік з момент початкового інфікування системи.
Як правило, початкове зараження здійснюється за допомогою троянської програми Trickbot. При цьому невеликі організації, спочатку атаковані трояном Trickbot, часто не стикаються з наступною атакою шифрувальником і здирником Ryuk.
Для зловмисників інтерес представляють лише великі та заможні компанії. Завдяки “полюванню на велику рибу” зловмисники змогли отримати 3,7 млн доларів у Bitcoin за допомогою всього 52 транзакцій.
Крім вибірковості атак, орієнтованих тільки на великі компанії, зловмисники використовували ще один нестандартний підхід. Основна атака шифрувальника здійснювалася не одразу після зараження трояном. Проміжок часу зловмисники використовували для проведення розвідувальної діяльності всередині мережі компанії-жертви і виявлення найбільш критичних систем. Завдяки отриманим даними зловмисники могли завдавати максимальної шкоди.
За даними різних джерел, шкідливе програмне забезпечення Ryuk могло бути створено в Росії або ж в Північній Кореї. Передбачається, що в подальшому такі вибіркові атаки з відтермінуванням на другому етапі будуть ставати все більш поширеними.
Вперше подібна атака була здійснена в 2015 році, коли використовувалося шкідливе програмне забезпечення SamSam. У 2018 році фіксувалося збільшення кількості випадків, коли атака шифрувальником здійснювалася вже після початкового зараження.
У компанії FireEye очікують, що в 2019 році кількість подібних атак буде тільки збільшуватися завдяки перевагам, які забезпечує даний метод для зловмисників – можливість виявити слабкі місця жертви для нанесення максимального збитку і зосередитися тільки на великих компаніях.