#szczepimysię #szczepimysię

150 mln $ „zarobił” dotąd kosztem firm i instytucji ransomware Ryuk

  • Analitycy Advanced Intelligence i HYAS podsumowali aktywność złośliwego oprogramowania szyfrującego dane organizacji na całym świecie – licząc od momentu wykrycia Ryuka.
  • Przestępcy żądają okupu w bitcoinach, a przy transakcjach kryptowalutowych korzystają z pośredników.
  • Atak poprzedza infekcja malware’em, co ułatwia przestępcom ocenę majątku firm.
  • Przy okazji przypominamy pierwsze przypadki wykrycia Ryuka, zanotowane 3 lata temu.
komputer

Ze wspólnego raportu przedsiębiorstw Advanced Intelligence i HYAS wynika, że cyberprzestępcy wykorzystujący złośliwe oprogramowanie Ryuk wyłudzili od firm i instytucji w bitcoinach łącznie równowartość 150 milionów dolarów. Dane FBI sprzed roku mówiły o 61 milionach. Analitycy śledzili 61 portfeli kryptowalutowych skojarzonych z ransomware’em. Przestępcy większość swoich cyfrowych pieniędzy przekazywali z pomocą pośredników na giełdy, głównie azjatyckie – Huobi i Binance. Co prawda obie platformy przy wypłatach wymagają potwierdzenia tożsamości, jednak specjaliści zaznaczają, że nie ma prostej metody weryfikacji dokumentów. Okup był przelewany również do mniejszych portfeli, zbyt małych (pod względem przechowywanej wartości), aby należały one do którejś z giełd. Stąd wniosek, że chodziło o wypłatę pieniędzy w lokalnych walutach albo o wymianę na inne kryptowaluty (np. takie, które trudno śledzić).

(Ilustracja przepływu pieniędzy – graf. Advanced Intelligence, HYAS)

Program antywirusowy to za mało

Ofiary Ryuka za odszyfrowanie danych płaciły jednorazowo średnio kilkaset tysięcy dolarów. Badacze zwracają uwagę, że w przypadku ataku z użyciem tego ransomware’u trudno o negocjacje. Jak rozwijają, przestępcy stojący za Ryukiem nie uwzględniają statusu, celu działalności czy finansowych możliwości ofiar. Autorzy włamań wykorzystują systemowy niski poziom zabezpieczeń przed infekcjami złośliwym oprogramowaniem, które stanowią przygotowanie do ataku za pomocą ransomware’u. Samo oprogramowanie antywirusowe nie jest w tym przypadku wystarczające. Prewencyjnie analitycy radzą ograniczać uruchamianie makr w plikach pakietów biurowych, włączać dwuskładnikowe uwierzytelnianie i korzystać z komunikacji zdalnej tylko ze znanymi adresami IP.

cyfrowa kłódka
(graf. Adobe Stock)

Polskie firmy na celowniku

Zgodnie z danymi zebranymi przez ESET, Polska w marcu ubiegłego roku trafiła do czołówki krajów atakowanych Ryukiem – w nowszym, 64-bitowym wariancie złośliwego oprogramowania. Wcześniej, w zestawieniu uwzględniającym 32-bitową wersję, byliśmy na 10 miejscu. Po raz pierwszy specjaliści zarejestrowali Ryuka w 2018 roku, wirus zainfekował wtedy amerykańską firmę wodociągową Onslow Water and Sewer Authority, jeden z portów morskich w USA, a także brytyjską spółkę EVRAZ zajmującą się produkcją i wydobyciem stali. Według ekspertów Sophosa, co trzecie przedsiębiorstwo w Polsce pada ofiarą ransomware’u. Co ciekawe, w raporcie „The state of ransomware” firma przekonuje, że taniej z perspektywy firm jest nie płacić okupu.