Киберпреступники приобрели на черном рынке вредоносное ПО Hermes, модифицировали его и получили Ryuk.
Создателями вымогательского ПО Ryuk, вероятнее всего, являются русские киберпреступники, жаждущие финансовой выгоды, а не северокорейские спецслужбы, как считалось ранее. Об этом сообщили сразу четыре ИБ-компании – Crowdstrike , FireEye , Kryptos Logic и McAfee .
В конце прошлого года из-за атак с использованием вымогательского ПО Ryuk возникли серьезные проблем с печатью и доставкой нескольких крупнейших газет США. В частности, инцидент затронул издательство Tribune Publishing и принадлежавшую ему ранее газету Los Angeles Times. В результате кибератаки выпуск ряда субботних газет был отложен на сутки.
Несмотря на сообщения в СМИ о северокорейском следе, специалисты Crowdstrike, FireEye, Kryptos Logic и McAfee уверены, что авторами Ryuk являются русские киберпреступники. Похоже, Ryuk был создан группировкой Grim Spider (название по версии Crowdstrike), купившей на одном из хакерских форумов вредоносное ПО Hermes и модифицировавшей его в соответствии со своими нуждами.
СМИ ошибочно приписали кибератаки на Tribune Publishing северокорейским государственным хакерам, поскольку в октябре 2017 года версия Hermes использовалась ими в атаке на тайваньский банк Far Eastern International Bank (FEI.
По мнению ИБ-экспертов, так же как и Grim Spider, северокорейские хакеры приобрели Hermes на хакерском форуме и использовали его в атаке на банк с целью скрыть хищение средств и замести следы. Никакой связи между финансируемыми государством северокорейскими хакерами и создателями Ryuk нет, уверены исследователи.
Согласно отчету Crowdstrike , Grim Spider является подразделением более крупной киберпреступной организации Wizard Spider, создавшей известный банковский троян TrickBot. По данным Crowdstrike, Kryptos Logic и FireEye, до заражения Ryuk многие пострадавшие компьютеры сначала были инфицированы TrickBot.