Một cuộc tấn công Ryuk ransomware mới lại xuất hiện
11/12/2020 15:00 3396 lần Chuyên mục: Tin tức
Sau một thời gian dài im ắng, Ryuk ransomware đã trở lại với làn sóng tấn công mới. Vào cuối tháng 9, nhóm Ứng phó mối đe dọa được quản lý của Sophos đã hỗ trợ một tổ chức trong việc giảm thiểu một cuộc tấn công Ryuk. Nhóm đã cung cấp thông tin chi tiết về cách các công cụ, kỹ thuật và những thông tin sự phát triển của Ryuk Ransomware. Cuộc tấn công là một phần của làn sóng sự cố Ryuk liên quan đến các chiến dịch lừa đảo gần đây.
Lần đầu tiên bị phát hiện vào tháng 8 năm 2018. Băng đảng Ryuk đã trở nên nổi tiếng vào năm 2019, yêu cầu khoản tiền chuộc hàng triệu đô la từ các công ty, bệnh viện và chính quyền địa phương. Trong quá trình này, các đối tượng khai thác ransomware đã thu về hơn 61 triệu đô la chỉ ở Mỹ, theo số liệu từ Cục Điều tra Liên bang. Và đó chỉ là những gì đã được báo cáo — những ước tính khác cho thấy Ryuk thu về hàng trăm triệu đô la vào năm 2019.
Bắt đầu từ khoảng thời gian đầu của đại dịch COVID-19 trên toàn thế giới, chúng ta đã thấy hoạt động của Ryuk tạm lắng. Có suy đoán rằng các Ryuk đã chuyển sang một phiên bản đổi tên của ransomware, được gọi là Conti. Từ các chiến dịch và cuộc tấn công mà Sophos đã điều tra. Có một đều thú vị là nó đánh dấu sự trở lại của Ryuk với một số sửa đổi nhỏ. Nhưng cũng cho thấy sự phát triển của các công cụ được sử dụng để xâm phạm các mạng được nhắm mục tiêu và triển khai ransomware.
Cuộc tấn công cũng đáng chú ý vì các cuộc tấn công có thể chuyển từ thỏa hiệp ban đầu sang triển khai ransomware nhanh như thế nào. Trong vòng ba tiếng rưỡi sau khi mục tiêu mở tệp đính kèm email lừa đảo, những kẻ tấn công đã tiến hành trinh sát mạng. Trong vòng một ngày, họ đã có được quyền truy cập vào bộ điều khiển miền và đang ở giai đoạn đầu của nỗ lực triển khai ransomware.
Những kẻ tấn công cũng rất dai dẳng. Khi các nỗ lực thực hiện cuộc tấn công không thành công, các Ryuk đã cố gắng cài đặt phần mềm độc hại và ransomware mới nhiều lần. Bao gồm cả các nỗ lực lừa đảo mới nhằm thiết lập lại chỗ đứng. Trước khi cuộc tấn công kết thúc, hơn 90 máy chủ và các hệ thống khác đã tham gia vào cuộc tấn công, mặc dù ransomware đã bị chặn hoàn toàn.
Ruyk ransomware mới đã triển khai, tấn công như thế nào. Hãy xem bài báo cáo chi tiết của SophosLabs ở đây.
