اسم معروف Ryuk، نامی که زمانی منحصر به یک شخصیت خیالی در مجموعه کمیک و کارتونی محبوب ژاپنی بود، اکنون نامی برای یکی از بدترین خانوادههای باجافزاری است. باج افزار Ryuk (ریوک) توانسته است تاکنون کاربران و شرکت های فراوانی را در سراسر جهان آزار بدهد.
ریوک (Ryuk) نام یک خانواده باج افزار است که برای اولین بار در آگوست 2018 کشف شد. در گذشته، ما Ryuk را فقط به عنوان یک شخصیت خیالی در یک مجموعه کمیک و کارتونی می شناختیم، اما اکنون آن را به عنوان یکی از بدترین خانوادههای باجافزاری در سراسر جهان می شناسیم.
بیایید با تعریف کلی باج افزار شروع کنیم. باجافزارها دستهای از بدافزارها هستند که فایلها و اطلاعات سیستم شما را قفل میکنند تا در ازای آزاد کردن فایل ها، از شما پول (باج) دریافت کنند. Ryuk نوعی باج افزار است که در حملات هدفمند مورد استفاده قرار میگیرد، حملاتی در آن عوامل تهدید مطمئن میشوند که فایلهای ضروری رمزگذاری شدهاند تا بتوانند مقادیر زیادی باج بخواهند. یک باج معمولی Ryuk می تواند به چند صد هزار دلار برسد. آنتی ویروس Malwarebytes آن را به عنوان Ransom.Ryuk شناسایی می کند.
ریوک یکی از اولین خانواده های باج افزاری است که دارای قابلیت شناسایی و رمزگذاری درایوها و منابع شبکه است. این بدان معناست که مهاجمان میتوانند Windows System Restore را برای کاربران غیرفعال کنند و بازیابی اطلاعات پس از حمله را بدون پشتیبانگیری خارجی یا فناوری بازگشت غیرممکن میکنند.
انتساب بدافزار همیشه سخت است. با این حال، محققان شرکت Deloitte، باج افزار Ryuk را به CryptoTech، که یک گروه سایبری کمتر شناخته شده که در اوت 2017 در یک انجمن زیرزمینی در حال تبلیغ Hermes 2.1 مشاهده شد، نسبت دادند.
اهداف Ryuk معمولاً سازمانهایی با درآمد های بالا هستند که مهاجمان میدانند که احتمالاً باج های سنگین خود را دریافت خواهند کرد. برخی از قربانیان این باج افزار شامل EMCOR، بیمارستانهای UHS و چندین دفتر روزنامه هستند. در هدف قرار دادن این سازمان ها، تخمین زده می شود که Ryuk بین فوریه 2018 تا اکتبر 2019 درآمدی معادل 61 میلیون دلار برای اپراتورهای خود ایجاد کرده است.
مانند بسیاری از حملات بدافزارها، روش انتشار این بدافزار نیز ایمیل های اسپم (malspam) می باشد. این ایمیل ها اغلب از یک آدرس جعلی ارسال می شوند، بنابراین نام فرستنده مشکوک نیست.
یک حمله معمولی (ریوک) Ryuk، زمانی شروع می شود که کاربر فایل مایکروسافت آفیس را که به ایمیل فیشینگ پیوست شده است باز می کند. باز کردن این فایل باعث می شود که یک ماکرو مخرب دستور PowerShell را اجرا کند. و تلاش می کند تروجان بانکی Emotet را دانلود کند. این تروجان این توانایی را دارد که بدافزار اضافی را بر روی یک دستگاه آلوده که Trickbot را بازیابی و اجرا می کند، دانلود کند، و محموله اصلی آن جاسوس افزار است. این باج افزار به مهاجمان اجازه میدهد به صورت جانبی به داراییهای حیاتی متصل به شبکه حرکت کنند.
بنابراین، هنگامی که شبکه شما نقض شد، مهاجمان تصمیم می گیرند که آیا فکر می کنند ارزش تلاش برای کشف و نفوذ بیشتر در شبکه را دارد یا خیر. اگر آنها اهرم کافی برای درخواست مبلغ زیادی داشته باشند، باج افزار Ryuk را مستقر خواهند کرد.
برای خواندن ادامه مطلب به این لینک وارد شوید.
منبع: باماسافت
