Een nieuwe, zeer gerichte ransomware-aanval heeft grote bedrijven getroffen. De Ryuk eist dat slachtoffers grote Bitcoin-betalingen doen om hun bestanden terug te kunnen krijgen.

De Ryuk ransomware-aanval is ontdekt door beveiligingsbedrijf Check Point. In een uitgebreid rapport stelt het bedrijf dat de groep achter de operatie al meer dan $640.000 aan Bitcoin heeft buitgemaakt in de twee weken dat het live is geweest.

Check Point merk op dat de aanval veel doelgerichter is dan eerdere voorbeelden van ransomware.

“Van de exploitatiefase tot het coderingsproces en tot aan de eis van losgeld zelf, is de zorgvuldig georiënteerde Ryuk-actie gericht op ondernemingen die in staat zijn veel geld te betalen om hun bestanden terug te krijgen.”

Elke actie lijkt specifiek te zijn afgestemd op individuele bedrijven. Dit heeft geleid tot massale diefstal van inloggegevens om systemen met succes met de Ryuk-software te infecteren.

Eenmaal besmet, wordt een van twee losgeldeisen naar de bedrijven gestuurd. De eerste is een gedetailleerde, bijna vriendelijke brief waarin bedrijven worden geadviseerd over hun zwakke punten in de beveiliging en waarin wordt gespecificeerd dat binnen twee weken aan de gestelde Bitcoin-eis moet worden voldaan. Zo niet, dan worden de geïnfecteerde bestanden automatisch verwijderd.

Het gaat verder met te zeggen dat de eis zal worden verhoogd voor elke dag dat ze worden genegeerd. Bij het afleveren van de betaling geven degenen achter de aanval aan dat ze de bestanden zullen ontsleutelen. Ook adviseren ze het bedrijf over hun beveiligingslekken:

“Heren! Uw bedrijf loopt een serieus risico. Er zit een groot gat in de beveiliging van uw bedrijf … U moet de Heer danken dat u bent gehackt door serieuze mensen en niet door domme schooljongens of gevaarlijke punks … De uiteindelijke prijs hangt af van hoe snel je ons schrijft. Elke dag vertraging kost je extra +0,5BTC … Niets persoonlijks.”

Aanval lijkt op een eerdere aanval

De tweede losgeldbrief is veel abrupter, maar heeft dezelfde algemene boodschap. Ze hebben beiden de handtekening “Ryuk” met het bericht: “Geen enkel systeem is veilig.”

Ondanks dat de Ryuk-aanval pas net opduikt, lijkt het grotendeels op een andere aanval die eind vorig jaar verscheen. Veel van de codering van de software is vergelijkbaar met die van het Hermes ransomware-programma. Hermes werd gelinkt aan de Noord-Koreaanse hackergroep die bekend staat als Lazarus.

De overeenkomsten tussen de twee aanvallen hebben ertoe geleid dat Check Point tot de conclusie kwam dat de Ryuk-aanval dezelfde groep betrof die Hermes heeft gelanceerd. Het kan ook het werk zijn van een andere groep die op de een of andere manier toegang heeft gekregen tot de broncode van de vorige operatie.

Hoe dan ook, Check Point is van mening dat meer bedrijven het slachtoffer zullen worden van de Ryuk-aanval. Dit vanwege het succes dat het in korte tijd heeft gehad:

“Aangezien ze erin geslaagd zijn ongeveer $640.000 te verdienen zijn we van mening dat dit niet het einde van deze campagne is. Meer organisaties zullen waarschijnlijk het slachtoffer worden van Ryuk.”

Bron: Newsbtc

Sander is een gedreven journalist met een uit de hand gelopen hobby; Bitcoin. In 2015 kwam hij voor het eerst in aanmekering met cryptovaluta. Niet veel later kocht hij zijn eerste bitcoins. Naast het schrijven van nieuwsartikelen is Sander dagelijks bezig als grafisch vormgever voor Bitned. Op deze manier draagt hij op alle vlakken een steentje bij aan het optimaliseren van de website.