Исследователи из компаний CrowdStrike и FireEye дали оценку атакам, осуществлённым шифровальщиком-вымогателем Ryuk, посредством которого, начиная с августа прошлого года, хакеры получили $3,7 млн в биткоинах. Эксперты отмечают, что создатели ПО «терпеливы» и предпочитают крупные цели.
Атака, как правило, начинается с того, что система заражается ПО TrickBot (обычно через спам в электронной почте), которое получает доступ, и, что важно, позволяет хакерам изучать жертву с целью установить её «потенциал» в качестве возможной мишени.
Хакеры выискивают наиболее уязвимые системы, и, как отметили специалисты компании Ars Technica, даже отменяют запуск Ryuk, если организация недостаточно крупная.
«Операторы» также терпеливы. Они готовы ждать целый год, чтобы зашифровать данные жертвы, после чего потребовать выкуп.
Неясно, кто эти хакеры, но две компании кибербезопасности не верят, что это люди из КНДР (несмотря на сходство кода Ryuk с таковым у Hermes, вымогателя-шифровальщика, предположительно, разработанного спецслужбами Северной Кореи). Эксперты полагают, что, судя по интернет-адресам и языковым нюансам, это могут быть россияне.
Как бы то ни было, очевидно, что данное ПО набирает обороты и в ближайшем будущем может стать серьёзной угрозой для крупных компаний и правительств.