Kiemelt célpontokra utazik a zsaroló és kémkedő Ryuk vírus

A Ryuk nevű kártékony program készítői elkezdtek elmozdulni a kormányzati és a katonai szervek felé, de azért a pénzügyi szektort sem kímélik.
 

Az adatlopásra alkalmas kártékony programok között is egyre gyakrabban tűnnek fel olyan változatok, amelyek egy-egy iparágat szemelnek ki maguknak, és specifikusan keresik az értékes információkat. Ezáltal célzott támadások során a terjesztőik számára nagyobb valószínűséggel tárhatnak fel, illetve szivárogtathatnak ki bizalmas adatokat. A legutóbbi jelentések szerint a régebb óta ismert Ryuk kártevő is erre az útra lépett. 

A Ryuk eredetileg zsarolóprogramként funkcionált, és fájlok titkosítását követően váltságdíjat követelt az áldozataitól. Aztán 2019 szeptemberében olyan modulokkal kezdett kiegészülni, amelyek a zsarolás mellett adatlopásra is módot adtak. Mindezt olyan módon tették, hogy kulcsszavak alapján fájlokat kutattak fel a fertőzött rendszereken, és a kiszűrt állományokat feltöltötték távoli kiszolgálókra. Ezáltal a kiberbűnözők már nem kizárólag a fájlok helyreállításához szükséges információkkal zsarolhatták a felhasználókat, adott esetben cégeket, szervezeteket, hanem azzal is, hogy az eltulajdonított adatokkal visszaélnek, ha nem kapják meg a követelt összeget.

Vitali Kremezm, a SentinelLabs vezetője számolt be arról, hogy a Ryuk legújabb variánsa folytatja útját az elődjei által kitaposott úton, és a korábbi variánsok kódbázisát felhasználva újabb célpontok ellen fordult. Mindezt viszonylag egyszerű módszerrel tette meg, ugyanis elsősorban a benne található kulcsszólista módosult. Jelenleg 85 különféle kifejezésre keres a károkozó. Néhány ezek közül szektoronként csoportosítva:

Pénzügy: 'SWIFT', 'IBAN', 'balance', 'statement', 'checking', 'saving', 'routing'
Bűnüldözés: 'clandestine', 'investigation', 'federal', 'bureau', 'government', 'security', 'victim', 'court'
Katonság: 'NATO', 'operation', 'attack', 'spy', 'radar', 'tactical', 'tank', 'submarine'

Az új Ryuk további fontos jellemzője, hogy az adatlopásra kiélezett összetevői - a korábbiaktól eltérően - már nemcsak Word (docx) és Excel (xlsx) fájlokban kutakodnak. Mostantól már a következő fájltípusokkal is kompatibilis a szerzemény:
  • .cpp
  • .h
  • .xls
  • .xlsx
  • .doc
  • .docx
  • .pdf
  • wallet.dat
  • .jpg

Mint látható a kártevő alkalmassá vált például C++ forráskódok, PDF-dokumentumok és kriptopénztárcák kémlelésére is. Az összegyűjtött állományokat pedig a kiberbűnözők által üzemeltetett, illetve felügyelt FTP-szerverekre tudja feltölteni.

Az új Ryuk terjedési mechanizmusa egyelőre nem pontosan ismert, de elsődleges támadási felületnek az elektronikus levelezés (adathalász levelek), valamint a távoli asztali kapcsolat (RDP) számít.
Vélemények
 
  1. 4

    A WordPress kompatibilis ThemeREX bővítmények kapcsán egy súlyos sebezhetőségre derült fény.

  2. 3

    Az IBM újabb hibajavításokat tett elérhetővé a WebSphere Application Serverhez.

  3. 1

    Az Anchor.A trójai elsősorban azzal tud problémákat okozni, hogy egyéb károkozókat juttat fel a számítógépekre.

 
Partnerhírek
A fertőzést is visszafordítja

A G DATA vírusirtója mostantól egy saját fejlesztésű gráfadatbázis segítségével is feldolgozza, hogy a kártevők hogyan viselkednek a számítógépeken, és képes visszafordítani a kártékony változtatásokat.

​A koronavírussal kapcsolatos félelmeket használják számítógépes kártevők terjesztésére

A G DATA arra figyelmeztet, hogy a kiberbűnözők a koronavírus kapcsán kialakult helyzetet kihasználva terjesztenek számítógépes kártevőket.

hirdetés
Közösség
1