Kiemelt célpontokra utazik a zsaroló és kémkedő Ryuk vírus

A Ryuk nevű kártékony program készítői elkezdtek elmozdulni a kormányzati és a katonai szervek felé, de azért a pénzügyi szektort sem kímélik.
 

Az adatlopásra alkalmas kártékony programok között is egyre gyakrabban tűnnek fel olyan változatok, amelyek egy-egy iparágat szemelnek ki maguknak, és specifikusan keresik az értékes információkat. Ezáltal célzott támadások során a terjesztőik számára nagyobb valószínűséggel tárhatnak fel, illetve szivárogtathatnak ki bizalmas adatokat. A legutóbbi jelentések szerint a régebb óta ismert Ryuk kártevő is erre az útra lépett. 

A Ryuk eredetileg zsarolóprogramként funkcionált, és fájlok titkosítását követően váltságdíjat követelt az áldozataitól. Aztán 2019 szeptemberében olyan modulokkal kezdett kiegészülni, amelyek a zsarolás mellett adatlopásra is módot adtak. Mindezt olyan módon tették, hogy kulcsszavak alapján fájlokat kutattak fel a fertőzött rendszereken, és a kiszűrt állományokat feltöltötték távoli kiszolgálókra. Ezáltal a kiberbűnözők már nem kizárólag a fájlok helyreállításához szükséges információkkal zsarolhatták a felhasználókat, adott esetben cégeket, szervezeteket, hanem azzal is, hogy az eltulajdonított adatokkal visszaélnek, ha nem kapják meg a követelt összeget.

Vitali Kremezm, a SentinelLabs vezetője számolt be arról, hogy a Ryuk legújabb variánsa folytatja útját az elődjei által kitaposott úton, és a korábbi variánsok kódbázisát felhasználva újabb célpontok ellen fordult. Mindezt viszonylag egyszerű módszerrel tette meg, ugyanis elsősorban a benne található kulcsszólista módosult. Jelenleg 85 különféle kifejezésre keres a károkozó. Néhány ezek közül szektoronként csoportosítva:

Pénzügy: 'SWIFT', 'IBAN', 'balance', 'statement', 'checking', 'saving', 'routing'
Bűnüldözés: 'clandestine', 'investigation', 'federal', 'bureau', 'government', 'security', 'victim', 'court'
Katonság: 'NATO', 'operation', 'attack', 'spy', 'radar', 'tactical', 'tank', 'submarine'

Az új Ryuk további fontos jellemzője, hogy az adatlopásra kiélezett összetevői - a korábbiaktól eltérően - már nemcsak Word (docx) és Excel (xlsx) fájlokban kutakodnak. Mostantól már a következő fájltípusokkal is kompatibilis a szerzemény:

• .cpp
• .h
• .xls
• .xlsx
• .doc
• .docx
• .pdf
• wallet.dat
• .jpg

Mint látható a kártevő alkalmassá vált például C++ forráskódok, PDF-dokumentumok és kriptopénztárcák kémlelésére is. Az összegyűjtött állományokat pedig a kiberbűnözők által üzemeltetett, illetve felügyelt FTP-szerverekre tudja feltölteni.

Az új Ryuk terjedési mechanizmusa egyelőre nem pontosan ismert, de elsődleges támadási felületnek az elektronikus levelezés (adathalász levelek), valamint a távoli asztali kapcsolat (RDP) számít.