Πρόσφατα ήρθε στο φως ένα νέο malware, που φαίνεται ότι σχετίζεται με το ransomware Ryuk, το οποίο σκανάρει πληροφοριακά συστήματα για να κλέψει ευαίσθητες προσωπικές και στρατιωτικές πληροφορίες και στη συνέχεια τα μεταφορτώνει σε μια τοποθεσία FTP.
Παρόλο που παρουσιάζει πολλές ομοιότητες με το Ryuk, μια βασική διαφορά μεταξύ τους, είναι ότι ενώ το Ryuk κρυπτογραφεί μόνο αρχεία, αυτό το νέο κακόβουλο λογισμικό κλέβει τα αρχεία φορτώνοντάς τα σε έναν ιστότοπο που ελέγχετε από τους εισβολείς.
Τι ακριβώς συμβαίνει?
Το νέο κακόβουλο πρόγραμμα, ενεργοποιεί μια σάρωση όλων των αρχείων που είναι διαθέσιμα στο μηχάνημα που μολύνει. Αναζητά αρχεία με επεκτάσεις .doc ή .xlsx για να τα κλέψει.
Το malware παραβλέπει αρχεία και φακέλους όπως Microsoft και Intel κατά τη σάρωση, ενώ παρακάμπτει επίσης αρχεία με την επέκταση .ryk. Όταν εντοπιστεί ένα αρχείο με επέκταση .doc ή .xlsx, το κακόβουλο λογισμικό πρώτα επικυρώνει το αρχείο, ελέγχοντας αν περιέχει κάποιο έγγραφο ή φύλλο εργασίας με λέξεις.
Τα ονόματα των έγκυρων αρχείων συγκρίνονται με μία λίστα με λέξεις κλειδιά του κακόβουλου λογισμικού, που περιλαμβάνει λέξεις όπως «στρατιωτικό», «μυστικό» και «κρυφό». Αυτό δείχνει ότι το κακόβουλο λογισμικό στοχεύει ειδικά σε εμπιστευτικά δεδομένα. Ελέγχει επίσης για ορισμένα ονόματα, τα οποία πιστεύεται ότι προέρχονται από τον κατάλογο της Υπηρεσίας Κοινωνικών Ασφαλίσεων των ΗΠΑ, που περιέχει τα πιο δημοφιλή ονόματα.
Ομοιότητες με το Ryuk Ransomware
Όπως έχει παρατηρηθεί, αυτό το νέο malware παρουσιάζει ομοιότητες με το Ryuk ransomware, γεγονός που έχει οδηγήσει στην εικασία ότι θα μπορούσαν να σχετίζονται με κάποιο τρόπο.
Υπάρχουν ομοιότητες κώδικα μεταξύ του νέου κακόβουλου λογισμικού και του Ryuk.
Όπως αναφέρθηκε ήδη, το νέο κακόβουλο λογισμικό παραλείπει αρχεία που σχετίζονται με το Ryuk, όπως αυτά με την επέκταση .ryk, ενώ περιέχει και ορισμένες αναφορές στο Ryuk στον κώδικά του.
Ωστόσο, το Ryuk δεν χρειάζεται προϋποθέσεις για να τρέξει, σε αντίθεση με το νέο malware που απαιτεί την εκτέλεση DLL.
Οι ερευνητές ασφαλείας εξακολουθούν να αναζητούν δείγματα, για να αναλύσουν τον τρόπο με τον οποίο οι hacker μολύνουν και εξαπολύουν μια επίθεση.
Παρόλο που φαίνεται ότι αυτό το malware σχετίζεται με το διαβόητο ransomware Ryuk, δεν είναι σαφές εάν η ομάδα πίσω από το Ryuk είναι υπεύθυνη για αυτό το κακόβουλο λογισμικό ή εάν μια άλλη ομάδα έχει αποκτήσει πρόσβαση στον κώδικα και τον έχει τροποποιήσει.
