Προσοχή! Εμφανίστηκε νέα έκδοση του κακόβουλου λογισμικού Ryuk Stealer, η οποία επιτρέπει την κλοπή μεγάλου αριθμού στρατιωτικών, κυβερνητικών, οικονομικών, τραπεζικών και άλλων εμπιστευτικών αρχείων και δεδομένων.
Τον Σεπτέμβριο του 2019 είχε κυκλοφορήσει ένα νέο κακόβουλο λογισμικό, που είχε κοινά χαρακτηριστικά με το Ryuk Ransomware και χρησιμοποιούνταν για την κλοπή αρχείων. Ωστόσο, το όνομα των αρχείων θα έπρεπε να ταιριάζει με συγκεκριμένες λέξεις-κλειδιά.
Οι ερευνητές δεν γνωρίζουν αν αυτό το εργαλείο δημιουργήθηκε από τους χειριστές του Ryuk Ransomware για την κλοπή δεδομένων πριν την κρυπτογράφηση των συστημάτων του θύματος. Αυτό θα μπορούσε να είναι ένα πιθανό σενάριο. Ωστόσο, πίσω από το malware μπορεί να κρύβεται κάποιος άλλος hacker που δανείστηκε κάποια στοιχεία από τον κώδικα του Ryuk ransomware.
Όσον αφορά στη νέα βελτιωμένη έκδοση του Ryuk Stealer, στοχεύει σε πολύ συγκεκριμένες λέξεις-κλειδιά. Αν κλαπούν και εκτεθούν τα δεδομένα, οι συνέπειες για κυβερνήσεις, στρατιωτικές επιχειρήσεις και νομικές εταιρείες μπορεί να είναι καταστροφικές.
Νέες λειτουργίες στο Ryuk Stealer
Η νέα έκδοση του Ryuk Stealer που ανακαλύφθηκε πριν λίγες μέρες από τη MalwareHunterTeam, διαθέτει νέες λειτουργίες, όπως τη δυνατότητα σάρωσης περιεχομένου αρχείων και την ένταξη περισσότερων keywords που βοηθούν στην κλοπή πληροφοριών.
Στην προηγούμενη έκδοση, το Ryuk μπορούσε να ανιχνεύσει μόνο έγγραφα Word (docx) και Excel (xlsx).
Η νέα έκδοση μπορεί να σαρώσει επτά τύπους αρχείων που σχετίζονται με τον source code C ++, και επιπλέον έγγραφα Word και Excel, αρχεία PDF, JPG εικόνες και cryptocurrency wallets.
Ο πλήρης κατάλογος με τις στοχευμένες επεκτάσεις είναι: .cpp, .h, .xls, .xlsx, .doc, .docx, .pdf, wallet.dat, .jpg.
Το Ryuk Stealer χρησιμοποιεί 85 λέξεις-κλειδιά. Έτσι ελέγχει εάν ένα αρχείο, με μια από τις παραπάνω επεκτάσεις, περιλαμβάνει κάποια από τις 85 αυτές λέξεις.
Ως προς το όνομα του αρχείου, έχει να επιλέξει ανάμεσα σε 55 λέξεις-κλειδιά. Εάν το όνομα αρχείου περιλαμβάνει κάποια από αυτές, μπαίνει στο στόχαστρο του malware.
Στη συνέχεια, το Ryuk Stealer φορτώνει το έγγραφο-στόχο σε ένα FTP site, που ελέγχεται από τους hackers.
Κλοπή πολύ σημαντικών δεδομένων
Οι στοχευμένες λέξεις-κλειδιά σχετίζονται με πολύ ευαίσθητα θέματα. Για παράδειγμα:
Τράπεζες: «IBAN», «ισοζύγιο», «δήλωση», «έλεγχος», «εξοικονόμηση» κλπ.
Επιβολή του νόμου: «παράνομη», «έρευνα», «ομοσπονδιακό», «προεδρείο», «κυβέρνηση», «ασφάλεια», «θύμα», «δικαστήριο» κλπ.
Στρατιωτικά δεδομένα: «ΝΑΤΟ», «επιχείρηση», «επίθεση», «κατάσκοπος», «ραντάρ», «υποβρύχιο» κλπ.
Προσωπικά δεδομένα: «προσωπικά», «διαβατήριο», διάφορα ονόματα κλπ.
Τα ονόματα στην κατηγορία “Προσωπικά δεδομένα” προέρχονται από τον κατάλογο των κορυφαίων ονομάτων της Υπηρεσίας Κοινωνικής Ασφάλισης των Ηνωμένων Πολιτειών.
Η λίστα με τις λέξεις-κλειδιά περιέχει πολλές νέες προσθήκες (π.χ. ΝΑΤΟ, cyber, υποβρύχιο, προδοσία, δωροδοκία και πολλές άλλες).
Οι πληροφορίες που μπορούν να κλαπούν με τη βοήθεια αυτών των λέξεων-κλειδιών θα μπορούσαν να πουληθούν σε ξένες κυβερνήσεις, αντίπαλες εταιρείες ή να χρησιμοποιηθούν για εκβιασμό.
Προς το παρόν, δεν γνωρίζουμε πώς διανέμεται το κακόβουλο λογισμικό.
Οι επιθέσεις με σκοπό την κλοπή δεδομένων γίνονται όλο και πιο δημοφιλείς, γι’ αυτό το λόγο πρέπει όλοι να είμαστε πολύ προσεκτικοί και να εφαρμόζουμε ισχυρά μέτρα ασφαλείας. Αυτό ισχύει ακόμα περισσότερο για όσους έχουν στην κατοχή τους τόσο σημαντικά δεδομένα όσο τα παραπάνω.
