Ny ransomwaregruppe har indkasseret over 26 millioner kroner siden august og går bevidst efter store mål

Illustration: ninescene / BigStock
En række ransomware-angreb med den trojanske hest Trickbot og efterfølgende ransomwaren Ryuk går efter store mål. Desuden er hackerne grundige, tålmodige og gennemfører omfattende infiltration af netværkene, før de anvender ransomwaren.

En netop identificeret ransomware-gruppe har indkasseret over 26 millioner siden august ved at følge en ny strategi. De går efter få mål med mange midler, som de tidligere har inficeret med en trojansk hest. På den måde adskiller angrebene sig fra tidligere Modus Operandi, der går på at inficere så mange enheder som muligt.

Det konkluderer rapporter fra sikkerhedsfirmaerne CrowsStrike og FireEye.

Det skriver Ars Technica

Ryuk fungerer, som det ofte ses i ransomware, ved, at programmet krypterer målets filer og derefter kræver betaling i bitcoin for at dekryptere dem. Samme tilgang er f.eks. set med Samsam og en række andre ransomwares.

Hackerne anvender en trojansk hest kaldet Trickbot og inficerer virksomheder, lang tid før de bruger deres adgang til også at installere ransomwaren Ryuk. I enkelte tilfælde har en enhed været inficeret med Trickbot i op til et år, før Ryuk bringes i spil. Endnu mere atypisk lader det til, at små virksomheder og organisationer inficeret med Trickbot ikke efterfølgende angribes med Ryuk.

Dreven dvælen

En del tyder på, at hackerne bevidst går efter store mål med pengene og viljen til at betale for dekryptering af deres filer. Desuden er hackerne tålmodige. Ifølge CrowdStrike-rapporten bruger hackerne en del tid på at udforske de netværk, som de har infiltreret med Trickbot. Derved kan de finde vej til de mest udsatte dele af netværket, før de også anvender Ryuk.

Dette er ifølge rapporten lettere med Trickbot, fordi der i den er en række moduler, som gør det muligt at arbejde på tværs af systemer i de angrebne enheder og slette sporene efter sig.

Ryuk har tidligere har været formodet anvendt af nordkoreanske hackere. Ifølge sikkerhedsfirmaerne er der intet, som tyder på, at det også er tilfældet ved disse angreb. CrowdStrike formoder, at angriberne arbejder fra Rusland, da man både har set russiske IP-adresser og russiske noter efterladt i inficerede netværk.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere