Nieuwe ransomware maakte al 640.000 dollar buit met gerichte aanvallen

Nieuwe ransomware richt zich op bedrijven en vraagt flinke bedragen aan bitcoin als losgeldbetalingen. De aanvallers achter Ryuk, zoals deze ransomware is gedoopt, zouden in twee weken tijd al zo’n 640.000 dollar buit hebben gemaakt. De hackers schijnen verbonden te zijn aan Lazarus, een hackersgroep die actief is vanuit Noord-Korea.

Veiligheidsbedrijf Check Point, dat de ransomware ontdekte, meldt dat in elk stadium van de aanval, te zien is dat Ryuk zich richt op bedrijven die “veel geld kunnen betalen om weer door te mogen gaan”. Dat geld lijkt ook wel betaald te worden, gezien het flinke bedrag dat de hackers al hebben buitgemaakt.

Zeer gerichte aanvallen

Ryuk werd ergens in de tweede week van augustus ontdekt en heeft de afgelopen dagen meerdere organisaties in de Verenigde Staten geïnfecteerd. Daarbij zijn computers, opslag- en datacenters van de slachtoffers versleuteld en worden hoge losgeldsommen geëist. Een bedrijf zou wel vijftig bitcoin (momenteel rond de 320.000 dollar) betaald hebben, nadat het slachtoffer werd van de aanval.

De ransomware-aanval is zeer gericht. De aanvallers zouden eerst netwerken in kaart brengen en vervolgens op verschillende manieren proberen te compromitteren. Zo proberen ze inlogcodes te stelen en vervolgens in te breken op de systemen. Daarna wordt Ryuk op de netwerken geïnstalleerd en de systemen versleuteld.

Twee boodschappen

De onderzoekers van Check Point moeten nog uitzoeken hoe de malware precies geleverd wordt, maar gebruikers die Ryuk op hun apparaat hebben staan, krijgen een van twee mogelijke berichten te zien. Een daarvan is behoorlijk vriendelijk geschreven en claimt dat de aanvallers “een significante kwetsbaarheid in de netwerken van je bedrijf” gevonden hebben. Vervolgens vragen ze om losgeld, en benadrukken ze dat ze “geen bedriegers” zijn. Tegelijk wordt ook uitgelegd dat, als de bitcoins niet binnen twee weken overgeschreven zijn, alle bestanden vernietigd worden.

De tweede mogelijke boodschap is een heel stuk botter en legt enkel uit dat alle bestanden versleuteld zijn en dat er losgeld betaald dient te worden. In beide gevallen krijgen de slachtoffers een mailadres om te contacteren en een wallet-adres. De hoeveelheid losgeld die gevraagd wordt, varieert van 15 tot 35 bitcoin. Elke dag die de slachtoffers wachten, komt daar een halve bitcoin bij.

Hoge bedragen

Dat de aanvallers zo’n hoge bedragen vragen, wijst er volgens Check Point op dat het om zeer gerichte aanvallen gaat. Daarnaast lijkt de code van Ryuk heel erg op die van een andere vorm van ransomware die Hermes heet. Die werd vorig jaar ontdekt en bleek verbonden te zijn aan de Lazarus-hackersgroep.

De verwachting van de onderzoekers is dan ook dat Ryuk ofwel gemaakt is door Noord-Koreaanse hackers, of door een andere groep die de broncode van Hermes op de een of andere manier in handen heeft gekregen. Dat de aanvallers tot nu toe zo’n 640.000 dollar hebben weten te vergaren, wijst erop dat er meer aanvallen zullen plaatsvinden.