Una investigación sugiere que los hackers rusos están detrás de las ganancias de USD 2,5 millones de Ryuk Ransomware

Una reciente ola de ataques con ransomware que se estima que han ganado 705.08 Bitcoin (BTC) (USD 2,5 millones) probablemente provenían de ciberdelincuentes rusos, no de actores patrocinados por el Estado norcoreano, como se pensaba inicialmente. El desarrollo fue reportado en el sitio de noticias cripto Hard Fork de The Next Web el 14 de enero.

Hard Fork cita pruebas de los equipos de investigación de ciberseguridad McAfee Labs y Crowdstrike, que han analizado las estrategias utilizadas para desarrollar y difundir la variedad del ransomware de Ryuk, y ha llegado a la conclusión de que es muy probable que la identidad y las motivaciones de sus cerebros hayan sido falseadas hasta ahora. La campaña de Ryuk atrajo notablemente la atención de la opinión pública después de que se dirigiera a los principales grupos de medios de comunicación de los Estados Unidos, Tribune Publishing, durante las Navidades.

Como señala McAfee, Ryuk es un personaje de manga ficticio que difunde notas de muerte letales como una distracción malvada de su propio aburrimiento, una analogía de las notas de rescate que, según se informa, acompañaron a Ryuk una vez que el software de rescate encriptó los discos de las víctimas.

Según se informa, Ryuk se difundió inicialmente a través de un troyano bancario llamado TrickBot, que se ocultó en el correo electrónico no deseado enviado a decenas de miles de víctimas, y los atacantes se graduaron para dirigirse a determinadas empresas más grandes.

La atribución supuestamente errónea a Corea del Norte parece haber sido estimulada por las similitudes de código entre Ryuk y Hermes, un ransomware que fue utilizado anteriormente por actores estatales norcoreanos como una intriga para distraer de un compromiso de la red SWIFT del Far Eastern International Bank (FEIB) en Taiwán.

Sin embargo, como argumentan McAfee, Crowdstrike y otros, es probable que Ryuk sea una versión modificada de Hermes 2.1., que estaba disponible como un kit de malware