Una reciente ola de ataques con ransomware que se estima que han ganado 705.08 Bitcoin (BTC) (USD 2,5 millones) probablemente provenían de ciberdelincuentes rusos, no de actores patrocinados por el Estado norcoreano, como se pensaba inicialmente. El desarrollo fue reportado en el sitio de noticias cripto Hard Fork de The Next Web el 14 de enero.
Hard Fork cita pruebas de los equipos de investigación de ciberseguridad McAfee Labs y Crowdstrike, que han analizado las estrategias utilizadas para desarrollar y difundir la variedad del ransomware de Ryuk, y ha llegado a la conclusión de que es muy probable que la identidad y las motivaciones de sus cerebros hayan sido falseadas hasta ahora. La campaña de Ryuk atrajo notablemente la atención de la opinión pública después de que se dirigiera a los principales grupos de medios de comunicación de los Estados Unidos, Tribune Publishing, durante las Navidades.
Como señala McAfee, Ryuk es un personaje de manga ficticio que difunde notas de muerte letales como una distracción malvada de su propio aburrimiento, una analogía de las notas de rescate que, según se informa, acompañaron a Ryuk una vez que el software de rescate encriptó los discos de las víctimas.
Según se informa, Ryuk se difundió inicialmente a través de un troyano bancario llamado TrickBot, que se ocultó en el correo electrónico no deseado enviado a decenas de miles de víctimas, y los atacantes se graduaron para dirigirse a determinadas empresas más grandes.
La atribución supuestamente errónea a Corea del Norte parece haber sido estimulada por las similitudes de código entre Ryuk y Hermes, un ransomware que fue utilizado anteriormente por actores estatales norcoreanos como una intriga para distraer de un compromiso de la red SWIFT del Far Eastern International Bank (FEIB) en Taiwán.
Sin embargo, como argumentan McAfee, Crowdstrike y otros, es probable que Ryuk sea una versión modificada de Hermes 2.1., que estaba disponible como un kit de malware básico para su venta en foros clandestinos. Se cree que, con una confianza media a alta, es atribuible al grupo de actores de amenazas con sede en Rusia, GRIM SPIDER, en parte porque en los primeros anuncios de Hermes se afirmaba que no funcionaría en los sistemas de lengua rusa, ucraniana o bielorrusa.
En agosto del año pasado, se estima que el atraco a Ryuk le valió a sus arquitectos 705 BTC. En su análisis de los ataques de Ryuk, Crowdstrike ha reportado que más de 52 transacciones a través de 37 direcciones de BTC, GRIM SPIDER ha hecho 705.80 BTC (USD 2.5 millones). La investigación agregó:
"Con la reciente disminución del valor de BTC a USD, es probable que GRIM SPIDER haya ganado más."
Crowdstrike afirma además que GRIM SPIDER es una célula de criminales electrónicos que forma parte del grupo de amenazas WIZARD SPIDER, identificado como el operador con sede en Rusia del malware bancario TrickBot.
En un informe publicado el pasado mes de octubre, la empresa de ciberdelitos Group-IB identificó al supuesto grupo de hackers norcoreano Lazarus como responsable de USD 571 millones del total de USD 882 millones en criptomonedas que fue robado de las bolsas en línea entre 2017 y 18 años.