Спецпроекты

Безопасность Бизнес ИТ в банках ИТ в госсекторе Маркет

Самый успешный ИТ-вымогатель 2019 года начал шпионить за военными и госслужащими

Только что обнаруженная версия троянца Ryuk, специализирующегося на выводе данных, целенаправленно ищет информацию, связанную с военной отраслью и государственным, банковским и финансовым секторами.

Новая специфика Ryuk

Эксперты по безопасности компании Malware Hunter Team выявили новую разновидность троянца Ryuk, адаптированную под хищение особо конфиденциальных и секретных данных из правительственных, военных и финансовых сетей.

Новый вредонос снабжен функциями анализа содержимого файлов на предмет определенного набора ключевых слов. Если такие слова находятся, файл перенаправляется операторам вредоносной программы. В первую очередь, эта версия Ryuk ищет на зараженном компьютере файлы Word (.docx, .doc) и Excel (.xlsx, .xls). Но кроме них вредонос интересуется файлами, содержащими исходный код на C++ (.cpp, .h), PDF, JPG, и криптовалютными кошельками.

Вредонос анализирует файлы с этими расширениями на предмет наличия в них ключевых слов из обширного списка: personal, securityN-CSR10-SBEDGAR, spy, radar, agent, newswire, marketwired, 10-Q, fraud, hack, defence, treason, censored, bribery, contraband, operation, attack, military, tank, convict, scheme, tactical, Engeneering, explosive, drug, traitor, suspect, cyber, document, embeddedspy, radio, submarine, restricted, secret, balance, statement, checking, saving, routing, finance, agreement, SWIFT, IBAN, license, Compilation, report, secret, confident, hidden, clandestine, illegal, compromate, privacy, private, contract, concealed, backdoorundercover, clandestine, investigation, federal, bureau, government, security, unclassified, seed, personal, confident, mail, letter, passport, victim, court, NATO, Nato, scans, Emma, Liam, Olivia, Noah, William, Isabella, James, Sophia, Logan, Clearance.

Все эти слова явственно свидетельствуют о том, что операторов вредоноса интересует весьма специфичная информация, имеющая отношение к государственному, военному или банковскому и финансовому секторам (например, к двум последним относятся такие слова как SWIFT, IBAN, N-CSR, 10-SB, EDGAR, 10-Q и некоторые другие).

haker600.jpg
Новую версию вредоноса Ryuk превратили в серьезного шпиона

Что же касается набора личных имен в конце списка, то Эмма, Лайам, Оливия, Ноа, Уильям, Изабелла, Джеймс, София и Логан — это наиболее популярные сегодня имена для новорожденных по версии Департамента социальной защиты США.

Еще 55 ключевых слов вредонос ищет в названии самих файлов: security, N-CSR, 10-SB, EDGAR, spy, radar, censored, agent, newswire, marketwired, 10-Q, fraud, hack, NATO, Nato, convictMilitary, military, submarine, Submarinesecret, Secret, scheme, tactical, Engeneering, explosive, drug, traitor, embeddedspy, radio, suspect, cyber, document, treasonrestricted, private, confident, important, pass, victim, court, hidden, bribery, contraband, operation, undercover, clandestine, investigation, federal, bureau, government, security, unclassified, concealed, newswire, marketwired, Clearance.

Как легко заметить, эти два списка по большей части пересекаются.

Напомним, Ryuk появился более года назад. Обычно для его распространения используется бэкдор, который попадает на устройства частных и корпоративных пользователей именно через фишинговые письма с вредоносными вложениями под видом финансовых документов. По итогам ушедшего 2019 г. «Лаборатория Касперского» назвала его одним из трех самых активных шифровальщиков в мире, упомянув в отчете на первом месте.

В случае вашего провала мы будем все отрицать

Если файлы удовлетворяют критериям поиска, вредонос загружает их на удаленные FTP-серверы, находящиеся под контролем злоумышленников. В коде вредоноса содержатся два адреса таких серверов, но на данный момент ни один из них не отвечает.

Эксперты по безопасности не уверены, что новая шпионская версия Ryuk была написана основными разработчиками троянца. По мнению Виталия Кремеца из SentinelLabs, более вероятно, что некая третья сторона, имевшая доступ к ранним версиям кода троянца, задействовала его часть для своих нужд.

«План операторов вредоносной программы — искать файлы с конкретными ключевыми словами — выглядит грубовато, но вполне может сработать, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SECConsultServices. — Очевидно, злоумышленники рассчитывают на то, что интересующие их данные будут храниться без паролей и шифрования, или что защиту можно будет обойти. В принципе, это уже довольно тревожный звонок для тех, кто работает с релевантной информацией: прочие версии Ryuk показывали весьма высокую эффективность».

Роман Георгиев

Короткая ссылка