همکاری باج‌افزار Ryuk با بات‌نت TrickBot برای دسترسی به شبکه‌های آلوده

بررسی‌های جدید محققان امنیتی نشان می‌دهد که باج‌افزار شناخته شده ریوک «Ryuk» به‌تازگی با استفاده از بات‌نت TrickBot قربانیان خود را مورد هدف قرار می‌دهد. باج‌افزار ریوک به عنوان یک باج‌افزار هدفمند شناخته می‌شود که با توجه به همکاری سازندگان آن با عاملان پشت‌پرده بات‌نت TrickBot، می‌توان پیش‌بینی کرد که در آینده خسارات بیشتری را به‌بار آورد.

باج‌افزار ریوک «Ryuk»، بنا بر سوابق گذشته‌اش به عنوان یک باج‌افزار هدفمند شناخته می‌شود که ابتدا هدف خود را پیدا کرده و از طریق سرویس کنترل از راه دور دسکتاپ یا روش‌های دیگر به آن دسترسی پیدا می‌کند و پس از سرقت اطلاعات، داده‌ها و سرور‌های مهم را برای اخاذی از قربانیان، هدف خود قرار می‌داد.

ریوک با توجه به تاثیر گسترده‌اش روی شبکه‌ها و درآمد حدود ۳.۷ میلیون دلاری، یکی از باج‌افزار‌های شناخته شده در سال‌های اخیر محسوب می‌شود. این باج‌افزار به‌تازگی در یک حمله هدفمند، توزیع روزنامه ناشران بزرگی از جمله وال‌استریت ژورنال، نیویورک تایمز و لس‌آنجلس تایمز را مورد هدف خود قرار داده است. 

در همین رابطه، تحقیقات کارشناسان امنیتی نشان می‌دهد که ممکن است بازیگردانان ریوک بدافزار‌های دیگری را برای دسترسی و ورود به شبکه‌ها اجاره کرده باشند.

طی گزارش‌های منتشر شده توسط شرکت‌های فایرآی و کرود استرایک، محققان توضیح داده‌اند که چگونه TrickBot توسط بازیگران دیگر برای ایجاد دسترسی به شبکه‌های آلوده مورد استفاده قرار می‌گیرد. به گفته محققان به‌طور کلی، پس از اینکه این TrickBot یک کامپیوتر را آلوده می‌کند، می‌تواند دسترسی‌هایی را برای دیگر بازیگردانان مخرب ایجاد کند. به همین دلیل محققان براین باورند که بازیگردانان TrickBot سرویس خود را به تعدادی مجرم سایبری دیگر، مانند بازیگردانان باج‌افزار ریوک اجاره داده‌اند که از آن برای دسترسی به شبکه‌هایی آلوده به این بات‌نت استفاده کنند.

بات‌نت TrickBot معمولا از طریق کمپین‌های هرزنامه‌های مخرب توزیع می‌شود که شامل پیوست‌هایی است که این بات‌نت را روی دستگاه قربانی نصب می‌کند. این هرزنامه‌ها، در پوشش ایمیل‌های مشروع بانکی پنهان شده و با موضوعاتی مانند توصیه‌های پرداختی بانک HSBC، ایمیل‌های حقوق، سندهایی مالی از طرف بانک Lloyds و برنامه پرداخت حقوق Deloitte کاربران را فریب می‌دهند.

 

کمپین هرزنامه مخرب Deloitte 

یکی از کمپین‌های TrickBot که فایرآی موفق به شناسایی آن شده است، ارسال هرزنامه‌های مخرب توسط ریوک است که وانمود می‌کند برنامه پرداخت حقوق Deloitte برای شخص ارسال شده است. این کمپین شامل پیوست‌هایی است که پس از اجرا و فعال شدن ماکرو‌ها، TrickBot را دانلود و آن را روی کامپیوتر قربانی نصب می‌کند. 
پس از نصب TrickBot، دسترسی از راه دور به کامپیوتر آلوده برای بازیگردانان باج‌افزار ریوک ایجاد می‌شود که از این طریق می‌توانند به دستگاه‌های آلوده دسترسی پیدا کنند. در نهایت پس از دسترسی، مهاجمان باج‌افزار ریوک را نصب کرده و فایل‌های موجود در دستگاه قربانی را رمزگذاری می‌کنند.

 

 

توضیحات بیشتر در:

A Nasty Trick: From Credential Theft Malware to Business Disruption
Big Game Hunting with Ryuk: Another Lucrative Targeted Ransomware