Uma recente onda de ataques de ransomware, que estima-se ter rendido 705,08 Bitcoin (BTC) (US $ 2,5 milhões) aos hackers, provavelmente veio de criminosos cibernéticos russos, e não de atacantes patrocinados pelo Estado norte-coreano, como se pensava inicialmente. O desdobramento foi divulgado no site de notícias Hard Fork, da The Next Web, em 14 de janeiro.

A Hard Fork cita evidências das equipes de pesquisa de segurança cibernética McAfee Labs e Crowdstrike, que analisaram as estratégias usadas no desenvolvimento e disseminação do ransomware Ryuk e concluíram que a identidade e as motivações de seus mentores provavelmente até agora foram reportadas incorretamente. A campanha o Ryuk atriu notavelmente a atenção geral após o espaço dado no importante grupo de mídia dos EUA Tribune Publishing durante o Natal.

Como observa a McAfee, Ryuk é um personagem fictício de mangá que espalha bilhetes da morte como uma distração para seu próprio tédio - uma analogia para os bilhetes de resgate que firam relatadas como acompanhantes de Ryuk quando o ransomware criptografava as unidades das vítimas.

Segundo relatos, o Ryuk inicialmente era disseminado por meio de um Trojan bancário chamado TrickBot, que era escondido em um spam de e-mail enviado para dezenas de milhares de vítimas e os agressores relataram que se informaram para selecionar empresas maiores.

A alegada atribuição equivocada à Coreia do Norte parece ter sido estimulada por similaridades de código entre Ryuk e Hermes - um ransomware que foi supostamente usado por atores estatais norte-coreanos como uma intriga para distrair de um comprometimento da rede SWIFT do Far Eastern International Bank (FEIB) de Taiwan.

No entanto, como McAfee, Crowdstrike e outros argumentam, Ryuk é provavelmente uma versão modificada do Hermes 2.1., Que estava disponível como um kit de malware de commodity para venda em fóruns clandestinos. Acredita-se - com certeza de média a alta - a ser atribuída ao grupo de ameaças da Rússia chamado GRIM SPIDER, em parte porque os primeiros anúncios do Hermes afirmaram que não funcionariam em sistemas de língua russa, ucraniana ou bielorrussa.

A partir de agosto do ano passado, estima-se que os roubos do Ryuk tenham rendido a seus arquitetos 705 BTC. Em sua análise dos ataques Ryuk, a Crowdstrike informou que mais de 52 transações em 37 endereços BTC, a GRIM SPIDER faturou 705, 80 BTC (US $ 2,5 milhões). A pesquisa acrescentou:

"Com o recente declínio no valor de BTC para USD, é provável que a GRIM SPIDER tenha conseguido mais."

A Crowdstrike afirma ainda que a GRIM SPIDER é uma célula de criminosos eletrônicos que faz parte do grupo de ameaças maior chamado WIZARD SPIDER, identificado como o operador do malware bancário TrickBot baseado na Rússia.

Em um relatório publicado em outubro passado, a empresa de cibercrime Group-IB identificou o grupo de hackers patrocinado pelo Estado norte-coreano Lazarus como responsável por US $ 571 milhões do total de US $ 882 milhões em criptomiedas que foram roubadas de exchanges on-line de 2017 a 2018.