KHAN Service

Киберпреступники приобрели на черном рынке вредоносное ПО Hermes, модифицировали его и получили Ryuk.

Создателями вымогательского ПО Ryuk, вероятнее всего, являются русские киберпреступники, жаждущие финансовой выгоды, а не северокорейские спецслужбы, как считалось ранее. Об этом сообщили сразу четыре ИБ-компании – Crowdstrike , FireEye , Kryptos Logic и McAfee .

В конце прошлого года из-за атак с использованием вымогательского ПО Ryuk возникли серьезные проблем с печатью и доставкой нескольких крупнейших газет США. В частности, инцидент затронул издательство Tribune Publishing и принадлежавшую ему ранее газету Los Angeles Times. В результате кибератаки выпуск ряда субботних газет был отложен на сутки.

Несмотря на сообщения в СМИ о северокорейском следе, специалисты Crowdstrike, FireEye, Kryptos Logic и McAfee уверены, что авторами Ryuk являются русские киберпреступники. Похоже, Ryuk был создан группировкой Grim Spider (название по версии Crowdstrike), купившей на одном из хакерских форумов вредоносное ПО Hermes и модифицировавшей его в соответствии со своими нуждами.

СМИ ошибочно приписали кибератаки на Tribune Publishing северокорейским государственным хакерам, поскольку в октябре 2017 года версия Hermes использовалась ими в атаке на тайваньский банк Far Eastern International Bank (FEIB).

По мнению ИБ-экспертов, так же как и Grim Spider, северокорейские хакеры приобрели Hermes на хакерском форуме и использовали его в атаке на банк с целью скрыть хищение средств и замести следы. Никакой связи между финансируемыми государством северокорейскими хакерами и создателями Ryuk нет, уверены исследователи.

Согласно отчету Crowdstrike , Grim Spider является подразделением более крупной киберпреступной организации Wizard Spider, создавшей известный банковский троян TrickBot. По данным Crowdstrike, Kryptos Logic и FireEye, до заражения Ryuk многие пострадавшие компьютеры сначала были инфицированы TrickBot.

__________________
«KHAN Service» [Only registered and activated users can see links. ] / [Only registered and activated users can see links. ] / [Only registered and activated users can see links. ] / [Only registered and activated users can see links. ]

Bes73

Блин, вот как определили что эти киберпреступники именно русские? Они в коде оставили свои фамилии и домашние адреса? Или производят вывод средств а русские банки? Это кстати совсем никак не характеризует что они русские. Как определилил этническую принадлежность? Мне просто интересно, хоть кто-то задумывается о таких простых вещах читая подобную желтуху? Современный серьезный киберпреступник глобален и практически не имеет этнической принадлежности. В многих группах одновременно работают люди из на столько разных этнических групп что говорить о принадлежности группы к русским, китайцам, канадцам, вьетнамцам или американцам просто невозможно.

__________________
Никого не волнует что рубль лежащий в Вашем кармане ворованный, если невозможно доказать что его украли именно Вы.

[Only registered and activated users can see links. ]

[Only registered and activated users can see links. ]

marti1n

Bes73
да такие формулировки радуют
просто русские зло, и все
без доказательств
задолбали

Bes73

Не хочу переводить данный разговор в политическую плоскость. И не хочу чтобы это делали другие. ДМ не политический форум. Моё сообщение просто демонстрация абсурдности заявленного. Все разумные люди сделают свой вывод и если захотят, обсудят эту тему где-то в другом месте. В данном конкретном случае обсуждение политики нельзя оправдать вопросами обсуждения экономики.

__________________
Никого не волнует что рубль лежащий в Вашем кармане ворованный, если невозможно доказать что его украли именно Вы.

[Only registered and activated users can see links. ]

[Only registered and activated users can see links. ]

marti1n

вот почему русские:
[Only registered and activated users can see links. ]
[Only registered and activated users can see links. ]

!!! files dlya raboty !!!.rar, ))))

nonameshum

"Also, during forensic investigation of a network compromised by GRIM SPIDER, CrowdStrike Services recovered artifacts with filenames in Russian. One file was named !!! files dlya raboty !!!.rar, which translates to “files for work.” Based on these factors, there is considerably more evidence supporting the hypothesis that the GRIM SPIDER threat actors are Russian speakers and not North Korean." [Only registered and activated users can see links. ]

tfs

Crowdstrike, FireEye, Kryptos Logic и McAfee просто так писать ***ню не будут.

Bes73, учись уважать мнение специалистов из компаний до которых тебе как до другой галактики

__________________
всем новым клиентам просьба стучать на [Only registered and activated users can see links. ]
моя запасная жаба - [Only registered and activated users can see links. ]
для незарегистрированных: tfs @ tfs точка today

[Only registered and activated users can see links. ]

Тренер

Серьёзный пруф )). Т.е. если бы файл назывался forwork.rar тогда были бы 100% американские хакеры. А так да, онли рашен.
Они сейчас определяют принадлежность по нескольким признакам. При чём не в совокупности, а при наличии хотя бы одного.
1. ip рф. Хоть где-нибудь в цепочке если встретится, то уже доказательство.
2. Хостинг и сервера в РФ. Это сразу верняк пруф участия не просто русских хакеров, а сразу работающих на правительство.
3. Комментарии к коду на русском.
4. Названия файлов на русском.
Как легко оказывается любому забугорному хакеру перевести стрелки на рф. Просто вставь коммент «ya lublu vodka. La la la medved garmoshka» в код и пздц.

burevestnik

Как аккуратно об этом написано:
"Большинство доказательств подтверждают гипотезу о том, что киберпреступники - русскоговорящие"

Тренер

Просто ранее модное выражение "highly likely" уже стало чуть ли не нарицательным. Приходится менять формулировки оставляя тот же смысл.