Ryuk勒索攻击,美各大报纸发行受阻

Ryuk勒索攻击,美各大报纸发行受阻

据报道,上周末的一起Ryuk勒索软件网络攻击活动导致美国几家主要报纸的印刷和发货中断。这起事件影响了Tribune Publishing和前Tribune Publishing财产——洛杉矶时报运营的印刷中心。

Tribune Publishing是美国最大的媒体集团之一,拥有几家主要报纸,如Hartford Courant、The Morning Call、The Baltimore Sun、The Virginian-Pilot、Daily Press、Chicago Tribune、Orlando Sentinel、Sun Sentinel、NY Daily News、Tidewater Review、Capital Gazette、Carroll County Times和The Virginia Gazette等。所有Tribune Publishing报纸都在某种程度上受到网络攻击的影响。

Ryuk勒索软件

与常见的勒索软件不同,Ryuk通过大规模垃圾邮件活动和漏洞利用工具包系统分发,专门用于定制攻击。然而实际上,其加密方案是专门为小规模攻击而构建的,因此目标网络中只有关键资产和资源会被感染,其感染和分发由攻击者手动执行。

Ryuk勒索软件菌株于2018年8月引起关注。据当时报道,Ryuk勒索软件已经通过网络攻击赚取了价值64万美元的比特币。该勒索软件通常用于以网络钓鱼方式进行的针对性攻击,但也可以通过不安全的远程桌面连接进行传播。

该勒索软件主要部署在对高价值目标的有针对性的攻击中,希望从无法承受长期瘫痪的公司中获取大量利润。此前的Ryuk勒索软件受害者包括加拿大知名餐饮连锁店Recipe Unlimited。

Ryuk勒索攻击,美各大报纸发行受阻

Ryuk勒索票据

一旦感染了这种病毒,黑客就会给受害公司发送第一份勒索的信件。这封信件颇有点黑色幽默,它会言辞颇善的告诉你们公司的漏洞在哪里,然后告诉你必须在两周之内满足一定的比特币勒索要求,否则被感染的文件将会自动删除。此外,赎金会随着天数增加,直到文件被删除。赎金支付后,黑客将会告知公司的漏洞如何修补。

随后,黑客会给你发第二份勒索信件。信件的内容与第一封大致相同,但是署名一般为Ryuk,并颇为挑衅的写道:“没有一个系统是安全的。”

Ryuk vs Hermes

网络安全公司Check Point的一项分析显示,Ryuk勒索软件的代码与Hermes非常相似——Hermes是朝鲜黑客组织Lazarus适用的一种勒索软件。可以识别文件加密恶意软件的“ID Ransomware”平台还错将Ryuk加密的文件标记为Hermes加密的文件。

Hermes勒索软件于2017年10月首次出现在网络攻击活动中,当时它被用作针对台湾远东国际银行(FEIB)的针对性攻击的一部分。在那次攻击中,研究人员将幕后攻击者认定为朝鲜黑客组织Lazarus。

实际上,如果比较加密单个文件的函数,我们会看到它的结构有很多相似之处,如下面的流程图所示:

Ryuk勒索攻击,美各大报纸发行受阻

Ryuk和Hermes中加密函数的调用流程图

因为研究人员认为使用Ryuk的幕后攻击者要么是Hermes的运营者——Lazarus组织,或者Ryuk的开发者获取了Hermes恶意软件的源代码。

官方回应

遭受加密攻击的洛杉矶时报一开始发表声明称,这是由电脑故障引起的。随后,该出版社又提供了更多详细信息,称由于“恶意软件攻击,该攻击似乎来源于美国之外的地区,使计算机系统陷入瘫痪,导致洛杉矶时报和美国其他报纸在周末延迟交付。”几位匿名消息人士指出,Ryuk勒索软件是造成此次事故的罪魁祸首。

而Tribune Publishing在周六的一份声明中表示,“我们的订阅用户、在线用户和广告客户的个人数据尚未受到损害,”一位公司内部人士表示,受感染计算机上的被加密文件扩展名为“.ryk”。

美国国土安全部(DHS)目前已经了解到这起影响多个新闻媒体的网络攻击事件,但尚未明确这些事件是否与Ryuk勒索软件或其他类型的攻击有关。

妥协指标(IOCs)

哈希值(MD5):

c0202cf6aeab8437c638533d14563d35

d348f536e214a47655af387408b4fca5

958c594909933d4c82e93c22850194aa

86c314bc2dc37ba84f7364acd5108c2b

29340643ca2e6677c19e1d3bf351d654

cb0c1248d3899358a375888bb4e8f3fe

1354ac0d5be0c8d03f4e3aba78d2223e

 

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133788.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code