Ένα  νέο malware, που φαίνεται ότι σχετίζεται με το ransomware Ryuk, το οποίο σκανάρει πληροφοριακά συστήματα για να κλέψει ευαίσθητες προσωπικές και στρατιωτικές πληροφορίες και στη συνέχεια τα μεταφορτώνει σε μια τοποθεσία FTP, έκανε την εμφάνιση του.

Παρόλο που εμφανίζει αρκετές ομοιότητες με το Ryuk, μια βασική διαφορά μεταξύ τους, είναι ότι  ενώ το Ryuk κρυπτογραφεί μόνο αρχεία, αυτό το νέο κακόβουλο λογισμικό κλέβει τα αρχεία φορτώνοντάς τα σε έναν ιστότοπο που ελέγχετε από τους εισβολείς.

Το νέο κακόβουλο πρόγραμμα, ενεργοποιεί μια σάρωση όλων των αρχείων που είναι διαθέσιμα στο μηχάνημα που μολύνει. Αναζητά αρχεία με επεκτάσεις .doc ή .xlsx για να τα κλέψει.

Το malware παραβλέπει αρχεία και φακέλους όπως Microsoft και Intel κατά τη σάρωση, ενώ παρακάμπτει επίσης αρχεία με την επέκταση .ryk. Όταν εντοπιστεί ένα αρχείο με επέκταση .doc ή .xlsx, το κακόβουλο λογισμικό πρώτα επικυρώνει το αρχείο, ελέγχοντας αν περιέχει κάποιο έγγραφο ή φύλλο εργασίας με λέξεις.

Τα ονόματα των έγκυρων αρχείων συγκρίνονται με μία λίστα με λέξεις κλειδιά του κακόβουλου λογισμικού, που περιλαμβάνει λέξεις όπως «στρατιωτικό», «μυστικό» και «κρυφό». Αυτό δείχνει ότι το κακόβουλο λογισμικό στοχεύει ειδικά σε εμπιστευτικά δεδομένα. Ελέγχει επίσης για ορισμένα ονόματα, τα οποία πιστεύεται ότι προέρχονται από τον κατάλογο της Υπηρεσίας Κοινωνικών Ασφαλίσεων των ΗΠΑ, που περιέχει τα πιο δημοφιλή ονόματα.

Οι ερευνητές ασφαλείας εξακολουθούν να αναζητούν δείγματα, για να αναλύσουν τον τρόπο με τον οποίο οι hacker μολύνουν και εξαπολύουν μια επίθεση.

Παρόλο που φαίνεται ότι αυτό το malware σχετίζεται με το διαβόητο ransomware Ryuk, δεν είναι σαφές εάν η ομάδα πίσω από το Ryuk είναι υπεύθυνη για αυτό το κακόβουλο λογισμικό ή εάν μια άλλη ομάδα έχει αποκτήσει πρόσβαση στον κώδικα και τον έχει τροποποιήσει.

Share