Mới đây, các nhà nghiên cứu bảo mật đã phát hiện ra một ransomware mới có cách thức hoạt động khác với các phần mềm mã độc tống tiền khác.
CrowdStrike và FireEye, hai công ty bảo mật đã phát hiện ra phần mềm độc hại này cho biết, kể từ tháng 8/2018, nó đã kiếm được hơn 4 triệu USD bằng hình thức mã hóa dữ liệu và tống tiền.
Ransomware Ryuk chỉ lây nhiễm đối với các doanh nghiệp lớn.
Các ransomware khác thường lây lan tới tất cả các nạn nhân nếu có thể, nhưng ransomware mới này lại khác, nó lây nhiễm một cách có chọn lọc. Cụ thể, ransomware Ryuk chỉ lây nhiễm đối với các doanh nghiệp lớn, dựa trên một lỗ hổng bảo mật được tạo ra do một phần mềm mã độc khác có tên là Trickbot tạo ra trước đó. Trong khi đó, Ryuk lại không tấn công các công ty nhỏ cũng bị lây nhiễm Trickbot.
CrowdStrike gọi cách thức tấn công của Ryuk là “big-game hunting”, mục tiêu tấn công là những công ty và doanh nghiệp lớn.
Dựa trên Trickbot, Ryuk sẽ thăm dò hệ thống của đối tượng cần tấn công để tìm hiểu nguồn lực và khả năng chi trả một khoản tiền chuộc khổng lồ của họ. Để các công ty này không kịp trở tay, phần mềm mã độc này sẽ không vội tấn công ngay mà sẽ tiến hành do thám hệ thống quan trọng nhất, rồi cuối cùng mới thực hiện một cuộc tấn công quy mô lớn.
Hiện tại, các chuyên gia của CrowdStrike và FireEye đã phát hiện thấy một số bằng chứng cho thấy Ryuk có một vài mối liên hệ với Nga.