O “empreendimento” criminoso de ransomware Ryuk já rendeu mais de US$ 150 milhões, segundo estimativas de pesquisadores de segurança. Descoberto inicialmente em 2018 e tido como sendo operado por cibercriminosos russos, o Ryuk se tornou uma das famílias de malware mais predominantes, sendo usado em vários ataques de alto perfil, como o direcionamento ao University Health Services (UHS), da Pensilvânia, e da rede de hospitais DCH Health System, do Alabama.
Acredita-se que o Ryuk seja operado pelos mesmos cibercriminosos que atuam com a botnet TrickBot, que em outubro do ano passado resistiu a uma tentativa de derrubada. Naquele mesmo mês, relatório do Digital Forensics and Incident Response (DFIR) traz uma análise abrangente de um ataque do Ryuk, explicando como os operadores usaram e-mails de phishing como o vetor de ataque inicial, realizaram amplo reconhecimento na rede local e, em seguida, começaram a implantar e executar o ransomware. Os hackers implantaram o Ryuk 29 horas após o acordo inicial e exigiram o pagamento de resgate de aproximadamente US$ 6 milhões.
Veja isso
Ransomware Ryuk é a principal ameaça para o setor de saúde
Ryuk usa Wake-on-Lan para criptografar dispositivos offline
Muitos dos pagamentos que os operadores de Ryuk recebem (principalmente por meio de um corretor) somam milhões de dólares, mas a maioria deles está na faixa de centenas de milhares. Ir atrás de vítimas importantes parece ter permitido aos operadores do Ryuk construir um “empreendimento” altamente lucrativo, que pode ter gerado mais de US$ 150 milhões de receita nos últimos dois anos e meio. A estimativa é Brian Carter, pesquisador principal da HYAS, e Vitali Kremez, CEO e presidente da Advanced Intelligence, depois de terem examinado transações em bitcoin em endereços conhecidos associados ao Ryuk. Carter e Kremez conseguiram rastrear 61 endereços de depósito associados ao ransomware e descobriram que a maioria dos fundos foi enviada para bolsas por meio de intermediários, para saque.
Os cibercriminosos parecem estar usando principalmente as criptomoedas asiáticas Huobi e Binance, embora ambas exijam documentos para a troca de criptomoedas por moeda fiduciária e afirmem estar dispostos a cooperar com as autoridades. Além disso, os operadores do Ryuk estão enviando “fluxos significativos de criptomoeda” para vários endereços pequenos que se acredita serem “um serviço do crime que troca a criptomoeda por moeda local ou outra moeda digital”.
“Volumes significativos de bitcoin são transferidos do serviço de lavagem para Binance, Huobi e mercados de crime que identificamos por meio de pagamentos rastreados”, afirmam os dois pesquisadores.
