專門鎖定大型企業的Ryuk勒索軟體5個月就替駭客賺進370萬美元

資安業者CrowdStrike及McAfee相繼揭露了一新興的勒索軟體Ryuk，指稱Ryuk是基於2017年應用於台灣遠東銀行攻擊行動的Hermes勒索軟體改造而成，且Ryuk主要鎖定大型企業，從去年8月現身之後，5個月以來便成功勒索了705.8個比特幣，價值約370萬美元。

駭客在2017年入侵台灣的遠東銀行，企圖盜轉6,000萬美元，遠銀追回了大部份的失款，估計整體損失約為50萬美元，根據資安業者的分析，駭客是先透過魚叉式網釣攻擊誘使遠銀員工開啟了含有後門的電子郵件附件，在受害者造訪惡意網站時再植入其它惡意檔案，以取得員工憑證。

而Hermes即是駭客植入受害者電腦的惡意程式之一，McAfee認為，Hermes在遠銀被駭事件中所扮演的主要角色為分散遠銀的注意力。

現身於2017年2月的Hermes是款商業勒索程式，資安社群相信它是由北韓所打造，並於駭客論壇上以300美元的價格出售，意謂著任何人都能購買該惡意程式，而最新的Ryuk也是基於Hermes改造而成，並在去年8月中現身於公開的惡意程式儲存庫中。

CrowdStrike指出，Ryuk勒索軟體專為大型企業環境量身打造，因而變更了某些Hermes所具備的功能，例如它所使用的反復原（anti-recovery）命令比其它的勒索軟體家族更為廣泛，代表駭客非常熟悉大型企業所使用的備份軟體。

Ryuk是透過TrickBot或Emotet等金融木馬來散布，CrowdStrike相信其背後的駭客集團為俄羅斯的Wizard Spider。在Ryuk加密了企業電腦上的檔案之後，它會要求從1.7個比特幣到99個比特幣不等的贖金，CrowdStrike觀察駭客在37個比特幣錢包的52個轉帳紀錄，顯示駭客從去年8月中迄今，總計收割了705.8個比特幣，在短短的5個月之間就賺進了370萬美元。

資安業者也警告大型企業應提高警覺，部署有效的安全機制，改善員工的資安意識，以及備份重要的企業文件及檔案，以免遭到駭客的毒手。