بیمارستان‌ها، قربانیان جدید بدافزار Ryuk

به گزارش کارگروه حملات سایبری سایبربان؛ به‌تازگی افرادی ناشناس با استفاده از بدافزار ریوک (Ryuk) اقدام به حملات سایبری علیه بیمارستان‌ها کرده‌اند. 

نشریه بلیپینگ کامپیوتر در این خصوص با اپراتورهای مشهورترین رمزنگارها همچون Maze ،DoppelPaymer ،Ryuk ،Sodinokibi ،PwndLocker و Ako ارتباط برقرار کرده و اطلاعاتی در خصوص حملات سایبری آن‌ها درحالی‌که کشورهای دنیا با آمار فزاینده شیوع کرونا مواجه هستند، کسب کرده است. 

اپراتورهای DoppelPaymer و Maze اعلام کرده‌اند حملات خود علیه بیمارستان‌ها را متوقف کرده‌اند. محققان پاسخی از سوی اپراتورهای ریوک دریافت نکرده‌اند و اما یکی از کارشناسان شرکت سوفوس (Sophos) در توئیتی نوشته است که یکی از مراکز ارائه‌دهنده خدمات پزشکی و پرستاری در آمریکا هدف حملات ریوک قرارگرفته است. 

کارشناسان شرکت «SentinelOne» نیز گفته‌اند طی یک ماه گذشته 9 بیمارستان در ایالات‌متحده آمریکا هدف حملات این بدافزار قرارگرفته است. 

پیشتر یکی از شرکت‌های برتر فهرست فورچون و شرکت ارائه‌دهنده خدمات مهندسی و صنعتی به نام امکور گروپ (EMCOR Group) هدف حملات بدافزار ریوک (Ryuk) قرارگرفته بود. 

طبق بیانیه رسمی شرکت امکور، این حمله در تاریخ 15 فوریه 2020 رخ‌داد و درنتیجه آن برخی از سیستم‌های کامپیوتری تحت تأثیر قرارگرفت و اما خوشبختانه اطلاعات کارکنان و مشتریان شرکت سرقت نشد. 

بدافزار ریوک در ماه سپتامبر 2019 شناسایی‌شده و امکان سرقت داده‌های محرمانه نظامی، دولتی و بانکی را به هکرها می‌دهد. 

این بدافزار با مقایسه کلمات کلیدی در نام فایل‌ها اقدام به سرقت محتوا می‌کند. ریوک کلمات خاصی را در نام فایل‌های دولتی و نظامی جستجو می‌کند و اگر شباهتی پیدا شود، محتوا را سرقت می‌کند. 

در برخی نسخه‌های ریوک تنها فایل‌هایی با پسوند «docx» و «xlsx» که به ترتیب برای ورد و اکسل هستند اسکن می‌شوند و اخیراً نیز 7 پسوند جدید به آن اضافه‌شده است که امکان جستجوی فایل‌های «PDF»، تصاویر «JPG» و کیف پول‌های ارزهای دیجیتال را فراهم می‌سازد.