據(jù)外媒報(bào)道，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC）發(fā)布了關(guān)于Ryuk勒索軟件攻擊的警報(bào)，該勒索軟件與Emotet和TrickBot惡意軟件共同發(fā)動(dòng)攻擊。

研究人員發(fā)現(xiàn)，Ryuk勒索病毒與Emotet和TrickBot一同出現(xiàn)在不同的組織網(wǎng)絡(luò)中。

Ryuk勒索軟件最初于2018年8月被發(fā)現(xiàn)，它感染并危害不同組織，獲益數(shù)百萬(wàn)美元。Emotet是著名的惡意軟件，被其他木馬病毒用作初期感染的dropper，受害者遍布世界各地。Trickbot是一種銀行惡意軟件，它竊取應(yīng)用程序的登錄憑證。自從被發(fā)現(xiàn)以來(lái)，黑客不斷地向Trickbot中添加新功能。

勒索軟件在其攻擊鏈中使用了TrickBot和Emotet惡意軟件，目標(biāo)是大型組織，以獲取高額贖金。據(jù)稱，勒索軟件由專業(yè)的黑客組織GRIMSPIDER操作。

Ryuk勒索軟件使用Emotet進(jìn)行初始階段的感染，并檢查受害者的機(jī)器是否容易感染。Trickbot隨后部署了額外的開(kāi)發(fā)后工具來(lái)支持操作，其中有Mimikatz和PowerShell Empire模塊。

Post利用模塊收集憑據(jù)、遠(yuǎn)程監(jiān)視工作站，從而感染同一網(wǎng)絡(luò)中的其他系統(tǒng)。感染Emotet的機(jī)器定期檢查來(lái)自命令和控制服務(wù)器(C2)的模塊，這些模塊通常是DLL或EXE，加載在受感染的系統(tǒng)上以擴(kuò)展功能。

所有非執(zhí)行文件在感染過(guò)程結(jié)束時(shí)加密，并顯示勒索軟件提示，要求用比特幣支付贖金。Ryuk病毒是一種持續(xù)性感染病毒。惡意軟件的安裝程序會(huì)停止某些殺毒軟件，并根據(jù)系統(tǒng)安裝相應(yīng)版本的Ryuk。

根據(jù)NCSC的說(shuō)法，Ryuk勒索軟件本身沒(méi)有在網(wǎng)絡(luò)中橫向移動(dòng)的能力，因此依賴于初次感染訪問(wèn)，它可枚舉共享網(wǎng)絡(luò)并加密它可以訪問(wèn)的共享網(wǎng)絡(luò)。此外，勒索軟件使用的反取證技術(shù)，使備份恢復(fù)變得更為困難。