セキュリティ会社「マカフィー」と「CrowdStrike」はRyukというランサムウエア(身代金請求型)は当初北朝鮮製と言われていたがロシア製と断定した。
CrowdStrikeのAdam Meyers氏によると、昨年秋ごろから米国の企業を中心に攻撃しRyukを侵入させた。
10月米ノースカロライナ州の水道局がこのランサムウエアによりサーバーデータをロックされたが身代金要求には応じなかったという。さらに12月米国新聞社がやはり社内サーバーデータがロックされ新聞の印刷が出来なかったなど、さらにRyukは広がっている。
Ryukは銀行システム「SWIFT」をターゲットとしているHermesと呼ばれるランサムウエアの派生版とされていたので、このHermesは北朝鮮のハッカーグループLazarus Groupによるものと考えられている。
また、このHermesのソースコードは地下フォーラムで販売もされ、そういった経緯からRyukランサムウエアは北朝鮮製と思われたが、実際にはロシアハッカーグループGrim Spiderとよばれるグループのみが使用し、これらのファイルはモスクワのIPアドレスからアップロードされていたようだ。
ちなみに、Grim SpiderはRyukランサムウエアによる身代金はビットコインで要求し、総額705BTC(2億8200万円:40万/BTCとして)を手にしたとしていわれている。
ここの所BTCが上がると、しばしば売りに出てくるのはこれらのハッカーグループによるものだろうか?
