12月29号，美国多家报社的报纸印刷和发货中断。

其中根据内部透露后，可得知这多家报社都遭受了Ryuk勒索软件的攻击。

下图为勒索信息

Ryuk勒索名称来源于死亡笔记中的死神

为什么说错综复杂呢？

因为这个勒索软件事件，让几大国外安全厂商纷纷惊动，并写起了各种版本的溯源分析报告。

主要在于，有文章表示将Ryuk勒索事件归因于朝鲜Lazarus，而事实上并不是，只是代码相似罢了。

目前已经确认的是，这类Ryuk勒索事件实为黑客组织GRIM SPIDER所为，攻击活动名命名为TEMP.MixMaster，而攻击者目前来看是俄罗斯的可能性较大。

这起事件简直是教科书教学，在只有代码相似的时候，如果不具备其他维度的关联证据，请说疑似，不然打脸会很疼。

具体如下：

一开始的锅是从这里来的。

在2018年8月20日，checkpoint发表了一篇ryuk勒索软件的文章，里面提到了ryuk勒索也许属于朝鲜的言论。

https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/

但是，这个叙述是由Ryuk和Hermes之间的代码相似性而驱动的，Hermes是一种被APT38使用过的勒索软件。然而，这些代码的相似之处不足以得出朝鲜是使用Ryuk进行攻击的结论，因为Hermes勒索软件包也曾在地下社区同时出售。

黑客论坛  Exploit.in

而在crowdstrike分析报告中提到了该勒索的归属，其实为GRIM SPIDER，一个复杂的网络犯罪集团，自2018年8月以来一直在运营Ryuk勒索软件，目标是通过定向勒索大型组织并获得高额赎金。

这中定向勒索的玩法之前公众号文章也提到过

犯罪集团INDRIK SPIDER:使用APT+勒索手段针对大型企业实行天价敲诈

GRIM SPIDER 疑似为WIZARD SPIDER犯罪型企业的所属小组，而WIZARD SPIDER过去曾被认为是TrickBot银行恶意软件的俄罗斯运营商。

CrowdStrike的Adam Meyers表示，“网络犯罪分子似乎通过一种名为Trickbot的犯罪工具感染了Ryuk的受害者。

kryptos的观点则为，首先系统是感染了Emotet。

从下图可以很直观的表明Ryuk勒索的分发途径。

Emotet -> TrickBot -> Ryuk

emotet下发到感染Ryuk勒索的时间线

值得一提的是Ryuk勒索勒索在圣诞节前夕还搞过别家企业

剩下的分析部分在下方随便挑份报告看。

本起事件链接整理，这些文章只要一更新都会出现在知识星球(关注并进入公众号主页下拉栏)里

现在送给大伙一个集合，有兴趣的可以看看，没兴趣就留着以后溯源用呗。

疑似朝鲜APT组织投放ryuk勒索

https://blog.kryptoslogic.com/malware/2019/01/10/dprk-emotet.html

黑客组织GRIM SPIDER开发的Ryuk勒索软件分析

https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/

McAfee 对 Ryuk 勒索软件的技术分析，分析认为该攻击并不一定由国家支持而更像一场网络犯罪活动

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/ryuk-ransomware-attack-rush-to-attribution-misses-the-point/

攻击活动TEMP.MixMaster，涉及分发TrickBot和Ryuk

https://www.fireeye.com/blog/threat-research/2019/01/a-nasty-trick-from-credential-theft-malware-to-business-disruption.html

Ryuk勒索软件的另一起攻击事件分析

https://blog.ensilo.com/ryuk-ransomware