De beheerders van de Ryuk-ransomware hebben naar schatting meer dan 150 miljoen dollar aan Bitcoin verdiend met losgeldbetalingen na inbraken bij bedrijven over de hele wereld.
In een gezamenlijk rapport dat vandaag is gepubliceerd, zeggen bedreigingsintelbedrijf Advanced Intelligence en cyberbeveiligingsbedrijf HYAS dat ze betalingen hebben getraceerd naar 61 Bitcoin-adressen die eerder zijn toegeschreven en gekoppeld aan Ryuk ransomware-aanvallen.
“Ryuk ontvangt een aanzienlijk bedrag van hun losgeldbetalingen van een bekende makelaar die betalingen doet namens de ransomware-slachtoffers,” aldus de twee bedrijven. “Deze betalingen bedragen soms miljoenen dollars en lopen meestal in het honderdduizendenbereik.”
AdvIntel en HYAS zeggen dat de afgeperste fondsen worden verzameld op holdingrekeningen, worden doorgegeven aan witwasdiensten en vervolgens ofwel terug naar de criminele markt worden gesluisd en worden gebruikt om andere criminele diensten te betalen of worden uitbetaald op echte cryptocurrency-beurzen.
Maar wat de twee bedrijven vreemd vonden, was dat terwijl andere ransomware-groepen doorgaans minder bekende exchanges gebruikten om fondsen uit te cashen, Ryuk Bitcoin omzette in echte fiatvaluta met behulp van accounts op twee zeer gerenommeerde crypto-portals, zoals Binance en Huobi, hoogstwaarschijnlijk met behulp van gestolen identiteiten.
Maar het gezamenlijke rapport van AdvIntel en HYAS van vandaag biedt ook een actueler cijfer met betrekking tot de Ryuk-operaties.
Het laatste cijfer dat we hadden, kwam uit februari 2020, toen FBI-functionarissen spraken op de RSA-beveiligingsconferentie. Op dat moment zei de FBI dat Ryuk veruit de meest winstgevende ransomwarebende was die actief was op het toneel, na meer dan $ 61,26 miljoen te hebben verdiend aan losgeldbetalingen tussen februari 2018 en oktober 2019, op basis van klachten ontvangen door het FBI Internet Crime Complaint Center.
Met het rapport van vandaag en het bedrag van 150 miljoen dollar is het duidelijk dat Ryuk zijn plek aan de top heeft behouden, althans, voor nu.
Over het afgelopen jaar hebben andere ransomware-bendes, zoals REvil, Maze en Egregor, ook naam gemaakt en zijn ze ook zeer actief geweest, waarbij ze honderden bedrijven hebben geïnfecteerd.
Er zijn echter geen rapporten verschenen over het geschatte bedrag dat deze groepen hebben verdiend.
Het laatste dergelijke rapport kwam van beveiligingsbedrijf McAfee in augustus 2020, toen het bedrijf een rapport publiceerde waarin werd geschat dat de Netwalker ransomware-bende tussen maart en augustus 2020 ongeveer $ 25 miljoen aan losgeldbetalingen heeft gedaan.