Шифровальщик Ryuk для верности тыкает палочкой устройства перед заражением

Опубликовано at 18:19
377 0

Известный вымогатель Ryuk, про которого мы уже не раз писали, обновился и теперь использует функцию Wake-on-LAN, чтобы включать устройства в скомпрометированной сети и обеспечивать себе более успешное шифрование.

(WOL; в переводе с англ. — «пробуждение по [сигналу из] локальной сети») — технология, позволяющая удалённо включить компьютер посредством отправки через локальную сеть специальной последовательности байтов — пакета данных (так называемого magic packet — «волшебного пакета»).

Согласно недавнему анализу Ryuk, проведенному главой SentinelLabs Виталием Кремезом, когда малварь выполняется, она порождает подпроцессы с аргументом 8 LAN.

Таким образом Ryuk сканирует ARP-таблицу устройства, которая представляет собой список известных IP-адресов в сети и связанных с ними MAC-адресов, и проверяет, являются ли эти записи частью подсетей «10.», «172.16.» и «192.168».

Если запись ARP является частью любой из этих подсетей, Ryuk отправит пакет Wake-on-LAN на MAC-адрес устройства, чтобы оно включилось и «проснулось», а затем шифрует его. Таким образом операторы шифровальщика добиваются распространения своей малвари на как можно большее количество устройств, что может быть особенно актуально в корпоративных средах.

Что может помочь? Для защиты от этого нововведения администраторами стоит разрешать пакеты Wake-on-LAN только с административных устройств и рабочих станций. Однако это не будет иметь смысла, если злоумышленники скомпрометируют рабочую станцию самого администратора.

В начале 2019 года сразу четыре ИБ-компании – Crowdstrike , FireEye , Kryptos Logic и McAfee – решили одновременно сообщить, что выяснили: вымогательское ПО Ryuk, скорее всего, создали неизвестные русские киберпреступники, а не Lazarus. У зловреда есть список из 40 служебных процессов и 180 приложений, которые шифровальщик вырубает перед началом работы, например антивирусные службы и системы резервного копирования.

В конце 2018 года из-за атак с использованием Ryuk возникли серьезные проблем с печатью и доставкой нескольких крупнейших газет США.

С середины августа 2018 года вирус принес своим создателям около $4 млн. Создателей Ryuk интересуют крупные компании и организации, которые могут предложить большой выкуп, писали в отчетах компании CrowdStrike и FireEye.

А еще Ryuk — это бог смерти из аниме и манги Death Note.

Читайте также на АКБ:

Парализующий шифровальщик заставил больницы США искать помощи хакеров

Подписываемся, следим @CyberAgency

Related Post

Кто переменчив — того не взломать: В США разработали сверхновый передатчик частот для умных устройств

Опубликовано - 09.06.2018 0
Сотрудники Массачусетского технологического института (MIT) разработали передатчик, который способен мгновенно перестраивать частоту передачи. Тем самым решается одна из ключевых проблем…

Как Евросоюз собирается бороться с российскими хакерами

Опубликовано - 19.01.2018 0
Европарламент опубликовал документ об укреплении кибербезопасности на территории Евросоюза. Как сообщают СМИ, ЕС пытается ограничить доступ так называемым «прокремлевским игрокам»,…