Шифровальщик Ryuk для верности тыкает палочкой устройства перед заражением

Опубликовано at 18:19
320 0

Известный вымогатель Ryuk, про которого мы уже не раз писали, обновился и теперь использует функцию Wake-on-LAN, чтобы включать устройства в скомпрометированной сети и обеспечивать себе более успешное шифрование.

(WOL; в переводе с англ. — «пробуждение по [сигналу из] локальной сети») — технология, позволяющая удалённо включить компьютер посредством отправки через локальную сеть специальной последовательности байтов — пакета данных (так называемого magic packet — «волшебного пакета»).

Согласно недавнему анализу Ryuk, проведенному главой SentinelLabs Виталием Кремезом, когда малварь выполняется, она порождает подпроцессы с аргументом 8 LAN.

Таким образом Ryuk сканирует ARP-таблицу устройства, которая представляет собой список известных IP-адресов в сети и связанных с ними MAC-адресов, и проверяет, являются ли эти записи частью подсетей «10.», «172.16.» и «192.168».

Если запись ARP является частью любой из этих подсетей, Ryuk отправит пакет Wake-on-LAN на MAC-адрес устройства, чтобы оно включилось и «проснулось», а затем шифрует его. Таким образом операторы шифровальщика добиваются распространения своей малвари на как можно большее количество устройств, что может быть особенно актуально в корпоративных средах.

Что может помочь? Для защиты от этого нововведения администраторами стоит разрешать пакеты Wake-on-LAN только с административных устройств и рабочих станций. Однако это не будет иметь смысла, если злоумышленники скомпрометируют рабочую станцию самого администратора.

В начале 2019 года сразу четыре ИБ-компании – Crowdstrike , FireEye , Kryptos Logic и McAfee – решили одновременно сообщить, что выяснили: вымогательское ПО Ryuk, скорее всего, создали неизвестные русские киберпреступники, а не Lazarus. У зловреда есть список из 40 служебных процессов и 180 приложений, которые шифровальщик вырубает перед началом работы, например антивирусные службы и системы резервного копирования.

В конце 2018 года из-за атак с использованием Ryuk возникли серьезные проблем с печатью и доставкой нескольких крупнейших газет США.

С середины августа 2018 года вирус принес своим создателям около $4 млн. Создателей Ryuk интересуют крупные компании и организации, которые могут предложить большой выкуп, писали в отчетах компании CrowdStrike и FireEye.

А еще Ryuk — это бог смерти из аниме и манги Death Note.

Читайте также на АКБ:

Парализующий шифровальщик заставил больницы США искать помощи хакеров

Подписываемся, следим @CyberAgency

Related Post

Уязвимость в ThreadX угрожает стабильной работе миллиардов электронных устройств

Опубликовано - 21.01.2019 0
Исследователи кибербезопасности из компании Embedi обнаружили уязвимость, эксплуатация которой теоретически может коснуться каждого на Земле. Дыра находится в микропрограмме популярного…

Не пробуй эту текилу, Амиго! «Лаборатория Касперского» описала сложнейший мексиканский малварь

Опубликовано - 22.08.2018 0
Локальные вредоносы обычно остаются малоизвестны за рубежом, если только они изначально не были написаны «на экспорт», как северокорейский «хит» WannaCry.…