Известный вымогатель Ryuk, про которого мы уже не раз писали, обновился и теперь использует функцию Wake-on-LAN, чтобы включать устройства в скомпрометированной сети и обеспечивать себе более успешное шифрование.
(WOL; в переводе с англ. — «пробуждение по [сигналу из] локальной сети») — технология, позволяющая удалённо включить компьютер посредством отправки через локальную сеть специальной последовательности байтов — пакета данных (так называемого magic packet — «волшебного пакета»).
Согласно недавнему анализу Ryuk, проведенному главой SentinelLabs Виталием Кремезом, когда малварь выполняется, она порождает подпроцессы с аргументом 8 LAN.
Таким образом Ryuk сканирует ARP-таблицу устройства, которая представляет собой список известных IP-адресов в сети и связанных с ними MAC-адресов, и проверяет, являются ли эти записи частью подсетей «10.», «172.16.» и «192.168».
Если запись ARP является частью любой из этих подсетей, Ryuk отправит пакет Wake-on-LAN на MAC-адрес устройства, чтобы оно включилось и «проснулось», а затем шифрует его. Таким образом операторы шифровальщика добиваются распространения своей малвари на как можно большее количество устройств, что может быть особенно актуально в корпоративных средах.
Что может помочь? Для защиты от этого нововведения администраторами стоит разрешать пакеты Wake-on-LAN только с административных устройств и рабочих станций. Однако это не будет иметь смысла, если злоумышленники скомпрометируют рабочую станцию самого администратора.
В начале 2019 года сразу четыре ИБ-компании – Crowdstrike , FireEye , Kryptos Logic и McAfee – решили одновременно сообщить, что выяснили: вымогательское ПО Ryuk, скорее всего, создали неизвестные русские киберпреступники, а не Lazarus. У зловреда есть список из 40 служебных процессов и 180 приложений, которые шифровальщик вырубает перед началом работы, например антивирусные службы и системы резервного копирования.
В конце 2018 года из-за атак с использованием Ryuk возникли серьезные проблем с печатью и доставкой нескольких крупнейших газет США.
С середины августа 2018 года вирус принес своим создателям около $4 млн. Создателей Ryuk интересуют крупные компании и организации, которые могут предложить большой выкуп, писали в отчетах компании CrowdStrike и FireEye.
А еще Ryuk — это бог смерти из аниме и манги Death Note.
Читайте также на АКБ:
Парализующий шифровальщик заставил больницы США искать помощи хакеров
