Ryuk Ransomware agora se espalha automaticamente para outros dispositivos Windows LAN

Uma nova variante do ransomware Ryuk com funcionalidade semelhante a um worm que permite que ele se espalhe para outros dispositivos nas redes locais das vítimas foi descoberta pela agência nacional de segurança cibernética francesa durante uma investigação sobre um ataque no início de 2021.

"Ao usar tarefas agendadas, o malware se espalha, de uma máquina para outra, dentro do domínio do Windows", disse ANSSI (abreviação de Agence Nationale de la Scurit des Systmes d'Information) em um relatório divulgado hoje.

"Uma vez iniciado, ele se espalhará para todas as máquinas acessíveis onde o Windows RPC pode ser alcançado."

índice

  1. Replicar automaticamente para outros dispositivos de rede
  2. A gangue do ransomware Ryuk

Replicar automaticamente para outros dispositivos de rede

Para se propagar pela rede local, a nova variante Ryuk enumera todos os endereços IP no cache ARP local e envia o que parecem ser pacotes Wake-on-LAN (WOL) para cada dispositivo detectado. Em seguida, ele monta todos os compartilhamentos encontrados para cada dispositivo para que possa criptografar o conteúdo.

A capacidade de Ryuk de montar e criptografar unidades de computador remotas foi observada anteriormente pelo CEO da Advanced Intelligence, Vitali Kremez, no ano passado.

O que diferencia esse novo campeão do Ryuk é sua capacidade de se copiar para outros dispositivos Windows nas redes locais das vítimas.

Além disso, ele pode se executar remotamente usando tarefas agendadas criadas em cada host de rede comprometido posteriormente com a ajuda de servidores legítimos. schtasks.exe ferramenta do Windows.

A variante Ryuk discutida neste artigo tem recursos de autorreplicação. A propagação é realizada copiando o executável para compartilhamentos de rede identificados. Esta etapa é seguida pela criação de uma tarefa agendada na máquina remota. [..] Alguns nomes de arquivos foram identificados para esta cópia: rep.exe e lan.exe. -ANSSI

Exemplo de uma atividade agendada ( BleepingComputer )

Embora não use um mecanismo de exclusão que o impeça de criptografar novamente os dispositivos, o ANSSI diz que a nova variante ainda pode ser impedida de infectar outros hosts na rede alterando a senha da conta de domínio privilegiada que ela usa para se espalhar. para outros hospedeiros.

"Uma maneira de lidar com o problema seria alterar a senha ou desabilitar a conta do usuário (dependendo da conta usada) e depois fazer uma dupla alteração da senha do domínio KRBTGT", disse o ANSSI.

"Isso induziria muitas interrupções no domínio e provavelmente exigiria muitas reinicializações, mas também conteria a disseminação imediatamente. Outras abordagens para conter a disseminação também podem ser consideradas, principalmente visando o ambiente de execução de malware".

Os Indicadores de Compromisso (IOC) associados a esta nova variante Ryuk podem ser encontrados aqui.

A gangue do ransomware Ryuk

Ryuk é um grupo de ransomware como serviço (RaaS) descoberto pela primeira vez em agosto de 2018 que deixou uma longa lista de vítimas.

As gangues RaaS são conhecidas por executar programas de afiliados privados nos quais os afiliados podem enviar inscrições e retomar a inscrição de associação.

Ryuk lidera a lista de RaaS, com suas cargas descobertas em aproximadamente um em cada três ataques de ransomware no ano passado.

O grupo fornece cargas úteis como parte de ataques em vários estágios usando vetores de infecção Emotet, BazarLoader ou TrickBot para acesso rápido às suas redes de destino.

Os afiliados da Ryuk estão por trás de uma onda maciça de ataques ao sistema de saúde dos EUA desde novembro de 2020 e geralmente exigem grandes resgates, tendo coletado US$ 34 milhões de uma única vítima no ano passado.

Depois de seguir o circuito monetário das vítimas do ransomware Ryuk, pesquisadores de segurança das empresas de inteligência de ameaças Advanced Intelligence e HYAS estimam que a operação RaaS gerou pelo menos US$ 150 milhões.

Durante o terceiro trimestre de 2020, as afiliadas da Ryuk afetaram, em média, cerca de 20 negócios por semana.

  • Uma gangue de ransomware invade o maior banco privado do Equador, o Ministério das Finanças
  • O Raspberry Pi Pico de US $ 4 agora pode executar o FUZIX, um clone do UNIX

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão Geek

Deixe uma resposta Cancelar resposta

Ryuk é um tipo de ransomware conhecido por realizar ataques cibernéticos em grandes entidades públicas. Ele normalmente criptografa os dados em um sistema infectado, tornando os dados inacessíveis até que um resgate pago em Bitcoin seja protegido.

Como funciona o vírus Ryuk?

Como o Ryuk funciona?

O ator malicioso conseguiu fazer login remotamente. Uma vez que conseguiu fazer login, criou um executável com o exemplo. Ryuk , como outros malwares, tenta permanecer em nosso sistema o maior tempo possível. Um de seus sistemas para conseguir isso é criar executáveis ​​e lançá-los ocultos.

Quem criou o vírus ransomware?

Joseph Popp Dr. Joseph Popp é conhecido como o pai do ransomware . De profissão, biólogo evolucionista, primatologista e antropólogo de Harvard, colaborou na luta contra a AIDS e foi consultor da OMS no Quênia.

O que o vírus ransomware faz?

Ransomware malware, ou ransomware , é um tipo de malware que impede os usuários de acessar seu sistema ou arquivos pessoais e exige o pagamento de um resgate para obter acesso a eles novamente.

Onde o vírus ransomware foi descoberto?

O que é novo, no entanto, é que os dados são mantidos para resgate. A primeira iteração registrada do vírus ransomware foi criada por um estudante de Harvard chamado Joseph L. Popp no ​​ano de 1989.

Ir arriba