Ryuk – nowe, groźne oblicze ransomware’u

W sieci pojawił się nowy wariant ransomware’u Ryuk, który rozprzestrzenia się poprzez LAN infekując urządzenia z systemem operacyjnym Windows. To złośliwe oprogramowania zostało wykryte na początku bieżąco roku przez francuską agencję cyberbezpieczeństwa ANSSI.

Nową wersję Ryuka wyróżnia specyficzny rodzaj samoreplikacji, wcześniej raczej niespotykany w tej grupie złośliwego oprogramowania. Malware po uruchomieniu rozprzestrzenia się na inne urządzenia Windows z dostępem do protokołu zdalnego wywoływania procedur (RPC).  Ransomware wyświetla listę wszystkich adresów IP w pamięci podręcznej ARP (Address Resolution Protocol) i wysyła pakiety przypominające Wake-on-LAN (WOL) do wykrytych maszyn. Następnie rozpoczyna proces szyfrowania każdego z urządzeń. Warto podkreślić, iż zdolność Ryuka do szyfrowania dysków w komputerach zdalnych zaobserwowano już w ubiegłym roku, natomiast nowością jest możliwość samoreplikacji na inne urządzenia z systemem Windows pracujące w sieciach lokalnych ofiar.

  • Jednym ze sposobów rozwiązania tego problemu może być zmiana hasła lub wyłączenie konta użytkownika, a następnie przejście do podwójnej zmiany hasła domeny KRBTGT. Taka operacja wiąże się z pewnymi utrudnieniami, ale natychmiast powstrzyma rozprzestrzenianie się złośliwego oprogramowania. – radzi ANSSI.

Test Mio MiVue 795 – zapisuje z GPS-em ważne szczegóły podróży

Specjaliści od cyberbezpieczeństwo apelują też do administratorów sieci o podjęcie odpowiednich kroków, które wyeliminują lub przynajmniej ograniczą zakres potencjalnych strat.

  • Zamiast płacić okup cyberprzestępcom firmy powinny zainwestować w dobre oprogramowanie antywirusowe, oferujące funkcje antyransomware. Nie mniej ważny jest odpowiedni dobór narzędzi do backupu. W ostatnim czasie coraz częściej wspomina się o tworzeniu tzw. niezmiennego backupu, który chroni dane krytyczne przed modyfikacją lub usunięciem. Innym skutecznym sposobem jest przechowywania kopii na taśmach w trybie offline. – tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Test Jabra Elite 45h – słuchawki nauszne do 40 h na jednym ładowaniu

Po raz pierwszy działalność grupy przestępczej Ryuk odnotowano w 2018 roku. Ten gang ransomware jest znany z dostarczania swoich ładunków w ramach wieloetapowych ataków przy użyciu wektorów infekcji Trickbot, Emotet i BazarLoader. Ryuk ma na swoim koncie także szereg ataków na amerykański system opieki zdrowotnej. W trzecim kwartale 2020 roku ransomware Ryuk uderzał średnio co tydzień w około 20 podmiotów.

Dodaj komentarz

%d bloggers like this: