ΑρχικήsecurityΕντοπίστηκε παραλλαγή του Ryuk ransomware με δυνατότητες worm

Εντοπίστηκε παραλλαγή του Ryuk ransomware με δυνατότητες worm

Στις αρχές του 2021, ερευνητές ασφαλείας εντόπισαν μια νέα παραλλαγή του γνωστού Ryuk ransomware, η οποία έχει ικανότητες τύπου worm, που της επιτρέπουν “lateral movement” εντός των μολυσμένων δικτύων.

Ryuk ransomware

Το Ryuk ransomware είναι ενεργό τουλάχιστον από το 2018 και πολλοί ειδικοί το έχουν συνδέσει με Ρώσους εγκληματίες στον κυβερνοχώρο. Το ransomware έχει χρησιμοποιηθεί σε πολλές επιθέσεις σε μεγάλους οργανισμούς και οι ερευνητές εκτιμούν ότι οι hackers έχουν κερδίσει τουλάχιστον $150 εκατομμύρια από τις επιχειρήσεις τους.

Επιπλέον, το Ryuk ransomware έχει συνδεθεί με το κακόβουλο λογισμικό TrickBot, που υποτίθεται ότι λειτουργεί από την ίδια συμμορία. Παρ’ όλα αυτά, οι επιθέσεις του ransomware συνεχίστηκαν ακόμη και μετά από απόπειρα κατάργησης του TrickBot.

Το ransomware έχει συσχετιστεί και με τα Emotet και BazarLoader.

Σε μια πρόσφατα έκθεση, η Γαλλική Εθνική Υπηρεσία για την Ασφάλεια των Πληροφοριακών Συστημάτων (ANSSI) δήλωσε ότι εντόπισε μια νέα παραλλαγή του Ryuk που εξαπλώνεται αυτόματα σε μολυσμένα δίκτυα, όπως τα worm.

Μέχρι τώρα, το ransomware βασιζόταν κυρίως στην χρήση άλλου κακόβουλου λογισμικού για την αρχική ανάπτυξη και δεν είχε δείξει σημάδια για δυνατότητες τύπου worm (αν και μπορούσε να κρυπτογραφήσει δεδομένα σε network shares και removable drives).

Το Ryuk χρησιμοποιεί έναν συνδυασμό συμμετρικών (AES) και ασύμμετρων (RSA) αλγορίθμων για κρυπτογράφηση, σταματά διεργασίες στο μολυσμένο σύστημα, προσαρτά την επέκταση .RYK στα κρυπτογραφημένα αρχεία, ενεργοποιεί workstations χρησιμοποιώντας το Wake-on-LAN feature και καταστρέφει όλα τα shadow copies για να μην μπορούν τα θύματα να ανακτήσουν τα δεδομένα τους.

worm

Η νέα παραλλαγή του Ryuk έχει όλες τις δυνατότητες και λειτουργίες που βρίσκει κάποιος σε ένα τυπικό ransomware, αλλά έχει και τη δυνατότητα εξάπλωσης εντός του δικτύου, με τον ίδιο τρόπο που το κάνει ένα worm.

Για να εξαπλωθεί σε άλλα μηχανήματα, το ransomware αντιγράφει το εκτελέσιμο σε αναγνωρισμένα network shares με rep.exe ή lan.exe suffix και μετά δημιουργεί ένα scheduled task στο απομακρυσμένο μηχάνημα.

Μέσω της χρήσης scheduled tasks, το κακόβουλο λογισμικό διαδίδεται – από μηχάνημα σε μηχάνημα- εντός του Windows domain. Μόλις ξεκινήσει, θα εξαπλωθεί σε κάθε προσιτό μηχάνημα στο οποίο είναι δυνατή Windows RPC πρόσβαση“, εξηγεί η ANSSI.

Η γαλλική υπηρεσία παρατήρησε, επίσης, ότι η νέα worm παραλλαγή του Ryuk ransomware μάλλον δεν περιλαμβάνει μηχανισμό για τον αποκλεισμό της εκτέλεσης του, πράγμα που σημαίνει ότι η ίδια συσκευή θα μπορούσε να μολυνθεί πολλές φορές.

Πηγή: Security Week

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS