Ryuk
Ryuk Malware Screenshot

Криптовирусът Ryuk вече буди изключени устройства

Един от по-опасните криптовируси – Ryuk, разработен от групата, известна с кодовото име CryptoTech, се е сдобил с нова и интересна функционалност.

Според експерта в областта на информационната сигурност Витали Кремез групата Wizard Spider (свързана със Северна Корея) е добавила функционалността към малуерът – да използва Wake-on-Lan, за да стартира загасеното устройство, като по този начин може да криптира и устройства, който са били изключени. При стартирането си малуерът стартира субпроцес с аргумент “8 LAN”, който сканира ARP таблицата за частни IP адреси и изпраща Wake-on-Lan* сигнал(FF FF FF FF FF FF) към тях. След това опитва да монтира C$ и накрая криптира всички дискове, до които има достъп.

Ryuk Wake-on-Lan

Филтрирането на Wake-on-Lan протокола и използването на SecureON парола са част от начините за защита (освен изключването му от мрежовата карта).

Припомняме на читателите, че Ryuk е един от по-опасните рансъмуери, чиято цел са основно големи enterprise компании, като се използва “triple threat” метод за атака – при фишинг кампания се изпращат офис файлове, съдържащи Emotet.

За повече информация относно хакерски атаки, вижте статията ни за Най-мащабните хакерски атаки през 2019 г.

От своя страна, Emotet сваля друг вирус – обикновено TrickBot, който събира потребителски имена и пароли, които се използват за атаката с Ryuk. Често пъти между заразяването с Emotet и стартирането на Ryuk минава около месец, което допълнително затруднява блокирането на атаката.

*Wake-on-Lan се конфигурира на мрежовия интерфейс и позволява изключено устройство да бъде стартирано. Използва се от сис-админите за отдалечено конфигуриране, често в големи фирми.

Заинтригува ли Ви тази статия? Заповядайте в групата ни „Технологичното общество на България“, където с общи знания и умения си помагаме относно софтуер, хардуер и сигурност.

Коментирайте чрез Facebook

Мнения, критики, неточности - пишете ни, не ни жалете!

За Светломир Балевски