Nowe, groźne oblicze ransomware’u

Nową wersję Ryuka wyróżnia specyficzny rodzaj samoreplikacji, wcześniej raczej niespotykany w tej grupie złośliwego oprogramowania. Malware po uruchomieniu rozprzestrzenia się na inne urządzenia Windows z dostępem do protokołu zdalnego wywoływania procedur (RPC).  Ransomware wyświetla listę wszystkich adresów IP w pamięci podręcznej ARP (Address Resolution Protocol) i wysyła pakiety przypominające Wake-on-LAN (WOL) do wykrytych maszyn. Następnie rozpoczyna proces szyfrowania każdego z urządzeń. Warto podkreślić, iż zdolność Ryuka do szyfrowania dysków w komputerach zdalnych zaobserwowano już w ubiegłym roku, natomiast nowością jest możliwość samoreplikacji na inne urządzenia z systemem Windows pracujące w sieciach lokalnych ofiar.

• Jednym ze sposobów rozwiązania tego problemu może być zmiana hasła lub wyłączenie konta użytkownika, a następnie przejście do podwójnej zmiany hasła domeny KRBTGT. Taka operacja wiąże się z pewnymi utrudnieniami, ale natychmiast powstrzyma rozprzestrzenianie się złośliwego oprogramowania. - radzi ANSSI.

Specjaliści od cyberbezpieczeństwo apelują też do administratorów sieci o podjęcie odpowiednich kroków, które wyeliminują lub przynajmniej ograniczą zakres potencjalnych strat.

• Zamiast płacić okup cyberprzestępcom firmy powinny zainwestować w dobre oprogramowanie antywirusowe, oferujące funkcje antyransomware. Nie mniej ważny jest odpowiedni dobór narzędzi do backupu. W ostatnim czasie coraz częściej wspomina się o tworzeniu tzw. niezmiennego backupu, który chroni dane krytyczne przed modyfikacją lub usunięciem. Innym skutecznym sposobem jest przechowywania kopii na taśmach w trybie offline. - tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Po raz pierwszy działalność grupy przestępczej Ryuk odnotowano w 2018 roku. Ten gang ransomware jest znany z dostarczania swoich ładunków w ramach wieloetapowych ataków przy użyciu wektorów infekcji Trickbot, Emotet i BazarLoader. Ryuk ma na swoim koncie także szereg ataków na amerykański system opieki zdrowotnej. W trzecim kwartale 2020 roku ransomware Ryuk uderzał średnio co tydzień w około 20 podmiotów.

źródło: bitdefender.pl; marken.com,pl