Вымогатель Ryuk теперь самораспространяется на другие устройства Windows LAN

1614432012419.png


Французское национальное агентство по кибербезопасности обнаружило новый вариант программы-вымогателя Ryuk с похожими на червя возможностями, которые позволяют ему распространяться на другие устройства в локальных сетях жертв, во время расследования атаки в начале 2021 года.
«Благодаря использованию запланированных задач вредоносное ПО распространяется - с машины на машину - в домене Windows», - говорится в опубликованном сегодня отчете ANSSI (сокращение от Agence Nationale de la Sécurité des Systèmes d'Information) .
«После запуска он будет распространяться на каждую доступную машину, на которой возможен доступ к Windows RPC».

Саморепликация на другие сетевые устройства​

Для распространения по локальной сети новый вариант Ryuk перечисляет все IP-адреса в локальном кэше ARP и отправляет то, что выглядит как пакеты Wake-on-LAN (WOL), на каждое из обнаруженных устройств. Затем он монтирует все общие ресурсы, найденные для каждого устройства, чтобы можно было зашифровать содержимое.

Возможность Ryuk монтировать и шифровать диски удаленных компьютеров ранее наблюдалась генеральным директором Advanced Intelligence Виталием Кремезом в прошлом году.

Что отличает этот новый образец Ryuk, так это его способность копировать себя на другие устройства Windows в локальных сетях жертв.
Кроме того, он может выполнять себя удаленно, используя запланированные задачи, созданные на каждом впоследствии скомпрометированном сетевом узле с помощью легитимного инструмента Windows schtasks.exe .
Вариант Ryuk, анализируемый в этом документе, действительно имеет возможности самовоспроизведения. Распространение достигается путем копирования исполняемого файла в идентифицированные общие сетевые ресурсы. За этим шагом следует создание запланированной задачи на удаленном компьютере. [..] Для этой копии были определены имена файлов: rep.exe и lan.exe. - ANSSI

Пример запланированной задачи


Пример запланированной задачи ( BleepingComputer )

Несмотря на то, что он не использует механизм исключения, который предотвратил бы повторное шифрование устройств, ANSSI сообщает, что новый вариант все еще может быть заблокирован от заражения других хостов в сети путем изменения пароля учетной записи привилегированного домена, которую он использует для распространения на другие хосты.

«Одним из способов решения проблемы может быть изменение пароля или отключение учетной записи пользователя (в соответствии с используемой учетной записью), а затем переход к двойному изменению пароля домена KRBTGT», - сказал ANSSI.

«Это вызовет множество нарушений в домене - и, скорее всего, потребует множества перезагрузок, но также немедленно остановит распространение. Также можно рассмотреть другие подходы к сдерживанию распространения, особенно через нацеливание на среду выполнения вредоносного ПО».
Индикаторы компрометации (IOC), связанные с этим новым вариантом Ryuk, можно найти здесь .

Банда вымогателей Ryuk​

Ryuk - это группа программ-вымогателей как услуги (RaaS), впервые обнаруженная в августе 2018 года и оставшая после себя длинный список жертв.
Банды RaaS известны своими частными партнерскими программами, в которых партнеры могут подавать заявки и резюме для подачи заявки на членство.

Ryuk находится на вершине рейтинга RaaS, его полезные нагрузки были обнаружены примерно в каждой третьей атаке программ-вымогателей за последний год.

Группа доставляет полезные нагрузки в рамках многоэтапных атак, используя векторы заражения Emote t, BazarLoader или TrickBot для быстрого проникновения в сети своих целей.

Филиалы Ryuk стояли за массой атак на систему здравоохранения США, начиная с ноября 2020 года. Обычно они просят огромные выкуп, собрав 34 миллиона долларов всего с одной жертвы в прошлом году.

Проследив за денежным оборотом жертв программ-вымогателей Ryuk, исследователи из компаний по анализу угроз Advanced Intelligence и HYAS оценили, что операция RaaS принесла не менее 150 миллионов долларов .
В течение третьего квартала 2020 года аффилированные лица Ryuk еженедельно поражали в среднем около 20 компаний .

Перевод с английского - Google

Bleeping Computer
 
Сверху Снизу