To niebezpieczne oprogramowanie ransomware wykorzystuje nową sztuczkę do szyfrowania sieci
Ransomware Ryuk ma teraz możliwość wykorzystania podobnej do robaka zdolności do rozprzestrzeniania się na dowolną maszynę z systemem Windows w tej samej sieci, w której nastąpiło początkowe zagrożenie, ostrzega agencja ds.
Nowa wersja ransomware Ryuk jest wyposażona w dodatkową, podobną do robaka, możliwość rozprzestrzeniania się po zainfekowanych sieciach, co potencjalnie czyni ją jeszcze bardziej niebezpieczną niż wcześniej.
Ryuk jest jedną z najbardziej płodnych form oprogramowania ransomware , a jego operatorzy cyberprzestępcy prawdopodobnie zarobili ponad 150 milionów dolarów w postaci płatności okupu Bitcoin od organizacji ofiar na całym świecie.
Podobnie jak inne formy oprogramowania ransomware , Ryuk szyfruje sieć, czyniąc systemy bezużytecznymi, a cyberprzestępcy stojący za atakiem żądają zapłaty w zamian za klucz deszyfrujący. Popyt ten może sięgać milionów dolarów.
Ryuk stał się jedną z najbardziej udanych rodzin oprogramowania ransomware – i jest regularnie aktualizowany w celu utrzymania jego skuteczności.
Teraz francuska krajowa agencja ds. Bezpieczeństwa cybernetycznego – Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), przetłumaczona na język angielski jako National Agency for the Security of Information Systems – szczegółowo opisała, w jaki sposób najnowsza wersja Ryuk jest w stanie samodzielnie powielić się lokalna sieć.
Ransomware może rozprzestrzeniać się w sieci przy użyciu funkcji Wake-on-LAN, która umożliwia zdalne włączanie komputerów z systemem Windows przez inny komputer w tej samej sieci. Rozprzestrzeniając się na każdą maszynę dostępną w sieci, atak Ryuk może być znacznie bardziej szkodliwy.
Ta możliwość została odkryta, gdy ANSSI odpowiadał na niezidentyfikowany incydent z oprogramowaniem ransomware Ryuk na początku tego roku.
Gazeta ANSSI rozgrzewa, że Ryuk pozostaje szczególnie aktywny i że „co najmniej jeden z jego operatorów zaatakował szpitale podczas pandemii”.
Wydaje się, że szpitale były szczególnym celem ataków ransomware Ryuk , pomimo – a może z powodu – trwającej pandemii COVID-19, z dostępem do sieci kluczowych dla opieki nad pacjentami. Biorąc pod uwagę bieżącą sytuację, niektóre szpitale poddają się żądaniom okupu, uznając to podejście za najprostszy sposób na dalsze leczenie pacjentów – chociaż nawet zapłacenie okupu nie gwarantuje płynnego powrotu do sieci .
Ryuk jest powszechnie dostarczany ofiarom jako ostatni etap wieloetapowych ataków, z sieciami początkowo zagrożonymi przez Trickbot , Emotet lub BazarLoader – często przez ataki phishingowe . Te zainfekowane sieci są następnie przekazywane lub dzierżawione gangowi Ryuk w celu zainfekowania ich oprogramowaniem ransomware.
Często początkowe przejęcie sieci w celu zainstalowania złośliwego oprogramowania wykorzystuje fakt, że organizacje nie stosują poprawek do znanych luk w zabezpieczeniach .
Dlatego jedną z kluczowych rzeczy, które organizacja może zrobić, aby chronić się przed cyberatakami, jest zapewnienie, że najnowsze aktualizacje zabezpieczeń są stosowane w całej sieci tak szybko, jak to możliwe po wydaniu , szczególnie w przypadku krytycznych luk w zabezpieczeniach.
Organizacje powinny również regularnie tworzyć kopie zapasowe sieci – i przechowywać te kopie w trybie offline – tak, aby w przypadku padnięcia ofiarą ataku ransomware sieć można było odzyskać bez poddawania się żądaniom cyberprzestępców.