RANSOMWARE: Ryuk – wnika w sieć wewnętrzną.

To niebezpieczne oprogramowanie ransomware wykorzystuje nową sztuczkę do szyfrowania sieci

Ransomware Ryuk ma teraz możliwość wykorzystania podobnej do robaka zdolności do rozprzestrzeniania się na dowolną maszynę z systemem Windows w tej samej sieci, w której nastąpiło początkowe zagrożenie, ostrzega agencja ds.

Nowa wersja ransomware Ryuk jest wyposażona w dodatkową, podobną do robaka, możliwość rozprzestrzeniania się po zainfekowanych sieciach, co potencjalnie czyni ją jeszcze bardziej niebezpieczną niż wcześniej.

Ryuk jest jedną z najbardziej płodnych form oprogramowania ransomware , a jego operatorzy cyberprzestępcy prawdopodobnie zarobili ponad 150 milionów dolarów w postaci płatności okupu Bitcoin od organizacji ofiar na całym świecie.

Podobnie jak inne formy oprogramowania ransomware , Ryuk szyfruje sieć, czyniąc systemy bezużytecznymi, a cyberprzestępcy stojący za atakiem żądają zapłaty w zamian za klucz deszyfrujący. Popyt ten może sięgać milionów dolarów.

Ryuk stał się jedną z najbardziej udanych rodzin oprogramowania ransomware – i jest regularnie aktualizowany w celu utrzymania jego skuteczności.

Teraz francuska krajowa agencja ds. Bezpieczeństwa cybernetycznego – Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), przetłumaczona na język angielski jako National Agency for the Security of Information Systems – szczegółowo opisała, w jaki sposób najnowsza wersja Ryuk jest w stanie samodzielnie powielić się lokalna sieć.

Ryuk code

Ransomware może rozprzestrzeniać się w sieci przy użyciu funkcji Wake-on-LAN, która umożliwia zdalne włączanie komputerów z systemem Windows przez inny komputer w tej samej sieci. Rozprzestrzeniając się na każdą maszynę dostępną w sieci, atak Ryuk może być znacznie bardziej szkodliwy.

Ta możliwość została odkryta, gdy ANSSI odpowiadał na niezidentyfikowany incydent z oprogramowaniem ransomware Ryuk na początku tego roku.

Gazeta ANSSI rozgrzewa, że ​​Ryuk pozostaje szczególnie aktywny i że „co najmniej jeden z jego operatorów zaatakował szpitale podczas pandemii”.

Wydaje się, że szpitale były szczególnym celem ataków ransomware Ryuk , pomimo – a może z powodu – trwającej pandemii COVID-19, z dostępem do sieci kluczowych dla opieki nad pacjentami. Biorąc pod uwagę bieżącą sytuację, niektóre szpitale poddają się żądaniom okupu, uznając to podejście za najprostszy sposób na dalsze leczenie pacjentów – chociaż nawet zapłacenie okupu nie gwarantuje płynnego powrotu do sieci .

Ryuk jest powszechnie dostarczany ofiarom jako ostatni etap wieloetapowych ataków, z sieciami początkowo zagrożonymi przez  Trickbot , Emotet lub BazarLoader – często przez ataki phishingowe . Te zainfekowane sieci są następnie przekazywane lub dzierżawione gangowi Ryuk w celu zainfekowania ich oprogramowaniem ransomware.

Często początkowe przejęcie sieci w celu zainstalowania złośliwego oprogramowania wykorzystuje fakt, że organizacje nie stosują  poprawek do znanych luk w zabezpieczeniach .

Dlatego jedną z kluczowych rzeczy, które organizacja może zrobić, aby chronić się przed cyberatakami, jest zapewnienie,  że najnowsze aktualizacje zabezpieczeń są stosowane w całej sieci tak szybko, jak to możliwe po wydaniu , szczególnie w przypadku krytycznych luk w zabezpieczeniach.

Organizacje powinny również regularnie tworzyć kopie zapasowe sieci – i przechowywać te kopie w trybie offline – tak, aby w przypadku padnięcia ofiarą ataku ransomware sieć można było odzyskać bez poddawania się żądaniom cyberprzestępców.