Программа-вымогатель Ryuk автоматически распространяется в зараженных сетях

Программа-вымогатель Ryuk, действующая по крайней мере с 2018 года, участвовала в многочисленных громких атаках, и, по оценкам исследователей, стоимость предприятия составляет 150 миллионов долларов.

Ryuk уже давно связан с вредоносным ПО TrickBot, предположительно управляемым той же бандой. Однако операции вымогателя продолжались даже после попытки удаления TrickBot со стороны Microsoft и других организаций.

Ryuk также распространяется через Emotet и с сентября 2020 года в значительной степени полагается на BazarLoader для распространения, а в качестве вектора атаки используется фишинговые электронные письма.

В опубликованном отчете Французское национальное агентство по безопасности информационных систем (ANSSI) сообщило, что оно выявило образец Ryuk, который может автоматически распространяться в зараженных сетях с начала этого года.

Ryuk:

• использует комбинацию симметричных (AES) и асимметричных (RSA) алгоритмов для шифрования;
• уничтожает определенные процессы в зараженной системе;
• добавляет расширение .RYK к зашифрованным файлам;
• может включать рабочие станции с помощью функции Wake-on-LAN;
• уничтожает все теневые копии, чтобы предотвратить восстановление данных.

Недавно идентифицированная версия Ryuk имеет все функции, которые обычно присутствуют в программах-вымогателях, с добавленной сверху возможностью реплицировать себя по локальной сети.

Для распространения на другие машины программа-вымогатель копирует исполняемый файл на идентифицированные общие сетевые ресурсы с суффиксом rep.exe или lan.exe, после чего создает запланированную задачу на удаленном компьютере.

Идентифицированный образец, по-видимому, не содержит механизма для блокировки его выполнения, а это означает, что одно и то же устройство может повторно заражаться снова и снова.