Программа-вымогатель Ryuk автоматически распространяется в зараженных сетях

Cloud Networks > Новости > Программа-вымогатель Ryuk автоматически распространяется в зараженных сетях
09.03.2021

Программа-вымогатель Ryuk автоматически распространяется в зараженных сетях

Программа-вымогатель Ryuk, действующая по крайней мере с 2018 года, участвовала в многочисленных громких атаках, и, по оценкам исследователей, стоимость предприятия составляет 150 миллионов долларов.

Ryuk уже давно связан с вредоносным ПО TrickBot, предположительно управляемым той же бандой. Однако операции вымогателя продолжались даже после попытки удаления TrickBot со стороны Microsoft и других организаций.

Ryuk также распространяется через Emotet и с сентября 2020 года в значительной степени полагается на BazarLoader для распространения, а в качестве вектора атаки используется фишинговые электронные письма.

В опубликованном отчете Французское национальное агентство по безопасности информационных систем (ANSSI) сообщило, что оно выявило образец Ryuk, который может автоматически распространяться в зараженных сетях с начала этого года.

Ryuk:

  • использует комбинацию симметричных (AES) и асимметричных (RSA) алгоритмов для шифрования;
  • уничтожает определенные процессы в зараженной системе;
  • добавляет расширение .RYK к зашифрованным файлам;
  • может включать рабочие станции с помощью функции Wake-on-LAN;
  • уничтожает все теневые копии, чтобы предотвратить восстановление данных.

Недавно идентифицированная версия Ryuk имеет все функции, которые обычно присутствуют в программах-вымогателях, с добавленной сверху возможностью реплицировать себя по локальной сети.

Для распространения на другие машины программа-вымогатель копирует исполняемый файл на идентифицированные общие сетевые ресурсы с суффиксом rep.exe или lan.exe, после чего создает запланированную задачу на удаленном компьютере.

Идентифицированный образец, по-видимому, не содержит механизма для блокировки его выполнения, а это означает, что одно и то же устройство может повторно заражаться снова и снова.

Мы не передадим ваши данные третьим лицам и не будем донимать спамом
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
to-top