Вымогатель Ryuk обрел функции самораспространения по локальным сетям

Татьяна Никитина 01 Марта 2021 - 15:32

...

Вымогатель Ryuk обрел функции самораспространения по локальным сетям

Выявлена версия шифровальщика Ryuk, способная самостоятельно распространяться на другие Windows-устройства в локальной сети. Для запуска копий вредоносного кода на пораженных машинах создается запланированное задание.

Самоходный образец Ryuk обнаружили в начале текущего года исследователи из Национального управления по вопросам безопасности информационных систем Франции (Agence Nationale de la Sécurité des Systèmes d'Information, ANSSI). Анализ показал (PDF), что новый вариант зловреда собран из разнородных opensource-компонентов, перекомпилирован и забэкдорен.

При запуске обновленный Ryuk пытается скопировать себя на все компьютеры, доступные по сети через Windows-сервис вызова удаленных процедур (RPC). Чтобы отыскать их, вредонос генерирует все возможные варианты IP-адресов и отсылает на них пинг-запросы IMCP.

Более того, он также пытается добраться до устройств в дежурном режиме, используя списки, загруженные в кеш ARP из маршрутизаторов подсетей. По всем адресам, обнаруженным в ARP-таблице, шифровальщик рассылает пакет WOL (Wake-on-LAN) — эту технику дистанционного включения устройств по сети Ryuk освоил год назад. Если на найденных таким образом устройствах открыты ресурсы совместного доступа, зловред пытается подключить их, чтобы зашифровать содержимое.

Запуск копий Ryuk (rep.exe или lan.exe), расселившихся по сети, осуществляется путем создания запланированной задачи с помощью Windows-утилиты schtasks.exe. Механизмов блокировки повторного заражения у новой версии нет.

Поскольку ее распространение на другие узлы осуществляется посредством использования аккаунта привилегированного пользователя домена, этот процесс можно приостановить заменой пароля. Можно также отключить этот аккаунт, а затем сменить пароль к сервисной учетной записи KRBTGT в Active Directory. Не исключено, что такая мера, по свидетельству ANSSI, приведет к дестабилизации служб KDC (Kerberos Distribution Center) в домене и, возможно, потребует перезапуска многих устройств, однако дальнейшее распространение инфекции будет остановлено.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Апреля 2026 - 16:09

Windows Домашние пользователи Google

В Google Chrome усложнили кражу cookie — новая защита от угона сессий

Google перевела функцию Device Bound Session Credentials (DBSC) в общую доступность для пользователей Chrome на Windows. Теперь эта защита работает в Chrome 146 и должна заметно осложнить жизнь тем, кто крадёт сессионные cookies, чтобы потом входить в чужие аккаунты без пароля.

Принцип работы DBSC кроется в том, что браузер не просто хранит cookie, а криптографически привязывает сессию к конкретному устройству.

Даже если зловред украдёт cookie из браузера, использовать их на другой машине будет уже гораздо труднее — по сути, они быстро потеряют ценность для атакующего.

Особенно актуально это на фоне популярности так называемых инфостилеров. Такие вредоносные программы собирают с заражённых устройств всё подряд: пароли, данные автозаполнения, токены и, конечно, cookie. Этого бывает достаточно, чтобы злоумышленник зашёл в учётную запись жертвы, даже не зная её пароль. Потом такие данные нередко перепродают другим участникам киберпреступного рынка.

DBSC должна ломать именно такой сценарий. На Windows технология опирается на Trusted Platform Module, а на macOS — на Secure Enclave. С их помощью создаётся уникальная пара ключей, причём закрытый ключ не покидает устройство. Когда сайту нужно выдать новую короткоживущую cookie, Chrome должен доказать, что у него есть нужный закрытый ключ. Если ключ не на том устройстве, схема просто не срабатывает.

При этом Google подчёркивает, что технология задумана с упором на конфиденциальность. По данным компании, DBSC не должна превращаться в новый механизм слежки: сайт получает только тот минимум данных, который нужен для подтверждения владения ключом, без передачи постоянных идентификаторов устройства или дополнительных данных аттестации.

Есть и важная оговорка: если устройство не поддерживает безопасное хранение ключей, Chrome не ломает аутентификацию и просто откатывается к обычной схеме работы. То есть пользователи не должны столкнуться с внезапными сбоями входа только потому, что их железо не подходит под новую модель защиты.

Пока публичный запуск ограничен Windows-пользователями Chrome 146, но Google уже подтвердила, что поддержку macOS добавят в одном из следующих релизов. Компания также заявила, что после начала внедрения DBSC уже заметила заметное снижение случаев кражи сессий.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!