Вымогатель Ryuk обрел функции самораспространения по локальным сетям

Вымогатель Ryuk обрел функции самораспространения по локальным сетям

Выявлена версия шифровальщика Ryuk, способная самостоятельно распространяться на другие Windows-устройства в локальной сети. Для запуска копий вредоносного кода на пораженных машинах создается запланированное задание.

Самоходный образец Ryuk обнаружили в начале текущего года исследователи из Национального управления по вопросам безопасности информационных систем Франции (Agence Nationale de la Sécurité des Systèmes d'Information, ANSSI). Анализ показал (PDF), что новый вариант зловреда собран из разнородных opensource-компонентов, перекомпилирован и забэкдорен.

При запуске обновленный Ryuk пытается скопировать себя на все компьютеры, доступные по сети через Windows-сервис вызова удаленных процедур (RPC). Чтобы отыскать их, вредонос генерирует все возможные варианты IP-адресов и отсылает на них пинг-запросы IMCP.

Более того, он также пытается добраться до устройств в дежурном режиме, используя списки, загруженные в кеш ARP из маршрутизаторов подсетей. По всем адресам, обнаруженным в ARP-таблице, шифровальщик рассылает пакет WOL (Wake-on-LAN) — эту технику дистанционного включения устройств по сети Ryuk освоил год назад. Если на найденных таким образом устройствах открыты ресурсы совместного доступа, зловред пытается подключить их, чтобы зашифровать содержимое.

Запуск копий Ryuk (rep.exe или lan.exe), расселившихся по сети, осуществляется путем создания запланированной задачи с помощью Windows-утилиты schtasks.exe. Механизмов блокировки повторного заражения у новой версии нет.

Поскольку ее распространение на другие узлы осуществляется посредством использования аккаунта привилегированного пользователя домена, этот процесс можно приостановить заменой пароля. Можно также отключить этот аккаунт, а затем сменить пароль к сервисной учетной записи KRBTGT в Active Directory. Не исключено, что такая мера, по свидетельству ANSSI, приведет к дестабилизации служб KDC (Kerberos Distribution Center) в домене и, возможно, потребует перезапуска многих устройств, однако дальнейшее распространение инфекции будет остановлено.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Китайский UEFI-вредонос MoonBounce не удалить даже заменой жёсткого диска

Исследователи в области кибербезопасности обнаружили новый вредонос MoonBounce, отличающийся своей сложностью и работой на уровне прошивки UEFI. По словам специалистов, оператором зловреда является китайская кибергруппировка APT41 (Winnti).

Группа APT41 хорошо известна экспертам, поскольку действует как минимум на протяжении десяти лет. Злоумышленники занимаются в основном организацией кибершпионских операций против крупных организаций различных промышленных секторов.

Выявить вредонос MoonBounce удалось специалистам антивирусной компании «Лаборатория Касперского», которые уже успели подготовить отчёт о кампаниях, в которых он фигурирует.

Для тех, кто не знает, уточним, что UEFI (Unified Extensible Firmware Interface, единый интерфейс расширяемой прошивки) предназначен для связи операционной системы с микропрограммами, которые управляют низкоуровневыми функциями оборудования.

Если условный киберпреступник поместит «UEFI-буткит» в прошивку, ему не смогут ничего противопоставить антивирусы, работающие на уровне операционной системы. До MoonBounce к этому же приёму прибегали вредоносы FinFisher и ESPecter.

Таким зловредам удаётся запуститься ещё до компонентов безопасности ОС, именно поэтому их впоследствии крайне сложно удалить. MoonBounce, например, располагается в SPI-памяти материнской платы, поэтому даже замена жёсткого диска не удалит зловред.

Бэкдор использует компонент прошивки, известный под именем CORE_DXE, — он вызывается на ранней стадии цепочки загрузки UEFI.

 

«Заражение начинается с ряда перехватов, которые вмешиваются в выполнение некоторых функций таблицы EFI Boot Services Table: AllocatePool, CreateEventEx и ExitBootServices. Таким способом вредоносу удаётся перенаправить поток этих функций на вредоносный шеллкод, который атакующие добавляют образу CORE_DXE», — пишут в отчёте (PDF) специалисты «Лаборатории Касперского».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru