Вымогатель Ryuk обрел функции самораспространения по локальным сетям

Татьяна Никитина 01 Марта 2021 - 15:32

...

Вымогатель Ryuk обрел функции самораспространения по локальным сетям

Выявлена версия шифровальщика Ryuk, способная самостоятельно распространяться на другие Windows-устройства в локальной сети. Для запуска копий вредоносного кода на пораженных машинах создается запланированное задание.

Самоходный образец Ryuk обнаружили в начале текущего года исследователи из Национального управления по вопросам безопасности информационных систем Франции (Agence Nationale de la Sécurité des Systèmes d'Information, ANSSI). Анализ показал (PDF), что новый вариант зловреда собран из разнородных opensource-компонентов, перекомпилирован и забэкдорен.

При запуске обновленный Ryuk пытается скопировать себя на все компьютеры, доступные по сети через Windows-сервис вызова удаленных процедур (RPC). Чтобы отыскать их, вредонос генерирует все возможные варианты IP-адресов и отсылает на них пинг-запросы IMCP.

Более того, он также пытается добраться до устройств в дежурном режиме, используя списки, загруженные в кеш ARP из маршрутизаторов подсетей. По всем адресам, обнаруженным в ARP-таблице, шифровальщик рассылает пакет WOL (Wake-on-LAN) — эту технику дистанционного включения устройств по сети Ryuk освоил год назад. Если на найденных таким образом устройствах открыты ресурсы совместного доступа, зловред пытается подключить их, чтобы зашифровать содержимое.

Запуск копий Ryuk (rep.exe или lan.exe), расселившихся по сети, осуществляется путем создания запланированной задачи с помощью Windows-утилиты schtasks.exe. Механизмов блокировки повторного заражения у новой версии нет.

Поскольку ее распространение на другие узлы осуществляется посредством использования аккаунта привилегированного пользователя домена, этот процесс можно приостановить заменой пароля. Можно также отключить этот аккаунт, а затем сменить пароль к сервисной учетной записи KRBTGT в Active Directory. Не исключено, что такая мера, по свидетельству ANSSI, приведет к дестабилизации служб KDC (Kerberos Distribution Center) в домене и, возможно, потребует перезапуска многих устройств, однако дальнейшее распространение инфекции будет остановлено.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 16 Апреля 2021 - 19:34

Общее Ростелеком-Solar

На Форуме DLP+ поговорят об этике и безопасности

26 мая в Цифровом деловом пространстве (Москва, улица Покровка, дом 47) впервые пройдет «Форум DLP+» – самое масштабное мероприятие в России по внутренним угрозам корпоративной безопасности. Организаторами мероприятия выступят национальный провайдер сервисов и технологий кибербезопасности «Ростелеком-Солар» и Медиа Группа «Авангард». Форум станет первой площадкой страны для обсуждения, обмена идеями и практическим опытом по этой теме.

По задумке организаторов DLP+ будет наполнен нестандартными дискуссиями и выступлениями ярких спикеров – как популярных экспертов рынка информационной безопасности, так и новых, порой неожиданных персон. Экспрессивный тон мероприятию задаст вводная дискуссия «Этика, право и безопасность», управление которой возьмет на себя медиа-звезда рынка информационной безопасности Олег Седов. Приглашенные эксперты, среди которых будут не только специалисты мира ИБ, но и писатели, и представители сферы бизнес-образования, поговорят о понятии этики в современной цифровой действительности.

Что такое этика? Человек, оценивая свои возможные решения, чувствует, какие из них этичны, а какие – не очень, основываясь на морали. Двадцать первый век породил многообразие технических средств контроля и мониторинга людей, в частности системы защиты от утечек и анализа поведения пользователей. Какие вопросы DLP-этики требуют ревизии и пересмотра?

Как быть с неприкосновенностью частной жизни сотрудников? Тайной переписки?
Становится ли администратор ИБ всемогущим, и кто контролирует его?
Как совместить права сотрудников и компании как работодателя?

Деловая программа «Форума DLP+" сфокусируется как на актуальных технологиях, так и на практических методах защиты компании от внутренних угроз, поможет найти конкретные решения под потребности бизнеса. В фойе «Форума DLP+» будут представлены новейшие разработки ведущих вендоров систем защиты от внутренних корпоративных угроз – с возможностью опробовать любую разработку в действии на интерактивных демонстрационных стендах.

Партнерскую поддержку форуму оказывают ведущие компании российской отрасли информационной безопасности InfoWatch, Гарда Технологии, DeviceLock DLP, StaffCop, InfoSecurity, One Identity и другие.

Подробнее о форуме читайте на сайте мероприятия: https://dlp-forum.ru