Вымогатель Ryuk обрел функции самораспространения по локальным сетям

Татьяна Никитина 01 Марта 2021 - 15:32

...

Вымогатель Ryuk обрел функции самораспространения по локальным сетям

Выявлена версия шифровальщика Ryuk, способная самостоятельно распространяться на другие Windows-устройства в локальной сети. Для запуска копий вредоносного кода на пораженных машинах создается запланированное задание.

Самоходный образец Ryuk обнаружили в начале текущего года исследователи из Национального управления по вопросам безопасности информационных систем Франции (Agence Nationale de la Sécurité des Systèmes d'Information, ANSSI). Анализ показал (PDF), что новый вариант зловреда собран из разнородных opensource-компонентов, перекомпилирован и забэкдорен.

При запуске обновленный Ryuk пытается скопировать себя на все компьютеры, доступные по сети через Windows-сервис вызова удаленных процедур (RPC). Чтобы отыскать их, вредонос генерирует все возможные варианты IP-адресов и отсылает на них пинг-запросы IMCP.

Более того, он также пытается добраться до устройств в дежурном режиме, используя списки, загруженные в кеш ARP из маршрутизаторов подсетей. По всем адресам, обнаруженным в ARP-таблице, шифровальщик рассылает пакет WOL (Wake-on-LAN) — эту технику дистанционного включения устройств по сети Ryuk освоил год назад. Если на найденных таким образом устройствах открыты ресурсы совместного доступа, зловред пытается подключить их, чтобы зашифровать содержимое.

Запуск копий Ryuk (rep.exe или lan.exe), расселившихся по сети, осуществляется путем создания запланированной задачи с помощью Windows-утилиты schtasks.exe. Механизмов блокировки повторного заражения у новой версии нет.

Поскольку ее распространение на другие узлы осуществляется посредством использования аккаунта привилегированного пользователя домена, этот процесс можно приостановить заменой пароля. Можно также отключить этот аккаунт, а затем сменить пароль к сервисной учетной записи KRBTGT в Active Directory. Не исключено, что такая мера, по свидетельству ANSSI, приведет к дестабилизации служб KDC (Kerberos Distribution Center) в домене и, возможно, потребует перезапуска многих устройств, однако дальнейшее распространение инфекции будет остановлено.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 28 Июля 2025 - 18:53

Атаки на сайты Целевые атаки Таргетированные атаки Сбои программ Сбои оборудования Общее

По стопам Аэрофлота: не работают сайт и приложение «Госуслуг»

Утром 28 июля пользователи по всей России столкнулись со сбоями в работе портала «Госуслуги» — не открывался сайт, не грузилось мобильное приложение, а кое-где и вовсе не работал личный кабинет и сервис оповещений. На проблемы массово пожаловались жители Москвы, Санкт-Петербурга, Нижегородской области, ХМАО и Свердловской области.

Информацию подтверждает сервис Downdetector.

Тем временем с похожими трудностями столкнулась и авиакомпания «Аэрофлот». В утренние часы там случился сбой в работе информационных систем, что привело к сбоям в цифровых сервисах и возможным задержкам и отменам рейсов. Пассажирам рекомендовали следить за актуальной информацией по вылетам и быть готовыми к временным неудобствам.

Позже в этот же день хактивистская группировка Silent Crow взяла на себя ответственность за атаку на ИТ-инфраструктуру перевозчика. По их словам, им удалось получить доступ к 122 внутренним системам, включая данные сотрудников и клиентов.

О масштабной кибератаке стало известно утром, и уже через 40 минут после первых признаков сбоя злоумышленники опубликовали заявление об атаке.

Случайность или звенья одной цепи — пока вопрос открытый. Но день для цифровых сервисов в России явно выдался неспокойным.