Ransomware Ryuk ma teraz możliwość rozprzestrzeniania się na każdą maszynę z systemem Windows w tej samej sieci, w której doszło do początkowego zagrożenia, ostrzega agencja ds. bezpieczeństwa cybernetycznego.
Nowa wersja ransomware Ryuk jest wyposażona w dodatkową, robakopodobną zdolność do rozprzestrzeniania się po zainfekowanych sieciach, potencjalnie czyniąc go jeszcze bardziej niebezpiecznym niż wcześniej.
Francuska Narodowa Agencja Bezpieczeństwa Cybernetycznego – Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) opisała, w jaki sposób najnowsza wersja Ryuk jest w stanie samodzielnie replikować się w sieci lokalnej:
„Oprogramowanie ransomware może rozprzestrzeniać się w sieci przy użyciu Wake-on-LAN, funkcji, która umożliwia zdalne włączanie komputerów z systemem Windows przez inną maszynę w tej samej sieci.” Rozprzestrzeniając się na każdą osiągalną maszynę w sieci, atak Ryuk może być znacznie bardziej szkodliwy.
Zdolność ta została odkryta, gdy ANSSI zareagowało na niezidentyfikowany incydent Ryuk ransomware na początku tego roku.
W dokumencie ANSSI można przeczytać, że Ryuk pozostaje szczególnie aktywny i że „co najmniej jeden z jego operatorów zaatakował szpitale podczas pandemii”.
Ryuk jest często wprowadzany do sieci ofiar jako ostatni etap wieloetapowych ataków, w których komputery są początkowo atakowane za pomocą Trickbota, Emoteta lub BazarLoader – często poprzez ataki phishingowe. Te skompromitowane sieci są następnie przekazywane lub wynajmowane grupie operatorów Ryuk w celu zainfekowania ich oprogramowaniem ransomware maszyn ofiar.
Najczęstrzym powodem udanych ataków na różne organizacje jest fakt, iż firmy (i inne podmioty) nie stosują łat na znane luki w zabezpieczeniach. Ważne jest również regularnie wykonywanie kopii zapasowych (back-up’ów) – i przechowywnie je w trybie offline – tak aby w przypadku padnięcia ofiarą ataku typu ransomware można było odzyskać zaszyfrowane dane bez konieczności poddawania się żądaniom cyberprzestępców.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
Chińscy hakerzy wykorzystują Dysk Google do umieszczania złośliwego oprogramowania w sieciach rządowych