Link-2-Secure

Cybersecurity and data breach news

Ransomware Ryuk powraca z nowymi atakami

Ryuk ma teraz możliwość rozprzestrzeniania się na każdą maszynę z systemem Windows w tej samej sieci, w której doszło do początkowego zagrożenia

Ransomware Ryuk ma teraz możliwość rozprzestrzeniania się na każdą maszynę z systemem Windows w tej samej sieci, w której doszło do początkowego zagrożenia, ostrzega agencja ds. bezpieczeństwa cybernetycznego.

Nowa wersja ransomware Ryuk jest wyposażona w dodatkową, robakopodobną zdolność do rozprzestrzeniania się po zainfekowanych sieciach, potencjalnie czyniąc go jeszcze bardziej niebezpiecznym niż wcześniej.

Francuska Narodowa Agencja Bezpieczeństwa Cybernetycznego – Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) opisała, w jaki sposób najnowsza wersja Ryuk jest w stanie samodzielnie replikować się w sieci lokalnej:

„Oprogramowanie ransomware może rozprzestrzeniać się w sieci przy użyciu Wake-on-LAN, funkcji, która umożliwia zdalne włączanie komputerów z systemem Windows przez inną maszynę w tej samej sieci.” Rozprzestrzeniając się na każdą osiągalną maszynę w sieci, atak Ryuk może być znacznie bardziej szkodliwy.

Zdolność ta została odkryta, gdy ANSSI zareagowało na niezidentyfikowany incydent Ryuk ransomware na początku tego roku.

W dokumencie ANSSI można przeczytać, że Ryuk pozostaje szczególnie aktywny i że „co najmniej jeden z jego operatorów zaatakował szpitale podczas pandemii”.

Ryuk jest często wprowadzany do sieci ofiar jako ostatni etap wieloetapowych ataków, w których komputery są początkowo atakowane za pomocą Trickbota, Emoteta lub BazarLoader – często poprzez ataki phishingowe. Te skompromitowane sieci są następnie przekazywane lub wynajmowane grupie operatorów Ryuk w celu zainfekowania ich oprogramowaniem ransomware maszyn ofiar.

Najczęstrzym powodem udanych ataków na różne organizacje jest fakt, iż firmy (i inne podmioty) nie stosują łat na znane luki w zabezpieczeniach. Ważne jest również regularnie wykonywanie kopii zapasowych (back-up’ów) – i przechowywnie je w trybie offline – tak aby w przypadku padnięcia ofiarą ataku typu ransomware można było odzyskać zaszyfrowane dane bez konieczności poddawania się żądaniom cyberprzestępców.