¡Cuidado! Ryuk Ransomware conecta dispositivos desconectados para cifrar …

El ransomware Ryuk ha estado en funcionamiento desde agosto de 2018 y está dirigido a varias organizaciones grandes, exigiendo un alto rescate. Ahora, los autores detrás de él lo han hecho más letal al darle nuevos rasgos. Según lo informado por Computadora de bipingRyuk ransomware ahora usa la función Wake-on-Lan para apagar los dispositivos desconectados en una red comprometida.

Wake-on-Lan es una función de hardware que activa un dispositivo fuera de línea en una red enviando un mensaje de red. Los administradores de red suelen utilizar esta función para enviar actualizaciones o completar tareas ya programadas cuando se enciende el dispositivo.

Un análisis de Vitali Kremez, director de SentinelLabs, sugiere que cuando se ejecuta el ransomware Ryuk, genera subprocesos con el argumento ‘8 Lan’.

Subproceso de generación con argumento 8 Lan [Source: Bleeping Computer]Después de ejecutar el argumento 8 Lan, el malware comprueba la tabla del protocolo de resolución de direcciones (ARP) del dispositivo de destino, que almacena información sobre las direcciones IP y la dirección MAC correspondiente. Comprueba si las entradas están relacionadas con subredes de direcciones IP privadas de “10”, “172.16” y “192.168”.

12-01-2020: 🆕🔥 #Ryuk #Secuestro de datos | #Firmado
🇦🇺[PET PLUS PTY LTD] #DigiCert
1⃣Construcción: 9 de enero de 2020
2⃣Ocultación de cadena más nueva
3⃣Arg en ejecución y cifrado y 8 LAN como “lan.exe”
4. El mismo paquete de Wake-on-LAN (WOL) 172.16 y 192.168
Ref -> https://t.co/jdsR62ph0g
h / t @malwrhunteequipo pic.twitter.com/6Ec9AK7bWc

– Vitali Kremez (@VK_Intel) 12 de enero de 2020

Si el resultado es positivo, Ryuk despierta el dispositivo enviando un paquete Wake-on-Lan (WoL) a la dirección MAC. Una vez que la solicitud de WoL es exitosa, Ryuk configura el recurso compartido administrativo C $ del dispositivo. Si el recurso compartido se monta correctamente, Ryuk cifra la unidad de la computadora.

Ryuk enviando un paquete WoL [Source: Bleeping Computer]En declaraciones a Bleeping Computer, Vitali Kremez dijo: “Así es como el grupo adaptó el modelo de ransomware en la red para afectar a más máquinas a través de una sola infección y llegar a las máquinas a través de WOL y ARP. Permite un mayor alcance y menos aislamiento y demuestra su experiencia en el trato con grandes entornos corporativos. “

Para evitar un ataque de ransomware Ryuk, se recomienda a los administradores de red que permitan los paquetes Wake-on-Lan solo desde dispositivos autorizados.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *