Jump to content
  • Pesquisadores detectaram que uma variante do ransomware Ryuk pode se propagar como um worm nas redes locais. Segundo o ThreatPost, a nova versão surgiu pela primeira vez em campanhas voltadas para o Windows no início de 2021. A descoberta foi da Agência Nacional Francesa para a Segurança dos Sistemas de Informação (ANSSI), que disse que a variante alcança a auto-replicação por meio da varredura de compartilhamentos de rede e, em seguida, copiando uma versão exclusiva do executável do ransomware para cada um deles à medida que são encontrados.

    Uma vez iniciado, o Ryuk se espalhará em todas as máquinas acessíveis nas quais os acessos de Chamada de Procedimento Remoto do Windows sejam possíveis, dizem os pesquisadores. A nova versão do Ryuk também lê as tabelas do protocolo de resolução de endereços (ARP) dos dispositivos infectados, que armazenam os endereços IP e endereços MAC de todos os dispositivos de rede com os quais as máquinas se comunicam. Em seguida, ele envia um pacote “Wake-On-LAN” para cada host, com o objetivo de despertar os computadores desligados.

    Para cada host identificado, o Ryuk tentará montar possíveis compartilhamentos de rede usando Server Message Block (SMB), de acordo com o relatório da Agência. O SMB é uma função do Windows que permite compartilhar, abrir ou editar arquivos  em computadores e servidores remotos.

    Assim que todos os compartilhamentos de rede disponíveis forem identificados ou criados, a carga é instalada nos novos destinos, sendo autoexecutada usando uma tarefa agendada. Isso permite que o Ryuk criptografe o conteúdo dos destinos e exclua quaisquer cópias para evitar a recuperação de arquivos.

    O malware também interrompe vários programas com base em listas codificadas, incluindo uma lista de 41 processos a serem eliminados e uma lista de 64 serviços a serem interrompidos.

    O ponto de infecção inicial é uma conta de domínio privilegiado. A análise mostra que a propagação de worms desta versão do Ryuk não pode ser impedida através do ponto de infecção inicial, sendo que uma conta privilegiada do domínio é usada para propagação de malware. Se a senha deste usuário for alterada, a replicação continuará. Uma maneira de lidar com uma infecção ativa, segundo a ANSSI, seria alterar a senha ou desabilitar a conta do usuário privilegiado e, em seguida, forçar uma alteração de senha de domínio. 


    User Feedback

    Recommended Comments

    There are no comments to display.



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...