Pesquisadores detectaram que uma variante do ransomware Ryuk pode se propagar como um worm nas redes locais. Segundo o ThreatPost, a nova versão surgiu pela primeira vez em campanhas voltadas para o Windows no início de 2021. A descoberta foi da Agência Nacional Francesa para a Segurança dos Sistemas de Informação (ANSSI), que disse que a variante alcança a auto-replicação por meio da varredura de compartilhamentos de rede e, em seguida, copiando uma versão exclusiva do executável do ransomware para cada um deles à medida que são encontrados.
Uma vez iniciado, o Ryuk se espalhará em todas as máquinas acessíveis nas quais os acessos de Chamada de Procedimento Remoto do Windows sejam possíveis, dizem os pesquisadores. A nova versão do Ryuk também lê as tabelas do protocolo de resolução de endereços (ARP) dos dispositivos infectados, que armazenam os endereços IP e endereços MAC de todos os dispositivos de rede com os quais as máquinas se comunicam. Em seguida, ele envia um pacote “Wake-On-LAN” para cada host, com o objetivo de despertar os computadores desligados.
Para cada host identificado, o Ryuk tentará montar possíveis compartilhamentos de rede usando Server Message Block (SMB), de acordo com o relatório da Agência. O SMB é uma função do Windows que permite compartilhar, abrir ou editar arquivos em computadores e servidores remotos.
Assim que todos os compartilhamentos de rede disponíveis forem identificados ou criados, a carga é instalada nos novos destinos, sendo autoexecutada usando uma tarefa agendada. Isso permite que o Ryuk criptografe o conteúdo dos destinos e exclua quaisquer cópias para evitar a recuperação de arquivos.
O malware também interrompe vários programas com base em listas codificadas, incluindo uma lista de 41 processos a serem eliminados e uma lista de 64 serviços a serem interrompidos.
O ponto de infecção inicial é uma conta de domínio privilegiado. A análise mostra que a propagação de worms desta versão do Ryuk não pode ser impedida através do ponto de infecção inicial, sendo que uma conta privilegiada do domínio é usada para propagação de malware. Se a senha deste usuário for alterada, a replicação continuará. Uma maneira de lidar com uma infecção ativa, segundo a ANSSI, seria alterar a senha ou desabilitar a conta do usuário privilegiado e, em seguida, forçar uma alteração de senha de domínio.
Comentários Recomendados
Não há comentários para mostrar.
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.