top of page
  • Foto del escritorTeam Inntesec

Variante de Ransomware Evil Ryuk ahora utiliza Wake-on-Lan para cifrar sus dispositivos sin conexión



Debes haber oído hablar de RYUK antes, es una de las variantes de ransomware más desagradables y malignas atribuidas a los “Actores” ciberdelincuentes patrocinados por el estado de Corea del Norte. Son un APT (Amenaza persistente avanzada) y permanecen en silencio, viven sin ser detectados en su red durante meses, y luego, atacan cifran todos los dispositivos en la red para crear la máxima cantidad de interrupción y tiempo de inactividad.


Y ahora tienen una nueva "característica"


Ryuk usa la función Wake-on-Lan para encender dispositivos apagados en una red corporativa y comprometida para tener un mayor éxito al encriptarlos.


Wake-on-Lan es una función del hardware que permite que un dispositivo apagado se active o encienda enviando un paquete de red especial. Muy útil para los administradores que pueden necesitar enviar actualizaciones a una computadora o realizar tareas programadas cuando está apagada. También es muy útil para los APT maliciosas.


Según un análisis reciente de Ryuk realizado por el jefe de SentinelLabs Vitali Kremez, cuando se ejecuta el malware, generará subprocesos con el argumento '8 LAN'.


Cómo funciona


Ryuk escaneará la tabla ARP del dispositivo, que es una lista de direcciones IP conocidas en la red y sus direcciones MAC asociadas, y verificará si las entradas son parte de las subredes de direcciones IP privadas de "10." "172.16." Y "192.168".


Si la entrada ARP es parte de alguna de esas redes, Ryuk enviará un paquete Wake-on-Lan (WoL) a la dirección MAC del dispositivo para que se encienda. Esta solicitud WoL viene en forma de un 'paquete mágico' que contiene 'FF FF FF FF FF FF FF FF'. Si la solicitud de WoL fue exitosa, Ryuk intentará montar el recurso compartido administrativo C $ del dispositivo remoto.


Monte la unidad en el control remoto C $ Share

Si pueden montar el recurso compartido, Ryuk también cifrará el disco de esa computadora remota. En conversaciones con BleepingComputer, Kremez declaró que esta evolución en las tácticas de Ryuk permite un mejor alcance en una red comprometida desde un solo dispositivo y muestra la habilidad del operador de Ryuk atravesando una red corporativa.


"Así es como el grupo adaptó el modelo de ransomware en toda la red para afectar a más máquinas a través de la infección única y al llegar a las máquinas a través de WoL & ARP", dijo Kremez a BleepingComputer. "Permite un mayor alcance y menos aislamiento y demuestra su experiencia en el manejo de grandes entornos corporativos".

Fuente: KnowBe4



¿Qué tan vulnerable es su red cuando una APT ha penetrado sus sistemas?

RanSim con simulación Cryptominer

¿Quiere saber si su software de seguridad de punto final bloqueará las variantes de ransomware como Ryuk?


Los malos están constantemente lanzando nuevas variantes de malware para evadir la detección. ¡Es por eso que hemos actualizado nuestra herramienta simulada Ransomware "RanSim" para incluir un nuevo escenario de criptominería!


Este nuevo escenario de criptominería simula una operación de minería de criptomonedas Monero en la máquina local. La minería de Monero es la criptomoneda más popular extraída por malware del mundo real y requiere muchos ciclos de CPU y GPU para procesar los datos necesarios para generar las monedas.


Pruebe la NUEVA herramienta Simulador de ransomware de KnowBe4 y eche un vistazo rápido a la efectividad de su protección de red existente contra las últimas amenazas.

RanSim simulará 13 escenarios de infección de ransomware y 1 escenario de infección de criptominería para mostrarle si una estación de trabajo es vulnerable a la infección.


Así es como funciona RanSim

  • Simulación 100% inofensiva de ransomware real y escenarios de infección de criptominería.

  • No usa ninguno de tus propios archivos.

  • Prueba 14 tipos diferentes de escenarios de infección.

  • Simplemente descargue la instalación y ejecútela.

  • Resultados en unos minutos!.

  • Esta es una herramienta complementaria y te llevará 5 minutos como máximo. ¡RanSim puede darle algunas ideas sobre la seguridad de su punto final que nunca esperó!


3 visualizaciones0 comentarios

Comments


bottom of page