Den berygtede Ryuk ransomware har modtaget en vigtig opdatering, udstyre den med en ny arbejdslignende kapacitet. Funktionen gør det muligt for ransomware at sprede sig over kompromitterede netværk, gør det endnu farligere.
Ryuk ransomware opdateret med ny ormlignende kapacitet
Ryuk ransomware operation er en af de mest succesrige kampagner med hensyn til økonomisk succes. Cyberkriminelle bag det har tjent mere end $150 millioner i Bitcoin fra løsepenge, hovedsagelig lavet af organisationer over hele verden.
Den nye ondsindede kapacitet i ransomware var udgravet af ANSSI. ”En Ryuk-prøve med ormlignende funktioner, der gør det muligt at sprede sig automatisk inden for netværk, den inficerer,blev opdaget under et hændelsesrespons, der blev håndteret af ANSSI i begyndelsen af 2021, ”fortæller forskerne.
Rapporten advarer også om, at ransomware forbliver aktiv, rettet mod hospitaler under pandemien. Ryuk har været kendt for også at målrette mod andre organisationer, såsom Georgiens domstolssystem.
Ryuks ransomwarefunktioner
Ransomware indeholder en dropper, der taber en af de to versioner af et datakrypteringsmodul (32- eller 64-bit) på det målrettede system. Derefter, dropperen udfører nyttelasten. Efter en kort pause, ransomware stopper mere end 40 processer og 180 tjenester, især sådan relateret til antivirussoftware, databaser, og sikkerhedskopier, ANSSI advarer. Persistens opnås gennem oprettelse af en registreringsdatabasenøgle.
I form af kryptering, Ryuk bruger en kombination af det symmetriske (AES) og asymmetrisk (RSA) krypteringsalgoritmer. Denne kombination krypterer ikke kun filerne, men beskytter også krypteringsnøglen, hvilket gør det umuligt for en tredjepart at dekryptere dataene.
Ryuk ransomware i tidligere kampagner
En af Ryuks tidligere opdateringer omfattede tilføjelsen af en IP-sortlisterfunktion. Denne mulighed gjorde det muligt at kontrollere output af “arp –a” -parameteren for specifikke IP-adressestrenge.
Hvis disse strenge blev fundet, ransomware krypterede ikke filerne på den computer. Modtagne filer .RICH udvidelse som en sekundær, uden nogen ændringer i forhold til det oprindelige navn på en krypteret fil.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: