Die berüchtigte Ryuk Ransomware hat ein wichtiges Update erhalten, Ausstattung mit einer neuen arbeitsähnlichen Fähigkeit. Die Funktion ermöglicht es der Ransomware, sich über gefährdete Netzwerke zu verbreiten, macht es noch gefährlicher.
Ryuk Ransomware mit neuer wurmartiger Funktion aktualisiert
Der Ryuk Ransomware-Betrieb ist eine der erfolgreichsten Kampagnen in Bezug auf den finanziellen Erfolg. Die Cyberkriminellen dahinter haben mehr als gemacht $150 Millionen in Bitcoin aus Lösegeldzahlungen, Meistens von Organisationen weltweit hergestellt.
Die neue bösartige Fähigkeit in der Ransomware war von ANSSI ausgegraben. „Ein Ryuk-Beispiel mit wurmartigen Funktionen, das es ermöglicht, sich automatisch in infizierten Netzwerken zu verbreiten,wurde während einer Reaktion des ANSSI Anfang 2021 entdeckt “, teilen die Forscher mit.
Der Bericht warnt auch davor, dass die Ransomware aktiv bleibt, gezielt Krankenhäuser während der Pandemie. Es ist bekannt, dass Ryuk auch andere Organisationen anspricht, sowie Georgiens Gerichtssystem.
Ryuks Ransomware-Funktionen
Die Ransomware enthält einen Dropper, der eine der beiden Versionen eines Datenverschlüsselungsmoduls löscht (32- oder 64-bit) auf dem Zielsystem. Dann, Der Dropper führt die Nutzlast aus. Nach einer kurzen Pause, Die Ransomware stoppt mehr als 40 Prozesse und 180 Dienstleistungen, insbesondere solche im Zusammenhang mit Antivirensoftware, Datenbanken, und Backups, ANSSI warnt. Die Persistenz wird durch die Erstellung eines Registrierungsschlüssels erreicht.
In Bezug auf die Verschlüsselung, Ryuk verwendet eine Kombination der Symmetrie (AES) und asymmetrisch (RSA) Verschlüsselungsalgorithmen. Diese Kombination verschlüsselt nicht nur die Dateien, sondern schützt auch den Verschlüsselungsschlüssel, Dies macht es einem Dritten unmöglich, die Daten zu entschlüsseln.
Ryuk Ransomware in früheren Kampagnen
Zu den früheren Updates des Ryuk gehörte das Hinzufügen von eine IP-Blacklisting-Funktion. Diese Fähigkeit ermöglichte es ihm, die Ausgabe des Parameters „arp –a“ auf bestimmte IP-Adresszeichenfolgen zu überprüfen.
Falls diese Zeichenfolgen gefunden wurden, Die Ransomware verschlüsselt die Dateien auf diesem Computer nicht. Dateien erhalten die .RICH Erweiterung als sekundäre, ohne auf den ursprünglichen Namen einer verschlüsselten Datei vorgenommenen Änderungen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: