Il famigerato ransomware Ryuk ha ricevuto un importante aggiornamento, dotandolo di una nuova capacità simile al lavoro. La capacità consente al ransomware di diffondersi su reti compromesse, rendendolo ancora più pericoloso.
Ryuk ransomware aggiornato con nuove funzionalità simili a worm
L'operazione ransomware Ryuk è una delle campagne di maggior successo in termini di successo finanziario. I criminali informatici dietro di esso hanno guadagnato più di $150 milioni in Bitcoin da pagamenti di riscatto, per lo più realizzati da organizzazioni in tutto il mondo.
La nuova capacità dannosa nel ransomware era portato alla luce dall'ANSSI. “Un campione Ryuk con funzionalità simili a worm che gli consentono di diffondersi automaticamente all'interno delle reti che infetta,è stato scoperto durante una risposta a un incidente gestita dall'ANSSI all'inizio del 2021 ", condividono i ricercatori.
Il rapporto avverte inoltre che il ransomware rimane attivo, prendere di mira gli ospedali durante la pandemia. È noto che Ryuk prende di mira anche altre organizzazioni, come Sistema giudiziario della Georgia.
Funzionalità ransomware di Ryuk
Il ransomware contiene un contagocce che rilascia una delle due versioni di un modulo di crittografia dei dati (32- o 64-bit) sul sistema mirato. Poi, il contagocce esegue il carico utile. Dopo una breve pausa, il ransomware si ferma più di 40 processi e 180 servizi, specialmente quelli relativi al software antivirus, banche dati, e backup, L'ANSSI avverte. La persistenza si ottiene tramite la creazione di una chiave di registro.
In termini di crittografia, Ryuk usa una combinazione del simmetrico (AES) e asimmetrico (RSA) algoritmi di crittografia. Questa combinazione non solo crittografa i file, ma protegge anche la chiave di crittografia, rendendo impossibile a terzi la decrittografia dei dati.
Ryuk ransomware nelle campagne precedenti
Uno dei precedenti aggiornamenti di Ryuk includeva l'aggiunta di una funzionalità di blacklist IP. Questa capacità gli ha permesso di controllare l'output del parametro "arp –a" per stringhe di indirizzi IP specifiche.
Nel caso in cui queste stringhe siano state trovate, il ransomware non crittografa i file su quel computer. I file hanno ricevuto l'estensione .estensione RICH come una secondaria, senza le modifiche apportate al nome originale di un file crittografato.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: