De beruchte Ryuk-ransomware heeft een belangrijke update gekregen, het uitrusten met een nieuwe werk-achtige mogelijkheid. Door deze mogelijkheid kan de ransomware zich verspreiden over gecompromitteerde netwerken, waardoor het nog gevaarlijker wordt.
Ryuk-ransomware bijgewerkt met nieuwe wormachtige mogelijkheden
De Ryuk-ransomware-operatie is een van de meest succesvolle campagnes in termen van financieel succes. De cybercriminelen erachter hebben meer dan verdiend $150 miljoen in Bitcoin van losgeldbetalingen, meestal gemaakt door organisaties over de hele wereld.
De nieuwe kwaadaardige mogelijkheid in de ransomware was opgegraven door ANSSI. “Een Ryuk-monster met wormachtige mogelijkheden waardoor het zich automatisch verspreidt binnen netwerken die het infecteert,werd ontdekt tijdens een incidentrespons die begin 2021 door de ANSSI werd afgehandeld ”, delen de onderzoekers.
Het rapport waarschuwt ook dat de ransomware actief blijft, gericht op ziekenhuizen tijdens de pandemie. Het is bekend dat Ryuk zich ook op andere organisaties richt, zoals Het rechtssysteem van Georgië.
Ryuk's ransomwaremogelijkheden
De ransomware bevat een druppelaar die een van de twee versies van een gegevenscoderingsmodule laat vallen (32- of 64-bits) op het beoogde systeem. Dan, de druppelaar voert de payload uit. Na een korte pauze, de ransomware stopt meer dan 40 processen en 180 diensten, vooral dergelijke met betrekking tot antivirussoftware, databases, en back-ups, ANSSI waarschuwt. Persistentie wordt bereikt door het maken van een registersleutel.
In termen van encryptie, Ryuk gebruikt een combinatie van het symmetrische (AES) en asymmetrisch (RSA) encryptie-algoritmen. Deze combinatie codeert niet alleen de bestanden, maar beschermt ook de coderingssleutel, waardoor het voor een derde onmogelijk wordt gemaakt om de gegevens te ontsleutelen.
Ryuk-ransomware in eerdere campagnes
Een van de vorige updates van de Ryuk omvatte de toevoeging van een IP-blacklisting mogelijkheid. Deze mogelijkheid stelde het in staat om de uitvoer van de "arp –a" -parameter te controleren op specifieke IP-adresreeksen.
Voor het geval deze strings zijn gevonden, de ransomware zou de bestanden op die computer niet versleutelen. Bestanden ontvingen de .rijk extension als een secundair, zonder enige veranderingen aangebracht in de oorspronkelijke naam van een versleuteld bestand.