O infame ransomware Ryuk recebeu uma atualização importante, equipando-o com uma nova capacidade de trabalho. A capacidade permite que o ransomware se espalhe por redes comprometidas, tornando ainda mais perigoso.
Ryuk ransomware atualizado com nova capacidade semelhante a worm
A operação de ransomware Ryuk é uma das campanhas de maior sucesso em termos de sucesso financeiro. Os cibercriminosos por trás disso fizeram mais do que $150 milhões em Bitcoin de pagamentos de resgate, principalmente feito por organizações em todo o mundo.
O novo recurso malicioso no ransomware era desenterrado por ANSSI. “Uma amostra de Ryuk com recursos semelhantes a worm, permitindo que se espalhe automaticamente nas redes que infecta,foi descoberta durante uma resposta a incidentes tratada pela ANSSI no início de 2021 ”, compartilham os pesquisadores.
O relatório também avisa que o ransomware permanece ativo, visando hospitais durante a pandemia. Ryuk é conhecido por atingir outras organizações também, tal como Sistema judiciário da Geórgia.
Recursos de ransomware de Ryuk
O ransomware contém um conta-gotas que descarta uma das duas versões de um módulo de criptografia de dados (32- ou 64 bits) no sistema direcionado. Então, o conta-gotas executa a carga útil. Depois de uma pequena pausa, o ransomware para mais do que 40 processos e 180 Serviços, especialmente aqueles relacionados ao software antivírus, bases de dados, e backups, ANSSI Warns. A persistência é alcançada através da criação de uma chave de registro.
Em termos de criptografia, Ryuk usa uma combinação do simétrico (AES) e assimétrico (RSA) algoritmos de criptografia. Esta combinação não só criptografa os arquivos, mas também protege a chave de criptografia, tornando impossível para um terceiro descriptografar os dados.
Ryuk ransomware em campanhas anteriores
Uma das atualizações anteriores do Ryuk incluiu a adição de um recurso de lista negra de IP. Esta capacidade permitiu verificar a saída do parâmetro “arp –a” para strings de endereço IP.
Caso essas strings sejam encontradas, o ransomware não criptografaria os arquivos naquele computador. Os arquivos receberam o .extensão RICH como um secundário, sem quaisquer alterações feitas ao nome original de um arquivo criptografado.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: