Търсене
Close this search box.

РАНСЪМУЕР СЕ САМОРАЗПРОСТРАНЯВА ПРЕЗ МРЕЖОВИ УСТРОЙСТВА

Нов вариант на рансумуер Ryuk с подобни на червей възможности, които му позволяват да се разпространява на други устройства в локалните мрежи на жертвите беше открит от Френската национална агенция за киберсигурност при разследване на инцидент в началото на годината.

„Чрез използването на планирани задачи, зловредният софтуер се разпространява – машина към машина – в рамките на домейна на Windows“, се казва в доклад, публикуван днес, от ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

„Веднъж стартиран, той ще се разпространи на всяка достижима машина, на която е възможен достъпа до Windows RPC.“

Самовъзпроизвеждане на други мрежови устройства

За да се разпространи в локалната мрежа, новият вариант на Ryuk изброява всички IP адреси в локалния кеш ARP и изпраща пакети, които приличат на Wake-on-LAN (WOL) пакети към всяко от откритите устройства. След това монтира всички ресурси за споделяне, намерени за всяко устройство, за да може да криптира съдържанието. Способността на Ryuk да монтира и криптира устройствата на отдалечени компютри беше наблюдавана преди това от изпълнителния директор на Advanced Intelligence Виталий Кремез миналата година. Това, което прави тази нова проба Ryuk различна, е способността й да се копира на други устройства с Windows в локалните мрежи на жертвите. Освен това той може да се изпълнява дистанционно, като използва планирани задачи, създадени на всеки последващо компрометиран мрежов хост с помощта на законния инструмент schtasks.exe Windows.

Въпреки че не използва механизъм за изключване, който би му попречил да прекриптира устройства, ANSSI казва, че новият вариант все още може да бъде блокиран от заразяване на други хостове в мрежата чрез промяна на паролата на привилегирования акаунт на домейн, който използва за разпространение до други хостове. „Един от начините за справяне с проблема може да бъде промяната на паролата или деактивирането на потребителския акаунт (според използвания акаунт) и след това да се пристъпи към двойна промяна на паролата за домейн KRBTGT“, казва ANSSI. „Това би предизвикало много смущения в домейна – и най-вероятно ще изисква много рестартирания, но също така би могло незабавно да ограничи разпространението. Други подходи за ограничаване на разпространението също могат да бъдат разгледани, особено чрез насочване към средата за изпълнение на зловредния софтуер.“

 

Източник: По материали от Интернет

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
16 май 2024

Украински и латвийски телевизии бяха отвлечени

Само в Украйна бяха прекъснати поне 15 телевизионни канала, което, ...
16 май 2024

Ascension Healthcare претърпява сериозна кибера...

Атаката прекъсна достъпа до електронните здравни досиета (ЕЗД) и си...
Бъдете социални
Още по темата
16/05/2024

Ascension Healthcare претър...

Атаката прекъсна достъпа до електронните здравни...
15/05/2024

Singing River: Данните на 8...

Здравната система Singing River Health System...
14/05/2024

Изходният код на INC ransom...

Киберпрестъпник, използващ името „salfetka“, твърди, че...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!