РАНСЪМУЕР СЕ САМОРАЗПРОСТРАНЯВА ПРЕЗ МРЕЖОВИ УСТРОЙСТВА

Picture of Здравко Боджов
Здравко Боджов
Aрхив | Факти и данни
1 март 2021

Нов вариант на рансумуер Ryuk с подобни на червей възможности, които му позволяват да се разпространява на други устройства в локалните мрежи на жертвите беше открит от Френската национална агенция за киберсигурност при разследване на инцидент в началото на годината.

„Чрез използването на планирани задачи, зловредният софтуер се разпространява – машина към машина – в рамките на домейна на Windows“, се казва в доклад, публикуван днес, от ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

„Веднъж стартиран, той ще се разпространи на всяка достижима машина, на която е възможен достъпа до Windows RPC.“

Самовъзпроизвеждане на други мрежови устройства

За да се разпространи в локалната мрежа, новият вариант на Ryuk изброява всички IP адреси в локалния кеш ARP и изпраща пакети, които приличат на Wake-on-LAN (WOL) пакети към всяко от откритите устройства. След това монтира всички ресурси за споделяне, намерени за всяко устройство, за да може да криптира съдържанието. Способността на Ryuk да монтира и криптира устройствата на отдалечени компютри беше наблюдавана преди това от изпълнителния директор на Advanced Intelligence Виталий Кремез миналата година. Това, което прави тази нова проба Ryuk различна, е способността й да се копира на други устройства с Windows в локалните мрежи на жертвите. Освен това той може да се изпълнява дистанционно, като използва планирани задачи, създадени на всеки последващо компрометиран мрежов хост с помощта на законния инструмент schtasks.exe Windows.

Въпреки че не използва механизъм за изключване, който би му попречил да прекриптира устройства, ANSSI казва, че новият вариант все още може да бъде блокиран от заразяване на други хостове в мрежата чрез промяна на паролата на привилегирования акаунт на домейн, който използва за разпространение до други хостове. „Един от начините за справяне с проблема може да бъде промяната на паролата или деактивирането на потребителския акаунт (според използвания акаунт) и след това да се пристъпи към двойна промяна на паролата за домейн KRBTGT“, казва ANSSI. „Това би предизвикало много смущения в домейна – и най-вероятно ще изисква много рестартирания, но също така би могло незабавно да ограничи разпространението. Други подходи за ограничаване на разпространението също могат да бъдат разгледани, особено чрез насочване към средата за изпълнение на зловредния софтуер.“

 

#атаки, # рансъмуер, # хакове
По материали от Интернет

Подобни

Anthropic инвестира 50 милиарда долара в изграждането на центрове за данни
13.11.2025
data center-7679071_1280
ИИ измами в Seoul National University
13.11.2025
korea flag-2529114_1280
Майкъл Кейн и Матю Макконъхи подписаха договор с ElevenLabs
13.11.2025
Real AI vs Fake AI
GEMA печели дело срещу OpenAI
13.11.2025
ai
Русия въвежда 24-часова блокировка на чуждестранни и неактивни SIM
12.11.2025
drone-6021114_1280
Системите на Asahi все още недостъпни
12.11.2025
asahi

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Кибер въоръжаване и ИИ: Новите предизвикателства на бойното поле
4.10.2025
military-8431995_1280

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.