РАНСЪМУЕР СЕ САМОРАЗПРОСТРАНЯВА ПРЕЗ МРЕЖОВИ УСТРОЙСТВА

Нов вариант на рансумуер Ryuk с подобни на червей възможности, които му позволяват да се разпространява на други устройства в локалните мрежи на жертвите беше открит от Френската национална агенция за киберсигурност при разследване на инцидент в началото на годината.

„Чрез използването на планирани задачи, зловредният софтуер се разпространява – машина към машина – в рамките на домейна на Windows“, се казва в доклад, публикуван днес, от ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

„Веднъж стартиран, той ще се разпространи на всяка достижима машина, на която е възможен достъпа до Windows RPC.“

Самовъзпроизвеждане на други мрежови устройства

За да се разпространи в локалната мрежа, новият вариант на Ryuk изброява всички IP адреси в локалния кеш ARP и изпраща пакети, които приличат на Wake-on-LAN (WOL) пакети към всяко от откритите устройства. След това монтира всички ресурси за споделяне, намерени за всяко устройство, за да може да криптира съдържанието. Способността на Ryuk да монтира и криптира устройствата на отдалечени компютри беше наблюдавана преди това от изпълнителния директор на Advanced Intelligence Виталий Кремез миналата година. Това, което прави тази нова проба Ryuk различна, е способността й да се копира на други устройства с Windows в локалните мрежи на жертвите. Освен това той може да се изпълнява дистанционно, като използва планирани задачи, създадени на всеки последващо компрометиран мрежов хост с помощта на законния инструмент schtasks.exe Windows.

Въпреки че не използва механизъм за изключване, който би му попречил да прекриптира устройства, ANSSI казва, че новият вариант все още може да бъде блокиран от заразяване на други хостове в мрежата чрез промяна на паролата на привилегирования акаунт на домейн, който използва за разпространение до други хостове. „Един от начините за справяне с проблема може да бъде промяната на паролата или деактивирането на потребителския акаунт (според използвания акаунт) и след това да се пристъпи към двойна промяна на паролата за домейн KRBTGT“, казва ANSSI. „Това би предизвикало много смущения в домейна – и най-вероятно ще изисква много рестартирания, но също така би могло незабавно да ограничи разпространението. Други подходи за ограничаване на разпространението също могат да бъдат разгледани, особено чрез насочване към средата за изпълнение на зловредния софтуер.“

#атаки, # рансъмуер, # хакове

По материали от Интернет

Подобни

Кибератака спря интернет достъпа в училища и детски градини в Инвърклайд

25.01.2026

Кибератака срещу Дрезденските държавни художествени колекции

25.01.2026

Край на дългия регулаторен спор около TikTok

23.01.2026

OpenAI влиза в хардуера през втората половина на 2026 г.

23.01.2026

Гръцката полиция разби схема за SMS фишинг от ново поколение

23.01.2026

flag-greece-officially-adopted-first-national-assembly-epidaurus-january-50937798

Централната банка на Иран използва USDT, за да заобикаля санкциите

23.01.2026

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"