Ryuk ransomware verspreidt zichzelf via netwerken - Update

14 reacties

De Franse cyberveiligheidsorganisatie ANSSI heeft een nieuwe variant van de Ryuk-ransomware ontdekt. De trojaan verspreidt zich zelfstandig via netwerken. Hierdoor wordt de ongewenste software steeds vaker waargenomen.

Bleeping Computer legt uit hoe de chantagesoftware nu werkt. De mensen achter de ransomware hebben hem worm-achtige eigenschappen toegevoegd. Dat is vergelijkbaar met hoe de Emotet Trojan werkt. Hiermee kan de besmette computer in het netwerk ook andere apparaten in het netwerk besmetten. Ryuk is een malware as a service en de groep achter deze kwaadaardige software staat bekend om de hoge bedragen die ze vragen om versleutelde data vrij te geven.

Door gebruik te maken van een Windows RPC kan de ransomware zich binnen een netwerk van Windows naar Windows-computer verspreiden. Om zich te verspreiden bekijkt de software alle IP-adressen in de lokale ARP-cache en stuurt een Wake-on-Lan (WOL)-pakket naar al die apparaten en vervolgens worden gedeelde folders van de computer geopend en gaat de ransomware aan de slag met het versleutelen van de data op de ontdekte computers.

Vorig jaar ontdekte de CEO van Advanced Intelligence, VItali Kremez al dat Ryuk gedeelde folders kon koppelen. Inmiddels is Ryuk ook in staat zichzelf te kopieren naar andere computers in het netwerk. En daarnaast kan het zichzelf op afstand starten door gebruik te maken van de geplande taken van Windows via schtasks.exe

ANSSI zegt: The Ryuk variant analyzed in this document does have self-replication capabilities. The propagation is achieved by copying the executable on identified network shares. This step is followed by the creation of a scheduled task on the remote machine. [..] Some filenames were identified for this copy: rep.exe and lan.exe. "One way to tackle the problem could be to change the password or disable the user account (according to the used account) and then proceed to a double KRBTGT domain password change," 

Meer informatie over deze oprukkende malware vind je hier

Update 4-3-2021 13:00 uur:

Theoretisch zou je Ryuk moeten tegen kunnen gaan op het moment van wegschrijven van de ransomware op de harde schijven, dat vereist een instellingswijziging van de security software op alle toestellen en kan een serieuze vertraging van de toestellen teweeg brengen. Artificiele intelligentie in de security software van het eerste geïnfecteerde toestel zou dit mogelijks ook kunnen tegengaan indien Ryuk de software niet af heeft gezet.

We hebben Eddy Willems, security specialist bij G DATA om een reactie gevraagd: 

Theoretisch zou je Ryuk moeten tegen kunnen gaan op het moment van wegschrijven van de ransomware op de harde schijven, dat vereist een instellingswijziging van de security software op alle toestellen en kan een serieuze vertraging van de toestellen teweeg brengen. Artificiele intelligentie in de security software van het eerste geïnfecteerde toestel zou dit mogelijks ook kunnen tegengaan indien Ryuk de software niet af heeft gezet.

Er is echter ook een andere betere mogelijkheid. De beste oplossing die ik hier zie is het Zero Trust model. Gebaseerd op het principe van “vertrouw nooit, controleer altijd“, helpt Zero Trust hardware en software te beveiligen door onbekende en onbeheerde apparaten te elimineren en de zijwaartse beweging te beperken. De implementatie van een echt Zero Trust-model vereist dat alle componenten, gebruikersidentiteit, apparaat, netwerk en applicaties, worden gevalideerd en bewezen betrouwbaar zijn. Zero Trust controleert identiteit- en de apparaat status voordat er toegang wordt verleend. Wanneer toegang wordt verleend, beperkt het toepassen van het principe van minste privilege gebruikerstoegang tot alleen die middelen die expliciet zijn geautoriseerd voor elke gebruiker, waardoor het risico van zijwaartse verplaatsing binnen de omgeving wordt beperkt. Let wel, dit vereist een radicale verandering van de meeste bedrijfsnetwerken en hun werking ervan.

 

Bronnen: Bleeping Computer, ANSSI, Winfutere

« Vorig bericht Volgend bericht »
0
*