باج افزار Ryuk اکنون به سایر دستگاه های LAN ویندوز گسترش می یابد
یک نوع باج افزار جدید Ryuk با قابلیت های کرم مانند که به آن امکان می دهد به سایر دستگاه ها در شبکه های محلی قربانیان سرایت کند ، توسط آژانس امنیت سایبری ملی فرانسه هنگام تحقیق در مورد حمله در اوایل سال 2021 کشف شده است.

ANSSI  در گزارشی که امروز منتشر شد گفت: “از طریق استفاده از وظایف برنامه ریزی شده (scheduled tasks) ، بدافزار خود را – ماشین به ماشین – در دامنه ویندوز گسترش می دهد.”

“پس از راه اندازی و آلوده نمودن یک دستگاه ، خود را در هر دستگاه قابل دستیابی که دسترسی RPC ویندوز در آن امکان پذیر است گسترش می دهد.”

تکثیر خودکار در سایر دستگاه های شبکه

برای انتشار خود از طریق شبکه محلی ، نوع جدید Ryuk تمام آدرس های IP موجود در حافظه نهانگاه ARP را لیست می کند و بسته های Wake-on-LAN (WOL) را به هر دستگاه کشف شده ارسال می کند. سپس تمام منابع به اشتراک گذاری یافت شده برای هر دستگاه را mount  می کند تا بتواند محتوای آن را رمزگذاری کند.
توانایی ریوک در نصب و رمزگذاری درایوهای رایانه های از راه دور پیش از این توسط مدیر عامل Advanced Intelligence ویتالی کرمز سال گذشته مشاهده شده بود.

آنچه این نمونه جدید Ryuk را متفاوت می کند ، قابلیت کپی کردن در سایر دستگاه های ویندوز در شبکه های محلی قربانیان است.

علاوه بر این ، می تواند با استفاده از کارهای برنامه ریزی شده ایجاد شده در هر میزبان شبکه متعاقباً با کمک ابزار قانونی Windows schtasks.exe ، خود را از راه دور اجرا کند.
نوع Ryuk که در این سند تجزیه و تحلیل شده است ، قابلیت تکثیر خود دارد. این مرحله با ایجاد یک کار برنامه ریزی شده در ماشین از راه دور دنبال می شود.  برخی از نام های پرونده برای این نسخه مشخص شده است: rep.exe و lan.exe. – ANSSI

لینک مطلب

 

نقص جدید در پشته Treck TCP / IP بر میلیون ها دستگاه اینترنت اشیا تأثیر می گذارد

حمله های باج افزار جهانی در سال 2020 و 4 تا از خطرناکترین آنها

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code