05/03/21
Специалисты национального центра реагирования на компьютерные инциденты Франции (CERT-FR) рассказали об обновленном варианте программы-вымогателя Ryuk с возможностями червя, которые позволяют ему автоматически распространяться по сети своих жертв.
Ранее загрузка Ryuk осуществлялась с помощью трояна TrickBot, но в сентябре прошлого года злоумышленники начали использовать BazarBackdoor для получения доступа к целевым сетям. BazarBackdoor — загрузчик вредоносных программ, который также используется группировкой, стоящей за TrickBot.
Ryuk обычно распространяется через вредоносные фишинговые электронные письма, замаскированные под внутренние деловые документы с указанием соответствующих имен сотрудников или должностей в организации.
Предыдущие версии программы-вымогателя не могли автоматически перемещаться по сети. Однако во время расследования одного из инцидентов в начале нынешнего года исследователи обнаружили образец Ryuk с добавленными червеобразными свойствами, которые позволили ему автоматически распространяться по зараженным сетям. Распространение достигается за счет копирования исполняемого файла на идентифицированные общие сетевые ресурсы. После этого Ryuk создает запланированную задачу на удаленном компьютере, которое позволяет ему распространяться с компьютера на компьютер под управлением Windows.
После запуска программа-вымогатель распространяется на каждую доступную машину, которая обеспечивает доступ через удаленный вызов процедур Windows. После выполнения рекурсивного сканирования дисков и сетевого доступа в зараженной сети, вредоносная полезная нагрузка развертывается в контексте доверенного процесса.
Как отметили эксперты, именно на этом этапе вымогатель начинает шифровать все файлы в сети и обеспечивает себе персистентность, устанавливая в разделе реестра значение пути к файлу Ryuk.
Кроме того, последняя версия Ryuk, похоже, не содержит механизма исключения, который не может предотвратить повторное заражение на одних и тех же машинах. Примечательно, что Ryuk не шифрует некоторые файлы Windows, Mozilla Firefox и Google Chrome. Как пояснили эксперты, основные компоненты и браузеры остаются нетронутыми, чтобы жертвы могли прочитать требование выкупа и заплатить хакерам.
Однако в некоторых случаях Ryuk шифрует базовые файлы Windows. В результате пострадавшие организации могут столкнуться с трудностями или даже невозможностью восстановления зараженных устройств.
