Expertos franceses detectaron una nueva variante ransomware Ryuk que implementa capacidades de auto-propagación para infectar otros dispositivos en las redes locales de las víctimas.

Expertos franceses detectaron una nueva variante ransomware Ryuk que implementa capacidades de auto-propagación para infectar otros dispositivos en las redes locales de las víctimas.

Expertos de la agencia nacional francesa de ciberseguridad ANSSI han detectado una nueva variante ransomware Ryuk que implementa capacidades similares a gusanos dentro de las redes.

"Además de sus funciones habituales, esta versión contiene un nuevo atributo que le permite autoexpresarse a través de la red local", se lee en el informe publicado por la ANSSI. "A través del uso de tareas programadas, el malware se propaga a sí mismo – máquina a máquina – dentro del dominio de Windows. Una vez lanzado, por lo tanto, se extenderá en cada máquina accesible en la que los accesos RPC de Windows son posibles."

Esta variante ransomware Ryuk no incluye ningún mecanismo para bloquear la ejecución del ransomware (MUTEX como o de lo contrario), se copia con un representante.exe o lan.exe sufijo.
El ransomware genera todas las direcciones IP posibles en las redes locales y les envía un ping ICMP. Enumera las direcciones IP de la caché ARP local y les envía un paquete, después enumera todos los recursos de uso compartido abiertos en los IP encontrados, monta cada uno de ellos, e intenta cifrar su contenido. Esta variante también puede crear de forma remota una tarea programada para ejecutarse en este host.
Las tareas programadas se crean con la herramienta nativa de Windows schtasks.exe.

"La variante Ryuk analizada en este documento tiene capacidades de auto-replicación. La propagación se logra copiando el ejecutable en recursos compartidos de red identificados. Este paso va seguido de la creación de una tarea programada en el equipo remoto",continúa el informe. "El contenido de esta tarea programada se describe en el análisis presente en este documento. Se identificaron algunos nombres de archivo para esta copia: rep.exe y lan.exe. Por último, Ryuk elimina las instantáneas de volumen para evitar la recuperación de archivos."

El ransomware logra la persistencia estableciendo la clave del
Registro HKEY_CURRENT_USERSOFTWAREMicrosoft WindowsCurrentVersionRunsvchost con su ruta de archivo.
Informe ANSSI reveló que el ransomware no comprueba si una máquina ya ha sido infectado, el código malicioso utiliza una cuenta privilegiada del dominio para su propagación. Los expertos franceses señalaron que incluso si se cambia la contraseña del usuario, la replicación continuará siempre y cuando los vales kerberos no hayan caducado.

"Una forma de abordar el problema podría ser cambiar la contraseña o deshabilitar la cuenta de usuario (según la cuenta usada) y luego proceder a un doble cambio de contraseña de dominio KRBTGT. Esto induciría muchas perturbaciones en el dominio, y lo más probable es que requiera muchos reinicios, pero también contendría inmediatamente la propagación", continúa el informe.

ANSSI también proporcionó indicadores de compromiso (IOC) asociados con esta nueva variante ransomware Ryuk.

No Comments

Post A Comment

× Contáctanos