Pojawił się nowy wariant ransomware Ryuk, który rozprzestrzenia się przez LAN, infekując urządzenia z systemem operacyjnym Windows. Ta nowa odmiana złośliwego oprogramowania została wykryta na początku bieżąco roku przez francuską agencję ds. cyberbezpieczeństwa (ANSSI). Dane dotyczące Polski na temat aktywności Ryuka nie pozostawiały złudzeń. W 2019 roku było to jedno z najgroźniejszych odmian oprogramowania szyfrującego. Jednym z najczęściej atakowanych krajów okazała się być Polska, notując w 2019 roku trzecie miejsce pod względem łącznej liczby detekcji.
Nową wersję Ryuka wyróżnia specyficzny rodzaj samoreplikacji, wcześniej raczej niespotykany w tej grupie złośliwego oprogramowania. Malware po uruchomieniu rozprzestrzenia się na inne urządzenia Windows z dostępem do protokołu RPC. Ransomware zaczytuje listę wszystkich adresów IP z pamięci podręcznej ARP (Address Resolution Protocol) i wysyła pakiety przypominające te z protokołu Wake-on-LAN (WOL) do wykrytych maszyn. Następnie rozpoczyna proces szyfrowania każdego z urządzeń.
Zdolność Ryuka do szyfrowania dysków zaobserwowano już w ubiegłym roku. Nowością jest natomiast możliwość samoreplikacji na inne urządzenia z systemem Windows pracujące w sieciach lokalnych.
Specjaliści od cyberbezpieczeństwo apelują o podjęcie odpowiednich kroków, które wyeliminują lub przynajmniej ograniczą zakres potencjalnych strat.
Zamiast płacić okup cyberprzestępcom firmy powinny zainwestować w dobre oprogramowanie antywirusowe, oferujące funkcje anty-ransomware. Nie mniej ważny jest odpowiedni dobór narzędzi do backupu. W ostatnim czasie coraz częściej wspomina się o tworzeniu tzw. niezmiennego backupu, który chroni dane krytyczne przed modyfikacją lub usunięciem. Innym skutecznym sposobem jest przechowywania kopii na taśmach w trybie offline.
Tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.
Po raz pierwszy działalność grupy przestępczej rozprzestrzeniającej Ryuka odnotowano w 2018 roku i nie zawsze było tak, że zapłacenie okupu rozwiązywało problem odzyskania danych. Ransomware Ryuk było jednym z pierwszych, w którym w związku z błędem w aplikacji służącej do odszyfrowywania plików, nie było możliwe odzyskanie dostępu do części danych (większych niż 54MB).
