Ostrzeżenie przed ransomware Ryuk (rozprzestrzenia się przez sieć LAN)

1 marca, 2021
Ransomware Ryuk: Polska trzecim najczęściej atakowanym krajem

Pojawił się nowy wariant ransomware Ryuk, który rozprzestrzenia się przez LAN, infekując urządzenia z systemem operacyjnym Windows. Ta nowa odmiana złośliwego oprogramowania została wykryta na początku bieżąco roku przez francuską agencję ds. cyberbezpieczeństwa (ANSSI). Dane dotyczące Polski na temat aktywności Ryuka nie pozostawiały złudzeń. W 2019 roku było to jedno z najgroźniejszych odmian oprogramowania szyfrującego. Jednym z najczęściej atakowanych krajów okazała się być Polska, notując w 2019 roku trzecie miejsce pod względem łącznej liczby detekcji.

Nową wersję Ryuka wyróżnia specyficzny rodzaj samoreplikacji, wcześniej raczej niespotykany w tej grupie złośliwego oprogramowania. Malware po uruchomieniu rozprzestrzenia się na inne urządzenia Windows z dostępem do protokołu RPC.  Ransomware zaczytuje listę wszystkich adresów IP z pamięci podręcznej ARP (Address Resolution Protocol) i wysyła pakiety przypominające te z protokołu Wake-on-LAN (WOL) do wykrytych maszyn. Następnie rozpoczyna proces szyfrowania każdego z urządzeń.

ransomware ryuk

Zdolność Ryuka do szyfrowania dysków zaobserwowano już w ubiegłym roku. Nowością jest natomiast możliwość samoreplikacji na inne urządzenia z systemem Windows pracujące w sieciach lokalnych.

Specjaliści od cyberbezpieczeństwo apelują o podjęcie odpowiednich kroków, które wyeliminują lub przynajmniej ograniczą zakres potencjalnych strat.

Zamiast płacić okup cyberprzestępcom firmy powinny zainwestować w dobre oprogramowanie antywirusowe, oferujące funkcje anty-ransomware. Nie mniej ważny jest odpowiedni dobór narzędzi do backupu. W ostatnim czasie coraz częściej wspomina się o tworzeniu tzw. niezmiennego backupu, który chroni dane krytyczne przed modyfikacją lub usunięciem. Innym skutecznym sposobem jest przechowywania kopii na taśmach w trybie offline.

Tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Po raz pierwszy działalność grupy przestępczej rozprzestrzeniającej Ryuka odnotowano w 2018 roku i nie zawsze było tak, że zapłacenie okupu rozwiązywało problem odzyskania danych. Ransomware Ryuk było jednym z pierwszych, w którym w związku z błędem w aplikacji służącej do odszyfrowywania plików, nie było możliwe odzyskanie dostępu do części danych (większych niż 54MB).

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]