Шифровальщик Ryuk использует Wake-on-LAN, чтобы «будить» устройства перед атакой

Издание BleepingComputer сообщает, что известный вымогатель Ryuk теперь использует функцию Wake-on-LAN, чтобы включать устройства в скомпрометированной сети и обеспечивать себе более успешное шифрование.

Согласно недавнему анализу Ryuk, проведенному главой SentinelLabs Виталием Кремезом, когда малварь выполняется, она порождает подпроцессы с аргументом 8 LAN.

Таким образом Ryuk сканирует ARP-таблицу устройства, которая представляет собой список известных IP-адресов в сети и связанных с ними MAC-адресов, и проверяет, являются ли эти записи частью подсетей «10.», «172.16.» и «192.168».

Если запись ARP является частью любой из этих подсетей, Ryuk отправит пакет Wake-on-LAN на MAC-адрес устройства, чтобы оно включилось и «проснулось», а затем шифрует его. Таким образом операторы шифровальщика добиваются распространения своей малвари на как можно большее количество устройств, что может быть особенно актуально в корпоративных средах.

Кремез отмечает, что для защиты от этого нововведения администраторами стоит разрешать пакеты Wake-on-LAN только с административных устройств и рабочих станций. Хотя даже это не поможет, если скомпрометирована будет рабочая станция самого администратора.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.
Похожие материалы