Ryuk се превърна в една от „знаменитостите“ на сцената на зловредния код през отиващата си година. Регистрирана за пръв път в края на миналата година в атака към един от най-големите издателски конгломерати в САЩ, Tribune Publishing, рансъмуер заплахата започна да пленява множество системи през 2019

Кръстен на популярен манга герой, Ryuk представлява сложна заплаха, използваща силни нива на криптиране, а откупът, искан от разпространителите му често се изразява в шестцифрени суми. Рансъмуерът най-често се разпространява заедно с друга зловредна програма – от семейството на Trickbot или Emotet, зловредни програми, чиято цел е кражбата на данни. По този начин, последиците от една такава атака са опустошителни – жертвата се оказва не само с криптирана информация, но и с откраднати данни за вписване. Атаките започват с имейл, в който в прикачен файл се съдържа Emotet/Trickbot, който след изпълнението си събира логин и друга информация, която изпраща към сървър на хакерите. Поемайки контрол над машината, те разпростират действията си в мрежовия периметър, компрометирайки допълнително жертви. В хода на атаката, организаторите ѝ се грижат да деактивират защитни програми и изтрият наличните резервни копия, както и наличните shadow volume масиви, след което идва и доставянето на Ryuk.

Самите атаки са целенасочени, като се търсят високопрофилни цели, които не могат да си позволят забавяне на работните процеси, което от своя страна гарантира на престъпниците, че откупът, искан от тях с голяма вероятност ще бъде платен. Сред последните жертви на Ryuk за тази година се откриват имената на най-голямото испанско радио, атака към градските системи на Ню Орлиънс, към една от най-големите компании за банкова сигурност Prosegur, голяма фирма за финансов одит и анализ и др.

Наскоро авторите на Ryuk са вградили любопитна функционалност в програмата, която е заинтригувала специалистите по информационна сигурност. Към кода на Ryuk е била добавена инструкция да не бъдат криптирани папки, свързани с Линукс, за което съобщава Bleeping Computer. Оказва се, че причината за това е тривиална.

Bleeping се сдобиват с изпълнимия файл на Ryuk от атаката към Ню Орлиънс, споделяйки го с изследовател по киберзащита. Той открива въпросната функционалност, която се изразява във включване в черен списък или забрана за криптиране на папки с имена, като bin, boot, sys, run, var и други, които могат да се открият в една типична Линукс инсталация. Самият Ryuk не е кросплатформена рансъмуер заплаха обаче. Просто, разпространителите на подобен тип зловреден софтуер се нуждаят от работеща система, за да монетизират усилията си. Виновник за добавянето на тази функционалност е увеличаващото се използване на една нова характеристика в Windows 10 – подсистемата на Windows за Линукс (Windows Subsystem for Linux, WSL) – възможността за инсталирането на Линукс в Windows. Явно Ryuk е криптирал и Линукс папки, правейки системата и части от нея неоперативни – факт, който би им попречил да извлекат пълни ползи от своите атаки.

„Те определено имат случаи, в които са засягали WSL среди, което и вероятно ги е накарало да поставят в черен списък NIX папки – нещо, което правят и с определен Windows папки. Това е нещо ново за мен и може да обясни защо и как Ryuk засяга NIX машини посредством WSL“, разяснява за Bleeping Витали Кремез.

3
ДОБАВИ КОМЕНТАР

avatar
2 Коментари
1 Отговори на коментарите
0 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
въпрос
въпрос

„но и с откраднати кредитиви“

Какво е кредитиви?

U4en
U4en

доказателство, че липсата на свястна поддръжка на гейминг под линукс води до писане на зловреден код за джамове ОС от линукс фенбойчета

Invocation
Invocation

Прочети статията първо!