Francouzská národní agentura pro kybernetickou bezpečnost (Agence Nationale de la Sécurité des Systèmes d'Information; ANSSI) odhalila při vyšetřování útoku z počátku roku 2021 novou variantu ransomwaru Ryuk. Vylepšená verze škodlivé aplikace získala schopnosti síťových červů, které jí umožňují šířit se přes LAN na další zařízení.
Malware se dle zprávy ANSSI dokáže samovolně šířit v rámci domény Windows z jednoho zařízení na druhé. Doslova uvádí, že „Hned po spuštění se rozšíří na každý stroj, ke kterému je možný přístup přes Windows RPC.“
Automatická replikace
Ransomware nejprve rozešle na všechna dostupná zařízení síťové pakety podobající se „magickým paketům“ Wake-on-LAN (WOL). Poté si připojí všechny sdílené prostředky a zašifruje jejich obsah. Schopnost připojovat a šifrovat disky vzdálených počítačů byla u Ryuku zaznamenána již v loňském roce.
To, čím se nová mutace ransomwaru liší, je její schopnost kopírovat se do jiných zařízení s operačním systémem Windows v rámci místní počítačové sítě. Kromě toho se dokáže vzdáleně spouštět pomocí naplánovaných úloh vytvořených na každém hostiteli pomocí legitimní aplikace Plánovač úloh (schtasks.exe).
„Nová varianta Ryuku má schopnost replikace. Šíření je dosaženo kopírováním spustitelného souboru na identifikované sdílené síťové složky. Po tomto kroku následuje vytvoření naplánované úlohy na vzdáleném počítači,“ konstatuje zpráva. Jednou z možností, jak zabránit šíření ransomwaru v rámci sítě, je změna hesla nebo zakázání zneužívaného doménového účtu.
Co je ransomware Ryuk?
Ryuk je typ škodlivé aplikace, označované jako „ransomware jako služba“ (Ransomware as a Service; RaaS). Poprvé byl zaznamenán v srpnu 2018 a seznam jeho obětí je velmi dlouhý – patří mezi ně například počítačové systémy těžařské firmy OKD, která kvůli tomu musela přerušit těžbu.
Skupiny, stojící za tímto malwarem, útočí na vybrané cíle za účelem vydírání. Ryuk je na vrcholu pomyslného žebříčku – v loňském roce figuroval přibližně v jedné třetině ransomwarových útoků. Ryuk stojí za masivní vlnou útoků na systém zdravotní péče v USA v listopadu 2020. Útočníci obvykle požadují obrovské výkupné – například loni získali od jedné oběti 34 milionů dolarů (cca 736 milionů korun).
Experti, sledující peněžní toky kolem těchto vyděračských aktivit, odhadují, že Ryuk vydělal útočníkům minimálně 150 milionů dolarů (cca 3,2 miliardy korun). Jen ve třetím čtvrtletí loňského roku bylo každý týden zaznamenáno zhruba dvacet útoků.
