Uma nova versão do Ryuk ransomware é equipada com uma capacidade adicional semelhante a um worm de se espalhar pelas redes infectadas, tornando-o potencialmente ainda mais perigoso do que era antes.
Ryuk é uma das formas mais prolíficas de ransomware, com seus operadores cibercriminosos que provavelmente fizeram mais de $ 150 milhões em pagamentos de resgate em Bitcoin de organizações de vítimas em todo o mundo.
Como outras formas de ransomware, Ryuk criptografa uma rede, tornando os sistemas inúteis e os criminosos cibernéticos por trás do ataque exigem um pagamento em troca da chave de descriptografia. Essa demanda pode chegar a milhões de dólares.
Ryuk se tornou uma das famílias de ransomware de maior sucesso - e é atualizado regularmente para manter sua eficácia.
Agora, a agência nacional de segurança cibernética da França - "Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI)", traduzida para o inglês como Agência Nacional para a Segurança dos Sistemas de Informação - detalhou como a última versão do Ryuk é capaz de se auto-replicar em um rede local.
O ransomware pode se propagar pela rede usando Wake-on-LAN, um recurso que permite que computadores Windows sejam ligados remotamente por outra máquina na mesma rede. Ao se espalhar para todas as máquinas acessíveis na rede, o ataque de Ryuk pode ser muito mais prejudicial.
Essa capacidade foi descoberta enquanto o ANSSI estava respondendo a um incidente de ransomware Ryuk não identificado no início deste ano.
O artigo da ANSSI alerta que Ryuk permanece particularmente ativo e que "pelo menos um de seus operadores atacou hospitais durante uma pandemia".
Os hospitais parecem ter sido um alvo particular para ataques de ransomware Ryuk, apesar da - ou talvez por causa da - pandemia COVID-19 em andamento, com acesso a redes vitais para o atendimento ao paciente. E diante da situação atual, alguns hospitais estão cedendo aos pedidos de resgate, percebendo que essa abordagem é a maneira mais simples de continuar tratando os pacientes - embora até mesmo pagar o resgate não garanta uma restauração tranquila da rede.
Ryuk é comumente entregue às vítimas como o estágio final de ataques de vários estágios, com redes inicialmente comprometidas com Trickbot, Emotet ou BazarLoader - geralmente por ataques de phishing. Essas redes comprometidas são então repassadas ou alugadas para a gangue Ryuk, a fim de infectá-las com ransomware
Frequentemente, o comprometimento inicial das redes para instalar malware tira vantagem do fato de as organizações não aplicarem patches contra vulnerabilidades conhecidas.
Portanto, uma das principais coisas que uma organização pode fazer para ajudar a se proteger contra ataques cibernéticos é garantir que as atualizações de segurança mais recentes sejam aplicadas na rede o mais rápido possível após o lançamento, especialmente quando se trata de vulnerabilidades críticas.
As organizações também devem fazer backups regulares da rede - e armazenar esses backups offline - para que, no caso de ser vítima de um ataque de ransomware, a rede possa ser recuperada sem ceder às demandas dos criminosos cibernéticos.
Fonte: Zdnet.com