Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Franse autoriteiten ontdekken zelfverspreidende variant Ryuk-ransomware

Het Franse agentschap voor cybersecurity Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) heeft een nieuwe variant ontdekt van de Ryuk-ransomware. De nieuwe variant kan zichzelf verspreiden naar Windows-machines op een lokaal netwerk.

De nieuwe variant werd begin dit jaar ontdekt door ANSSI tijdens een onderzoek naar een ransomware-aanval, meldt Bleeping Computer. Volgens het Franse agentschap kan de malware zichzelf naar andere Windows-machines sturen binnen hetzelfde netwerk, waarbij gebruik wordt gemaakt van RPC.

De malware checkt hiervoor IP-adressen in de lokale ARP-cache en stuurt vervolgens een WOL-pakket naar de gevonden Windows-machines. Wanneer dit lukt, gaat de ransomware over tot het versleutelen van data. De verspreiding kan volgens ANSSI gestopt worden door het wachtwoord van het geïnfecteerde account te veranderen of de gebruiker te verwijderen.

De Ryuk-ransomware dook voor het eerst op in augustus 2018 en er zijn sindsdien verschillende varianten opgedoken. Volgens Bleeping Computer gaat het bij een op de drie ransomware-infecties om de Ryuk-ransomware. Nog niet eerder verspreide de malware zichzelf op deze manier naar andere machines.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Robert Zomers

Nieuwsposter

26-02-2021 • 20:57

27 Linkedin

Reacties (27)

Wijzig sortering
Een beetje een slecht artikel. Het is niet omdat je met een domein account van een user op een willekeurige pc kan aanmelden binnen een domein (of andere waarmee een trust bestaat) dat je zomaar eender wat kan doen over RPC of de c$ benaderen van elke willekeurige PC. Deze malware heeft nog steeds een account en wachtwoord nodig van iets of iemand met de nodige rechten... om vervolgens remote wat files te kopiëren en en scheduled task aan te maken. Dat zijn letterlijk 2 commando's...
het oorspronkelijke document is verbazend vlot te lezen en niet al te lang, daar vind je makkelijk terug hoe simplistisch deze malware te werk gaat (niveau scriptkiddie)
over de oorspronkelijke versie:
Ryuk looks for network shares on the victim IT infrastructure. To do so, some private IP ranges are scanned:•10.0.0.0/8;•172.16.0.0/16;•192.168.0.0/16.For each identified host, Ryuk will attempt to mount possible network shares using SMB enumeration.Before this scan step, Ryuk reads through the victim’s ARP table and sends a Wake-On-LAN paquet to each host.The purpose is to wake up powered off computers.These operations are easily visible in network logs.
over de nieuwe versie:
The program copies itself with a rep.exe or lan.exe suffix.It generates every possible IP addresses on local networks and sends an ICMP ping to each of them. It lists the IP addresses of the local ARP cache and sends them a packet (most likely the Wake-on-LAN which has already been documented for this ransomware).The program then lists all the sharing resources opened on the found IPs, mounts each of them and can encrypt their content.This malware can also create a ryukreadme.html file as well as a copy of itself on the targeted host.Finally, it can remotely create a scheduled task to execute itself on this host.
het gaat dus om rechten die de remote user heeft op het target systeem, maar zelfs windows firewall zou dit gedrag meestal al sinds xp sp3 ofzo tegen kunnen gaan, want standaard staat ICMP reply af als ik mij niet vergis.
het oorspronkelijke document is verbazend vlot te lezen en niet al te lang, daar vind je makkelijk terug hoe simplistisch deze malware te werk gaat (niveau scriptkiddie)
Kwenie hoor. Het oorspronkelijke document lijkt vooral geschreven door een scriptkiddie: geen enkele analyse, maar alleen een paar lijstjes met wat-ie heeft zien gebeuren. Hij gaat bijv. niet in op hoe een lokale account op de ene machine, een scheduled task kan creëren op een andere machine. Dat kan m.i. alleen als je security model al lek is
Ik denk dat dit soort "worm-achtige" scripts zich ook niet primair richten op grootzakelijke domeinen met goede security policies, gepatchte machines en fatsoenlijke domein/systeembeheerders die ervoor zorgen dat alles wat niet open hoeft te staan dicht staan.
De grotere lekken zitten toch vaak in het mkb, waar meerdere mensen voor het gemak maar domein admin zijn met hun primaire login account (als er al een domein is), om net die ene printer share werkend te krijgen, of gewoon uit gemakzucht etc.
Het zal je toch wel eens verbazen hoe vaak zaken zoals een c$ share gewoon wagenwijd open staan, zelfs al zouden er al goede defaults zijn in het OS (wat ook op de desktops lang niet altijd het geval is).
Je hebt gelijk. Maar in dat geval is de term "zelfverspreidend" in de titel van dit artikel natuurlijk een gotspe.
In zo'n omgeving zou het virus zich al verspreiden zonder daar de makers daar ook maar enige moeite voor doen
staat er in beschreven, maar natuurlijk gaan ze niet onthullen hoe dat juist gebeurt, want iedereen kan dit lezen:
Once legitimate post-exploitation tools are distributed by TrickBot (Cobalt Strike, Empire, BloodHound, Mimikatz, LaZagne), attackers obtain privileged access to a domain controller (or other systems with privileged access) and deploy Ryuk (for exampleviaPsExec) within the victim’s information system (IS)
je zal dus nog wel wat extra lectuur moeten doorspitten, maar als dat het gedrag is, dan moet je het niet moeilijker beschrijven dan wat het is, dus dat kan je de Fransen niet kwalijk nemen (de slechte vertaling naar het engels wel :P ). Vooral het feit dat er geen moeite wordt gedaan om sporen te verbergen of wissen is erg amateuristisch. Zelfs ik kuis m'n logs op voor er bvb een golden image wordt gemaakt, zodanig dat die niet op elk toestel met die image blijven staan (om maar een simpel voorbeeld te geven en dan spreken we nog over een legitiem doel).
Nope, Windows 10 apparaten reageren uit de doos netjes op een pingetje. Server edities hebben het sinds 2012 (r2?) wel standaard uit staan.
is alweer een tijdje geleden dat ik workstation policies heb gemaakt, dit is een gevalletje op of af dat je altijd zelf definieert afhankelijk van de usecase, dus vergeet je soms wat de standaard is/was
@WhiteDog heeft nog steeds gelijk. De malware draait onder het account van de ingelogde gebruiker. En als dit account op de remote computer geen rechten heeft, komt 'ie nergens. (behalve het opvragen van shares)
dat is wat ik schrijf: de remote user (dus de account op het geïnfecteerde systeem) heeft rechten op het target system (dus het te infecteren systeem). Er wordt echter gesproken over "attackers obtain privileged access to a domain controller or other systems with privileged access", dus de kans is groot dat je de rechten op dat moment krijgt.
Ik probeer daar uit te halen hoe je dit ding oploopt. Kun je als niet-admin Windows gebruiker en computer hiermee besmetten?
Begrijp ik het goed dat op beide computers dezelfde gebruiker met bestaan zoals in een domein omgeving? Of gaat het alleen over de account van de geïnfecteerde machine?
Als ik het goed begrijp gaat het er gewoon om dat een user + password combinatie op beide werkt. In een domein heb je dat natuurlijk snel maar in een werkgroep kan het natuurlijk ook.
Waarom heb je dat snel in een domain? Gebruiker Domain\user1 kan wellicht lokaal inloggen op Computer1, maar heeft vervolgens geen rechten op Computer2. Tenzij dit expliciet op die computer is ingeregeld.
Laten we wel wezen. Bij veel organisaties heeft een user vaker impliciet toegang tot meer PCs dan nodig dan te weinig.
Tegenwoordig heb je in veel bedrijven free seating, ieder gebruiker kan dan op iedere PC inloggen.
In zo een setting, moet de gebruiker zijn gegevens op een netwerkschijf bewaren, zodat hij er vanop iedere PC zou aankunnen.
Ja dat klopt. Dan logt een gebruiker in op meerdere computers. Maar daarmee krijg je nog geen toegang tot een remote systeem. Standaard shares zijn alleen toegankelijk voor admins, niet voor domain users. En aangezien het hier gaat om een verspreiding over het netwerk, is het niet aannemelijk dat de malware zich zomaar kan verspreiden naar andere computers.
in je ARP-cache staat toch enkel maar het MAC- en IP-adres, niet het OS, dus in het beste geval kan je een vendor lookup doen om te weten wat voor netwerkkaart het is, maar specifiek windows-machines targetten kan imho niet op deze manier

*edit*
en een WOL-package is niet meer dan een wake-up call, maar daar kan ook geen payload in zitten, slechts via de RPC kan je dan iets doen

[Reactie gewijzigd door dasiro op 26 februari 2021 22:20]

Mogelijk is het nodig om NBF/NBT uit te zetten. Ouder systemen vergt meer werk mbt toegang/ veiligheid van het netwerk. En updaten is een pre en powerpolicies.

Geen toegang tot het netwerk mogelijk maken van employee’s/gasten op het bedrijfsnetwerk. Het gebruik van privemail is geen veilige optie.

“Make sure that your backups are running.
Run regular test restores from your backups.
Store your backups off-site AND off-network.
If possible, make your backup files ‘read-only’ so that no changes can be made.”

Losgeld betalen voor encrypted bestanden is geen kattepis.
Hoe komen virussen en worms en trojans etc aan hun naam? Staat die ergens in een bestandje dat achtergelaten wordt ofzo?
Dit is wel een leuk artikel over hoe een virus z’n naam krijgt.
Daar staat alleen Ryuk niet bij. Voor mensen die het niet weten, het is een shinigami of doodsgod uit de manga/anime serie Death Note, die het plot van de serie in gang zet.
Dus vooral oppassen met Apple devices :Y)
Ahhhh ik zat al heel diep te denken waar ik Ryuk van kende :D, thx!
Meestal blijven er wat strings in de executables zitten die tijdens analyse/disassembly tevoorschijn komen en daar doen de onderzoekers dan iets mee... en soms laten ze iets zien na/tijdens activatie...

[Reactie gewijzigd door IrBaboon79 op 26 februari 2021 21:37]

ontdekkers kiezen die en vaak zal die bij verschillende antivirusbedrijven ook een andere benaming krijgen
Ryuk, een dodengod in de serie deathnote.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True