Franse autoriteiten ontdekken zelfverspreidende variant Ryuk-ransomware

Het Franse agentschap voor cybersecurity Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) heeft een nieuwe variant ontdekt van de Ryuk-ransomware. De nieuwe variant kan zichzelf verspreiden naar Windows-machines op een lokaal netwerk.

De nieuwe variant werd begin dit jaar ontdekt door ANSSI tijdens een onderzoek naar een ransomware-aanval, meldt Bleeping Computer. Volgens het Franse agentschap kan de malware zichzelf naar andere Windows-machines sturen binnen hetzelfde netwerk, waarbij gebruik wordt gemaakt van RPC.

De malware checkt hiervoor IP-adressen in de lokale ARP-cache en stuurt vervolgens een WOL-pakket naar de gevonden Windows-machines. Wanneer dit lukt, gaat de ransomware over tot het versleutelen van data. De verspreiding kan volgens ANSSI gestopt worden door het wachtwoord van het geïnfecteerde account te veranderen of de gebruiker te verwijderen.

De Ryuk-ransomware dook voor het eerst op in augustus 2018 en er zijn sindsdien verschillende varianten opgedoken. Volgens Bleeping Computer gaat het bij een op de drie ransomware-infecties om de Ryuk-ransomware. Nog niet eerder verspreide de malware zichzelf op deze manier naar andere machines.

Door Robert Zomers

Redacteur

Feedback • 26-02-2021 20:57 27

26-02-2021 • 20:57

27

Lees meer

'Colonial Pipeline betaalde bijna 5 miljoen dollar losgeld aan hackers'
'Colonial Pipeline betaalde bijna 5 miljoen dollar losgeld aan hackers' Nieuws van 14 mei 2021
Malwarebotnet groeit door zwakke Windows-wachtwoorden te raden
Malwarebotnet groeit door zwakke Windows-wachtwoorden te raden Nieuws van 24 maart 2021
Manutan maakt melding van datalek na ransomware-infectie
Manutan maakt melding van datalek na ransomware-infectie Nieuws van 1 maart 2021
Gestolen data Schotse milieuwaakhond online gezet na weigering betalen losgeld
Gestolen data Schotse milieuwaakhond online gezet na weigering betalen losgeld Nieuws van 23 januari 2021
Productie van chipfabrikant X-Fab ligt stil na gerichte cyberaanval
Productie van chipfabrikant X-Fab ligt stil na gerichte cyberaanval Nieuws van 6 juli 2020
Amerikaanse stad betaalt 534.000 euro losgeld na ransomwareaanval
Amerikaanse stad betaalt 534.000 euro losgeld na ransomwareaanval Nieuws van 20 juni 2019
Meer producten en artikelen
Networking en security Ransomware

Reacties (27)

-Moderatie-faq
27
27
13
1
0
6
Wijzig sortering
WhiteDog 26 februari 2021 21:25
Een beetje een slecht artikel. Het is niet omdat je met een domein account van een user op een willekeurige pc kan aanmelden binnen een domein (of andere waarmee een trust bestaat) dat je zomaar eender wat kan doen over RPC of de c$ benaderen van elke willekeurige PC. Deze malware heeft nog steeds een account en wachtwoord nodig van iets of iemand met de nodige rechten... om vervolgens remote wat files te kopiëren en en scheduled task aan te maken. Dat zijn letterlijk 2 commando's...
dasiro @WhiteDog26 februari 2021 22:43
het oorspronkelijke document is verbazend vlot te lezen en niet al te lang, daar vind je makkelijk terug hoe simplistisch deze malware te werk gaat (niveau scriptkiddie)
over de oorspronkelijke versie:
Ryuk looks for network shares on the victim IT infrastructure. To do so, some private IP ranges are scanned:•10.0.0.0/8;•172.16.0.0/16;•192.168.0.0/16.For each identified host, Ryuk will attempt to mount possible network shares using SMB enumeration.Before this scan step, Ryuk reads through the victim’s ARP table and sends a Wake-On-LAN paquet to each host.The purpose is to wake up powered off computers.These operations are easily visible in network logs.
over de nieuwe versie:
The program copies itself with a rep.exe or lan.exe suffix.It generates every possible IP addresses on local networks and sends an ICMP ping to each of them. It lists the IP addresses of the local ARP cache and sends them a packet (most likely the Wake-on-LAN which has already been documented for this ransomware).The program then lists all the sharing resources opened on the found IPs, mounts each of them and can encrypt their content.This malware can also create a ryukreadme.html file as well as a copy of itself on the targeted host.Finally, it can remotely create a scheduled task to execute itself on this host.
het gaat dus om rechten die de remote user heeft op het target systeem, maar zelfs windows firewall zou dit gedrag meestal al sinds xp sp3 ofzo tegen kunnen gaan, want standaard staat ICMP reply af als ik mij niet vergis.
Brahiewahiewa @dasiro27 februari 2021 12:41
het oorspronkelijke document is verbazend vlot te lezen en niet al te lang, daar vind je makkelijk terug hoe simplistisch deze malware te werk gaat (niveau scriptkiddie)
Kwenie hoor. Het oorspronkelijke document lijkt vooral geschreven door een scriptkiddie: geen enkele analyse, maar alleen een paar lijstjes met wat-ie heeft zien gebeuren. Hij gaat bijv. niet in op hoe een lokale account op de ene machine, een scheduled task kan creëren op een andere machine. Dat kan m.i. alleen als je security model al lek is
TweakMDS @Brahiewahiewa27 februari 2021 12:48
Ik denk dat dit soort "worm-achtige" scripts zich ook niet primair richten op grootzakelijke domeinen met goede security policies, gepatchte machines en fatsoenlijke domein/systeembeheerders die ervoor zorgen dat alles wat niet open hoeft te staan dicht staan.
De grotere lekken zitten toch vaak in het mkb, waar meerdere mensen voor het gemak maar domein admin zijn met hun primaire login account (als er al een domein is), om net die ene printer share werkend te krijgen, of gewoon uit gemakzucht etc.
Het zal je toch wel eens verbazen hoe vaak zaken zoals een c$ share gewoon wagenwijd open staan, zelfs al zouden er al goede defaults zijn in het OS (wat ook op de desktops lang niet altijd het geval is).
Brahiewahiewa @TweakMDS27 februari 2021 12:56
Je hebt gelijk. Maar in dat geval is de term "zelfverspreidend" in de titel van dit artikel natuurlijk een gotspe.
In zo'n omgeving zou het virus zich al verspreiden zonder daar de makers daar ook maar enige moeite voor doen
dasiro @Brahiewahiewa27 februari 2021 13:13
staat er in beschreven, maar natuurlijk gaan ze niet onthullen hoe dat juist gebeurt, want iedereen kan dit lezen:
Once legitimate post-exploitation tools are distributed by TrickBot (Cobalt Strike, Empire, BloodHound, Mimikatz, LaZagne), attackers obtain privileged access to a domain controller (or other systems with privileged access) and deploy Ryuk (for exampleviaPsExec) within the victim’s information system (IS)
je zal dus nog wel wat extra lectuur moeten doorspitten, maar als dat het gedrag is, dan moet je het niet moeilijker beschrijven dan wat het is, dus dat kan je de Fransen niet kwalijk nemen (de slechte vertaling naar het engels wel :P ). Vooral het feit dat er geen moeite wordt gedaan om sporen te verbergen of wissen is erg amateuristisch. Zelfs ik kuis m'n logs op voor er bvb een golden image wordt gemaakt, zodanig dat die niet op elk toestel met die image blijven staan (om maar een simpel voorbeeld te geven en dan spreken we nog over een legitiem doel).
MrR0b3rt @dasiro26 februari 2021 22:53
Nope, Windows 10 apparaten reageren uit de doos netjes op een pingetje. Server edities hebben het sinds 2012 (r2?) wel standaard uit staan.
dasiro @MrR0b3rt26 februari 2021 23:57
is alweer een tijdje geleden dat ik workstation policies heb gemaakt, dit is een gevalletje op of af dat je altijd zelf definieert afhankelijk van de usecase, dus vergeet je soms wat de standaard is/was
segil @dasiro27 februari 2021 12:53
@WhiteDog heeft nog steeds gelijk. De malware draait onder het account van de ingelogde gebruiker. En als dit account op de remote computer geen rechten heeft, komt 'ie nergens. (behalve het opvragen van shares)
dasiro @segil27 februari 2021 15:01
dat is wat ik schrijf: de remote user (dus de account op het geïnfecteerde systeem) heeft rechten op het target system (dus het te infecteren systeem). Er wordt echter gesproken over "attackers obtain privileged access to a domain controller or other systems with privileged access", dus de kans is groot dat je de rechten op dat moment krijgt.
blorf @dasiro27 februari 2021 14:48
Ik probeer daar uit te halen hoe je dit ding oploopt. Kun je als niet-admin Windows gebruiker en computer hiermee besmetten?
bartje 26 februari 2021 21:14
Begrijp ik het goed dat op beide computers dezelfde gebruiker met bestaan zoals in een domein omgeving? Of gaat het alleen over de account van de geïnfecteerde machine?
fantafriday @bartje26 februari 2021 21:18
Als ik het goed begrijp gaat het er gewoon om dat een user + password combinatie op beide werkt. In een domein heb je dat natuurlijk snel maar in een werkgroep kan het natuurlijk ook.
segil @fantafriday27 februari 2021 12:54
Waarom heb je dat snel in een domain? Gebruiker Domain\user1 kan wellicht lokaal inloggen op Computer1, maar heeft vervolgens geen rechten op Computer2. Tenzij dit expliciet op die computer is ingeregeld.
fantafriday @segil27 februari 2021 13:16
Laten we wel wezen. Bij veel organisaties heeft een user vaker impliciet toegang tot meer PCs dan nodig dan te weinig.
mbbs1024 @segil27 februari 2021 17:23
Tegenwoordig heb je in veel bedrijven free seating, ieder gebruiker kan dan op iedere PC inloggen.
In zo een setting, moet de gebruiker zijn gegevens op een netwerkschijf bewaren, zodat hij er vanop iedere PC zou aankunnen.
segil @mbbs102427 februari 2021 21:00
Ja dat klopt. Dan logt een gebruiker in op meerdere computers. Maar daarmee krijg je nog geen toegang tot een remote systeem. Standaard shares zijn alleen toegankelijk voor admins, niet voor domain users. En aangezien het hier gaat om een verspreiding over het netwerk, is het niet aannemelijk dat de malware zich zomaar kan verspreiden naar andere computers.
dasiro 26 februari 2021 22:18
in je ARP-cache staat toch enkel maar het MAC- en IP-adres, niet het OS, dus in het beste geval kan je een vendor lookup doen om te weten wat voor netwerkkaart het is, maar specifiek windows-machines targetten kan imho niet op deze manier

*edit*
en een WOL-package is niet meer dan een wake-up call, maar daar kan ook geen payload in zitten, slechts via de RPC kan je dan iets doen

[Reactie gewijzigd door dasiro op 27 juli 2024 05:29]

DefaultError 27 februari 2021 11:30
Mogelijk is het nodig om NBF/NBT uit te zetten. Ouder systemen vergt meer werk mbt toegang/ veiligheid van het netwerk. En updaten is een pre en powerpolicies.

Geen toegang tot het netwerk mogelijk maken van employee’s/gasten op het bedrijfsnetwerk. Het gebruik van privemail is geen veilige optie.

“Make sure that your backups are running.
Run regular test restores from your backups.
Store your backups off-site AND off-network.
If possible, make your backup files ‘read-only’ so that no changes can be made.”

Losgeld betalen voor encrypted bestanden is geen kattepis.
DirtyBird 26 februari 2021 21:33
Hoe komen virussen en worms en trojans etc aan hun naam? Staat die ergens in een bestandje dat achtergelaten wordt ofzo?
Goldwing1973 @DirtyBird26 februari 2021 21:39
Dit is wel een leuk artikel over hoe een virus z’n naam krijgt.
Amanoo @Goldwing197327 februari 2021 00:59
Daar staat alleen Ryuk niet bij. Voor mensen die het niet weten, het is een shinigami of doodsgod uit de manga/anime serie Death Note, die het plot van de serie in gang zet.
Ducksy88 @Amanoo27 februari 2021 10:13
Dus vooral oppassen met Apple devices :Y)
Troepje @Amanoo27 februari 2021 17:11
Ahhhh ik zat al heel diep te denken waar ik Ryuk van kende :D, thx!
IrBaboon79 @DirtyBird26 februari 2021 21:36
Meestal blijven er wat strings in de executables zitten die tijdens analyse/disassembly tevoorschijn komen en daar doen de onderzoekers dan iets mee... en soms laten ze iets zien na/tijdens activatie...

[Reactie gewijzigd door IrBaboon79 op 27 juli 2024 05:29]

dasiro @DirtyBird26 februari 2021 22:45
ontdekkers kiezen die en vaak zal die bij verschillende antivirusbedrijven ook een andere benaming krijgen
Dj Neo Ziggy 27 februari 2021 00:24
Ryuk, een dodengod in de serie deathnote.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq