Популярен рансъмуер започна да избягва Линукс инсталации
Ryuk се трансформира в една от „ звездите “ на сцената на зловредния код през отиващата си година. Регистриран за пръв път в края на предходната година в офанзива към един от най-големите издателски конгломерати в Съединени американски щати, Tribune Publishing, рансъмуер опасността стартира да пленява голям брой системи през 2019
Кръстен на известен манга воин, Ryuk съставлява комплицирана опасност, употребяваща мощни равнища на криптиране, а откупът, желан от разпространителите му постоянно се показва в шестцифрени суми. Рансъмуерът най-често се популяризира дружно с друга зловредна стратегия – от фамилията на Trickbot или Emotet, зловредни стратегии, чиято цел е кражбата на данни. По този метод, последствията от една такава офанзива са опустошителни – жертвата се оказва освен с криптирана информация, само че и с откраднати кредитиви. Атаките стартират с имейл, в който в атачмънт се съдържа Emotet, който след осъществяването си събира логин и друга информация, която изпраща към сървър на хакерите. Поемайки надзор над машината, те разгръщат дейностите си в мрежовия периметър, компрометирайки в допълнение жертви. В хода на офанзивата, уредниците ѝ се грижат да деактивират защитни стратегии и изтрият наличните аварийни копия, както и наличните shadow volume масиви, след което идва и доставянето на Ryuk.
Самите офанзиви са целенасочени, като се търсят високопрофилни цели, които не могат да си разрешат закъснение на работните процеси, което от своя страна подсигурява на нарушителите, че откупът, желан от тях с огромна възможност ще бъде заплатен. Сред последните жертви на Ryuk за тази година се откриват имената на най-голямото испанско радио, офанзива към градските системи на Ню Орлиънс, към Prosegur, една от най-големите компании за банкова сигурност Prosegur, огромна компания за финансов одит и разбор и други
Наскоро създателите на Ryuk са вградили любопитна функционалност в програмата, която е заинтригувала експертите по осведомителна сигурност. Към кода на Ryuk е била добавена директива да не бъдат криптирани папки, свързани с Линукс, за което оповестява Bleeping Computer. Оказва се, че повода за това е тривиална.
Bleeping се снабдяват с изпълнимия файл на Ryuk от офанзивата към Ню Орлиънс, споделяйки го с откривател по киберзащита. Той открива въпросната функционалност, която се показва във включване в черен лист или възбрана за криптиране на папки с имена, като bin, boot, sys, run, var и други, които могат да се открият в една типична Линукс апаратура. Самият Ryuk не е кросплатформена рансъмуер опасност обаче. Просто, разпространителите на сходен вид злотворен програмен продукт се нуждаят от работеща система, с цел да монетизират напъните си. Виновник за прибавянето на тази функционалност е увеличаващото се потребление на една нова характерност в Windows 10 – подсистемата на Windows за Линукс (Windows Subsystem for Linux, WSL) – опцията за инсталирането на Линукс в Windows. Явно Ryuk е криптирал и Линукс папки, правейки системата и елементи от нея неоперативни – факт, който би им попречил да извлекат цялостни изгоди от своите офанзиви.
„ Те несъмнено имат случаи, в които са засягали WSL среди, което и евентуално ги е предиздвикало да слагат в черен лист NIX папки – нещо, което вършат и с избран Windows папки. Това е нещо ново за мен и може да изясни за какво и по какъв начин Ryuk визира NIX машини чрез WSL “, коментира за Bleeping Витали Кремез.
Кръстен на известен манга воин, Ryuk съставлява комплицирана опасност, употребяваща мощни равнища на криптиране, а откупът, желан от разпространителите му постоянно се показва в шестцифрени суми. Рансъмуерът най-често се популяризира дружно с друга зловредна стратегия – от фамилията на Trickbot или Emotet, зловредни стратегии, чиято цел е кражбата на данни. По този метод, последствията от една такава офанзива са опустошителни – жертвата се оказва освен с криптирана информация, само че и с откраднати кредитиви. Атаките стартират с имейл, в който в атачмънт се съдържа Emotet, който след осъществяването си събира логин и друга информация, която изпраща към сървър на хакерите. Поемайки надзор над машината, те разгръщат дейностите си в мрежовия периметър, компрометирайки в допълнение жертви. В хода на офанзивата, уредниците ѝ се грижат да деактивират защитни стратегии и изтрият наличните аварийни копия, както и наличните shadow volume масиви, след което идва и доставянето на Ryuk.
Самите офанзиви са целенасочени, като се търсят високопрофилни цели, които не могат да си разрешат закъснение на работните процеси, което от своя страна подсигурява на нарушителите, че откупът, желан от тях с огромна възможност ще бъде заплатен. Сред последните жертви на Ryuk за тази година се откриват имената на най-голямото испанско радио, офанзива към градските системи на Ню Орлиънс, към Prosegur, една от най-големите компании за банкова сигурност Prosegur, огромна компания за финансов одит и разбор и други
Наскоро създателите на Ryuk са вградили любопитна функционалност в програмата, която е заинтригувала експертите по осведомителна сигурност. Към кода на Ryuk е била добавена директива да не бъдат криптирани папки, свързани с Линукс, за което оповестява Bleeping Computer. Оказва се, че повода за това е тривиална.
Bleeping се снабдяват с изпълнимия файл на Ryuk от офанзивата към Ню Орлиънс, споделяйки го с откривател по киберзащита. Той открива въпросната функционалност, която се показва във включване в черен лист или възбрана за криптиране на папки с имена, като bin, boot, sys, run, var и други, които могат да се открият в една типична Линукс апаратура. Самият Ryuk не е кросплатформена рансъмуер опасност обаче. Просто, разпространителите на сходен вид злотворен програмен продукт се нуждаят от работеща система, с цел да монетизират напъните си. Виновник за прибавянето на тази функционалност е увеличаващото се потребление на една нова характерност в Windows 10 – подсистемата на Windows за Линукс (Windows Subsystem for Linux, WSL) – опцията за инсталирането на Линукс в Windows. Явно Ryuk е криптирал и Линукс папки, правейки системата и елементи от нея неоперативни – факт, който би им попречил да извлекат цялостни изгоди от своите офанзиви.
„ Те несъмнено имат случаи, в които са засягали WSL среди, което и евентуално ги е предиздвикало да слагат в черен лист NIX папки – нещо, което вършат и с избран Windows папки. Това е нещо ново за мен и може да изясни за какво и по какъв начин Ryuk визира NIX машини чрез WSL “, коментира за Bleeping Витали Кремез.
Източник: kaldata.com
КОМЕНТАРИ