Los investigadores de seguridad observaron que el ransomware Ryuk aprovechaba una función especial llamada Wake-on-Lan para encender los dispositivos apagados en una red comprometida para encriptarlos.
Wake-on-Lan (WoL) es una función para activar computadoras desde un modo de muy bajo consumo de forma remota mediante el envío de un mensaje de red.
Según el investigador de SentinelLabs, Vitali Kremez, quien analizó algunas de las muestras recientes del ransomware Ryuk, al ejecutar el malware se generan subprocesos con el argumento '8 LAN'. Este argumento se usa para escanear la tabla ARP del dispositivo para verificar si las entradas enumeradas de los dispositivos de red eran parte de las subredes de direcciones IP privadas "10.", "172.16" y / o "192.168".
2020-01-12: 🆕🔥 #Ryuk #Ransomware | #Signed— Vitali Kremez (@VK_Intel) 12 de enero de 2020
🇦🇺[PET PLUS PTY LTD] #DigiCert
1⃣Build: January 9, 2020
2⃣Newer String Obfuscation
3⃣Arg execution -e encrypt & 8 LAN as "lan.exe"
4⃣Same Wake-on-LAN (WOL) packet 172.16 & 192.168
Ref -> https://t.co/jdsR62ph0g
h/t @malwrhunterteam pic.twitter.com/6Ec9AK7bWc
Si encuentra una entrada en la tabla ARP que es parte de cualquiera de las redes mencionadas anteriormente, el malware enviará un paquete Wake-on-Lan (WoL) a la dirección MAC del dispositivo para despertarlo. La solicitud WoL se envía en forma de 'paquete mágico' que contiene 'FF FF FF FF FF FF FF FF'. Una vez que la solicitud de WoL es exitosa, Ryuk monta el recurso compartido administrativo C $ del dispositivo y encripta el disco de la computadora.
“Así es como el grupo adaptó el modelo de ransomware en toda la red para afectar a más máquinas a través de la infección única y llegar a las máquinas a través de WOL & ARP. Permite un mayor alcance y menos aislamiento y demuestra su experiencia en el manejo de grandes entornos corporativos ”, explicó Kremez hablando con BleepingComputer.
Para mitigar el riesgo de tales ataques, se recomienda a los administradores que habiliten los paquetes Wake-on-LAN solo desde dispositivos administrativos y estaciones de trabajo. Esto permitiría a los administradores continuar usando esta función, mientras agrega cierta protección a los puntos finales.
https://www.cybersecurity-help.cz/blog/899.html
%2014.04.55.png)
