Ransomware Ryuk utiliza WoL para encriptar los dispositivos apagados conectados a la Red



Desde agosto de 2018 hemos estado siguiendo de cerca a Ryuk, el ransomware vinculado a ciberatacantes de Corea del Norte, además de su actualización, donde resumimos la inserción de una característica que evitar cifrar las carpetas de subsistemas de Windows para Linux/Unix (WSL).

Wake-on-Lan (WoL) es una característica de protocolo estandarizada que permite encender un dispositivo que está apagado o suspendido de forma remota, esto se logra por medio de un paquete de red especial enviado desde la red hacia el controlador Ethernet de la computadora. La prestación WoL suele ser usada por administradores que necesiten actualizar o programar tareas para cuando este apagado el computador.

Las recientes investigaciones agregan otra nueva característica a Ryuk, la cual es que el Ransomware usa WoL para encender los dispositivos apagados en una red comprometida y lograr encriptarlos. Donde inicia cuando el malware es ejecutado y genera subprocesos con el argumento de “8 LAN”.

Subproceso generado por Ryuk “8 LAN”


En el momento que el argumento “8 LAN” es usado, Ryuk escanea la tabla ARP (protocolo de resolución de direcciones) de los dispositivos, esta tabla contiene las direcciones MAC con las sus respectivas direcciones IP asociadas.

Script de Comprobación de direcciones IP


En la imagen anterior muestra el Script usado para comprobar si las entradas forman parte de las direcciones dentro de las subnets “10.0.0.0/8”, “172.16.0.0/16” y “192.168.0.0/16”. Al coincidir la entrada, Ryuk envía un paquete Wake-on-Lan a la dirección MAC extraída de la tabla ARP, para encender la máquina. En la siguiente imagen se aprecia el paquete mágico “magic packet” enviado, el mismo consiste en seis bytes de valor 255, en hexadecimal sería “FF FF FF FF FF FF”.

Magic Packet enviado por Ryuk


De tener éxito al encender el equipo, intentará sembrar el recurso compartido c$ de un dispositivo remoto.


Aunque se recomienda para mitigar esta nueva característica, permitir solo los paquetes de WoL que provengan de estaciones de trabajo o dispositivos administrativos. Sabemos que no es una solución definitiva, debido que al ser comprometido la estación de trabajo con este privilegio, el ransomware podrá igualmente realizar el ataque. Algo que suele suceder muy seguido en este tipo de ataques dirigidos.

Desde Arkavia Networks recomendamos mantener una estrategia de Backup de los datos, además de someter a pruebas dicha estrategia con regularidad y aislar los sistemas de Backup una vez realizado el respaldo.

COMENTARIOS

Nombre

Adobe,1,Adware,3,android,26,Antivirus,3,Apple,13,Apps,11,Arkavia Networks,13,Ataques,4,Backdoor,3,Bancos,6,Bases de Datos,2,Botnet,2,Botnet. Malware,1,Check Point,3,Cibercrimen,112,ciberseguridad,80,Cisco,1,Citrix,1,Cloud,1,CMS,1,CPU,3,Criptomonedas,3,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Leak,6,DDoS,1,Deep Web,5,Ecommerce,2,Empresas,112,Eventos,5,Exploits,8,F5 Networks,1,Facebook,6,Firmware,1,google,26,Hacking,82,Hardware,7,Hosting,2,Industria,10,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,7,ios,3,IoT,3,ISO,1,Linux,7,Malware,26,Malwares,32,Microsoft,23,Nacional,10,Negocios,2,Node.js,1,Oracle,1,OS,9,Payload,2,Paypal,1,phishing,10,Protocolos,12,Python,1,Ransomware,12,Recomendaciones,15,Redes,30,redes sociales,12,Redhat,1,Rootkit,1,Routers,2,RRSS,1,Salud,2,Servicios,5,Smartphones,29,Software,23,Spyware,11,Tplink,1,Update,1,updates,22,Vulnerabilidades,63,Web,5,WhatsApp,3,wifi,2,Windows,11,
ltr
item
Arkavia Networks News: Ransomware Ryuk utiliza WoL para encriptar los dispositivos apagados conectados a la Red
Ransomware Ryuk utiliza WoL para encriptar los dispositivos apagados conectados a la Red
https://1.bp.blogspot.com/-uUVoGjr7hzg/XiBrPpDaHwI/AAAAAAAABz8/5l3e_bZmFRI3IzI1PInWlOh8Vhbz5t6uwCLcBGAsYHQ/s640/New%2BVer2.%2BRyuk%2BRansomware.jpg
https://1.bp.blogspot.com/-uUVoGjr7hzg/XiBrPpDaHwI/AAAAAAAABz8/5l3e_bZmFRI3IzI1PInWlOh8Vhbz5t6uwCLcBGAsYHQ/s72-c/New%2BVer2.%2BRyuk%2BRansomware.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/01/ryuk-ransomware-utiliza-wol-para-cifrar.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/01/ryuk-ransomware-utiliza-wol-para-cifrar.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy