🆘Ransomware Ryuk: Enciende tu computador y encripta tu disco duro aun que el ordenador este apagado


Ransomware Ryuk

Si pensabas que por estar apagada la computadora no pasara nada, déjanos decirte que te equivocas ya que el ransomware Ryuk, posee un código que puede hacer que tu ordenador se encienda y encriptar tu disco duro.
En los últimos días este poderoso ramsomware está dando que hablar ya que el método Wake-on-Lan permite que su dispositivo, aunque este apagado se encienda utilizando un paquete de red especial.
Según un análisis reciente del Ryuk Ransomware realizado por el director de SentinelLabs, Vitali Kremez cuando se ejecuta el malware, generará subprocesos con el argumento '8 LAN'. 
bleepingcomputer

Cuando se usa este argumento, Ryuk escaneará la tabla ARP del dispositivo, que es una lista de direcciones IP conocidas en la red y sus direcciones mac asociadas, y verificará si las entradas son parte de las subredes de direcciones IP privadas de "10." "172.16." Y "192.168".
bleepingcomputer

Si la entrada ARP es parte de alguna de esas redes, Ryuk enviará un paquete Wake-on-Lan (WoL) a la dirección MAC del dispositivo para que se encienda. Esta solicitud WoL viene en forma de un 'paquete mágico' que contiene 'FF FF FF FF FF FF FF FF'.
bleepingcomputer

En conversaciones con BleepingComputer, Kremez declaró que esta evolución en las tácticas de Ryuk permite un mejor alcance en una red comprometida desde un solo dispositivo y muestra la habilidad del operador de Ryuk atravesando una red corporativa.
bleepingcomputer

"Así es como el grupo adaptó el modelo de ransomware en toda la red para afectar a más máquinas a través de la infección única y al llegar a las máquinas a través de WOL & ARP", dijo Kremez a BleepingComputer. "Permite un mayor alcance y menos aislamiento y demuestra su experiencia en el manejo de grandes entornos corporativos".
Para mitigar esta nueva característica, los administradores solo deben permitir paquetes Wake-on-Lan desde dispositivos administrativos y estaciones de trabajo.
Esto permitiría a los administradores seguir beneficiándose de esta característica al tiempo que agrega un poco de seguridad a los puntos finales.

PUBLICACIÓN ANTERIOR
Next Post

0 Comentarios: