Si pensabas
que por estar apagada la computadora no pasara nada, déjanos decirte que te
equivocas ya que el ransomware Ryuk, posee un código que puede hacer que tu
ordenador se encienda y encriptar tu disco duro.
En los últimos
días este poderoso ramsomware está dando que hablar ya que el método Wake-on-Lan
permite que su dispositivo, aunque este apagado se encienda utilizando un paquete
de red especial.
Según un
análisis reciente del Ryuk Ransomware realizado por el director de SentinelLabs,
Vitali Kremez cuando se ejecuta el malware, generará subprocesos con el
argumento '8 LAN'.
 |
| bleepingcomputer |
Cuando se usa este argumento, Ryuk escaneará la tabla ARP
del dispositivo, que es una lista de direcciones IP conocidas en la red y sus
direcciones mac asociadas, y verificará si las entradas son parte de las
subredes de direcciones IP privadas de "10." "172.16." Y
"192.168".
 |
| bleepingcomputer |
Si la
entrada ARP es parte de alguna de esas redes, Ryuk enviará un paquete
Wake-on-Lan (WoL) a la dirección MAC del dispositivo para que se encienda. Esta
solicitud WoL viene en forma de un 'paquete mágico' que contiene 'FF FF FF FF
FF FF FF FF'.
 |
| bleepingcomputer |
En conversaciones
con BleepingComputer, Kremez declaró que esta evolución en las tácticas de Ryuk
permite un mejor alcance en una red comprometida desde un solo dispositivo y
muestra la habilidad del operador de Ryuk atravesando una red corporativa.
 |
| bleepingcomputer |
"Así
es como el grupo adaptó el modelo de ransomware en toda la red para afectar a
más máquinas a través de la infección única y al llegar a las máquinas a través
de WOL & ARP", dijo Kremez a BleepingComputer. "Permite un mayor
alcance y menos aislamiento y demuestra su experiencia en el manejo de grandes
entornos corporativos".
Para
mitigar esta nueva característica, los administradores solo deben permitir
paquetes Wake-on-Lan desde dispositivos administrativos y estaciones de
trabajo.
Esto
permitiría a los administradores seguir beneficiándose de esta característica
al tiempo que agrega un poco de seguridad a los puntos finales.
0 Comentarios: