Aj ransomware sa vyvíja – Ryuk sa dokáže šíriť po lokálnej firemnej sieti


Ransomware – slovo, ktoré väčšine užívateľov internetu a hlavne firemným IT technikom naháňa strach. Jedná sa o škodlivý program – malvér, ktorý napáda dáta uložené v počítači. Ransomware zašifruje všetky dokumenty, archívy, tabuľky, databázy, prezentácie, fotografie…prakticky akékoľvek užívateľské dáta. Zároveň niektoré verzie dokážu dokumenty odosielať na pozadí aj útočníkovi, ktorý k nim takto získa prístup. Aktuálne sa na internete šíri niekoľko rôznych druhov ransomwaru v rôznych verziách, dá sa povedať, že každá väčšia kriminálna skupina kybernetických útočníkov si vyvíja svoju vlastnú verziu ransomwaru. Podľa aktuálnych zistení francúzskej agentúry pre kyberbezpečnosť získal ransomware s označením Ryuk novú schopnosť – dokáže sa šíriť po lokálnej sieti a inštaluje sa prakticky okamžite na zariadenia s operačným systémom Windows, ktoré sú do danej siete pripojené.

Na to, aby infikoval ďalší počítač, postačuje povolený prístup cez Windows RPC. Ransomware najskôr inicializuje všetky pripojené zariadenia pomocou príkazu Wake On Lan (príkaz dokáže zapnúť počítače v pohotovostnom režime práve cez lokálnu sieť) a následne vyhľadá na zariadeniach všetky dostupné zdieľané zariadenia, ktorým zašifruje dostupné dáta. Nato sa ransomware skopíruje do zdieľaného sieťového adresára a cez plánovač úloh systému Windows naplánuje svoje spustenie na každom počítači pripojenom do lokálnej siete. To znamená, že aj napriek tomu, že počítač nezdieľa žiadne svoje zdroje, dokáže ho ransomware infikovať a spustiť sa na ňom.

Takéto chovanie škodlivého malvéru je typické hlavne pre počítačové vírusy typu červ, ale vyskytuje sa aj u ransomwaru. Obrovské riziko vzniká hlavne na firemných sieťach, kedy postačuje infikovať jeden firemný počítač pripojený do siete, a následne sa ransomware šíri ako lavína na ďalšie a ďalšie zariadenia. Ak by bol takýto útok úspešný, mal by pre technologickú firmu alebo internetový obchod ničivé následky.

Ransomware Ryuk je známy tým, že je dodávaný ako služba (RaaS – Ransomware as a Service), to znamená, že menšie hackerské skupiny alebo kyberzločinci ako jednotlivci si môžu ransomware prenajať a zorganizovať tak útok na dopredu vytipovaný cieľ. Následne v prípade úspešného útoku dostáva časť výkupného hlavný útočník a menšiu časť práve tvorcovia ransomwaru Ryuk za to, že svoj škodlivý softvér „zapožičali“. Práve ransomware Ryuk vedie všetky aktuálne rebríčky v počte infekcií a pokusov o kybernetický útok, len za minulý rok bol zodpovedný za takmer tretinu všetkých útokov formou ransomwaru. Odhaduje sa, že v rámci výkupného získal už minimálne 150 miliónov dolárov, ale škody ktoré napáchal napadnutým firmám budú násobne vyššie.