Ryuk

Farlig utpressingsvirus med ny egenskap: Sprer seg fra maskin til maskin på egen hånd

Ryuk har fått ormelignende egenskaper, sier sikkerhetsforskere.

Ryuk-programvaren har blitt farligere med ny egenskap.
Ryuk-programvaren har blitt farligere med ny egenskap. (Illustrasjonsfoto: Colourbox/35725282)

Ryuk har fått ormelignende egenskaper, sier sikkerhetsforskere.

Utpressingsviruset Ryuk har opparbeidet seg et rykte som et av mest skadelige skadevareprogrammene i senere tid, og nå viser det seg at viruset har fått en ny, skremmende egenskap.

Det franske, nasjonale byrået for IT-sikkerhet, ANSSI, publiserte nylig en omfattende rapport (via Bleeping Computer) om Ryuk-programvaren. I rapporten omtales en nyoppdaget variant av Ryuk som sprer seg på egen hånd.

Ormelignende

– En Ryuk-prøve med ormelignende egenskaper som setter den i stand til å spre seg automatisk innenfor LAN-nettverk den infiserer, ble oppdaget under en hendelsesrespons håndtert av ANSSI tidlig i begynnelsen av 2021, skriver byrået i rapporten.

Den nye Ryuk-varianten sprer seg til alle Windows-maskinene som er koblet til det samme LAN-nettverket, og som har RPC-tilgang (remote procedure call).

Ifølge ANSSI foregår spredningen ved at programvaren kopierer de kjørbare filene til de andre tilknyttede maskinene, og fjernkjører filene ved å opprette planlagte oppgaver via det innebygde Windows-verktøyet schtasks.exe.

Bakmennene bak Ryuk-programvaren retter seg hovedsakelig mot store aktører hvor mulighetene for betydelige utbetalinger er størst. Tidligere har den blant annet slått ut IT-nettverkene til et spansk sikkerhetsselskap med 170 000 ansatte, og ikke minst påførte den franske IT-giganten Sopra Steria et tap på rundt en halv milliard kroner.

Bruker Trickbot og Emotet

Sikkerhetsforskere har beregnet at det kriminelle imperiet  bak Ryuk kan være verdt så mye som 1,2 milliarder kroner, så skadevaren har vist seg å være svært lukrativ.

I sin nye rapport peker ANSSI på at Ryuk hovedsakelig spres via Trickbot-programvaren, en såkalt «loader» som brukes til å laste skadevaren. Trickbot distribueres igjen ved hjelp av Emotet, en skadevare-som-tjeneste som fungerer ved å «leie» ut tilgang til infiserte systemer til andre skadevare-aktører.

Som digi.no rapporterte gikk politimyndigheter i en rekke land nylig til storaksjon mot Emotet-botnettet, som førte til at ma tok kontroll over det omfattende nettverket av Emotet-infiserte systemer. Denne aksjonen kan ha bidratt til begrensning i spredningen av annen type skadevare som bruker Emotet – deriblant Ryuk.

Flere tekniske detaljer om Ryuk, og den nye varianten, finner du i den fulle rapporten fra ANSSI.

Les også

Kommentarer (1)

Kommentarer (1)
Til toppen