El Ransomware Ryuk está utilizando Wake-on-Lan para cifrar dispositivos sin conexión

El Ransomware Ryuk utiliza la función Wake-on-Lan (WOL) para encender dispositivos apagados en una red comprometida y así tener un mayor éxito al cifrarlos.

Wake-on-Lan es una función de hardware que permite que un dispositivo apagado se active o se encienda enviando un paquete de red especial.

Esto es útil para los administradores que pueden necesitar enviar actualizaciones a una computadora o realizar tareas programadas cuando se apaga.

Según un análisis reciente del Ransomware Ryuk realizado por el director de SentinelLabs,  Vitali Kremez, cuando se ejecuta el malware, generará subprocesos con el argumento ‘8 LAN’.

Subproceso con argumento 8 LAN

Cuando usa este argumento, Ryuk escanea la tabla ARP del dispositivo, es decir lista de direcciones IP conocidas en la red y sus direcciones mac asociadas. De esta manera verificará si las entradas son parte de las subredes de direcciones IP privadas de “10.” “172.16.” Y “192.168.”

Comprobando la red privada

Si la entrada ARP es parte de alguna de esas redes, Ryuk envía un paquete WOL a la dirección MAC del dispositivo para que encienda. Esta solicitud WOL viene en forma de un ‘paquete mágico’ que contiene ‘FF FF FF FF FF FF FF FF’.

Ryuk enviando un paquete WOL

Si la solicitud de WOL fue exitosa, Ryuk intentará montar el recurso compartido administrativo C$ del dispositivo remoto.

Si puede montar el recurso compartido, Ryuk también cifrará el disco de esa computadora remota.

Táctica ambiciosa

Kremez declaró que esta evolución en las tácticas de Ryuk permite un mejor alcance en una red comprometida desde un solo dispositivo. Además, muestra la habilidad del operador de Ryuk atravesando una red corporativa.

“Así es como el grupo adaptó el modelo de ransomware en toda la red para afectar a más máquinas a través de una sola infección y al llegar a las máquinas a través de WOL & ARP”, afirma Kremez. “Permite un mayor alcance y menos aislamiento y demuestra su experiencia en grandes entornos corporativos”.

Medidas a tomar

Para mitigar esta nueva característica, los administradores solo deben permitir paquetes Wake-on-Lan desde dispositivos administrativos y estaciones de trabajo.

Esto permitiría a los administradores seguir beneficiándose de esta función al tiempo que agrega seguridad a los puntos finales.

Cabe mencionar que esto no ayuda si una estación de trabajo administrativa se ve comprometida. Y lastimosamente esto ocurre con bastante frecuencia en ataques de ransomware dirigidos.

1 comentario en “El Ransomware Ryuk está utilizando Wake-on-Lan para cifrar dispositivos sin conexión

Deja un comentario