Ransomware Ryuk enciende computadores apagados para encriptarlos

Los investigadores de seguridad observaron que el ransomware Ryuk usaba una función especial de hardware para activar dispositivos apagados y encriptarlos.

Según Bleeping Computer, investigadores de seguridad descubrieron algunas muestras de subprocesos de generación del ransomware Ryuk con «8 LAN» como argumento tras la ejecución.

Ryuk aprovechó este argumento para escanear la tabla ARP del dispositivo. Lo hizo en un esfuerzo por verificar si las entradas enumeradas de los dispositivos de red eran parte de las subredes de direcciones IP privadas «10.», «172.16» y / o «192.168».

Si descubrió que alguna de las entradas aparecía en cualquiera de esas redes, Ryuk utilizó una función de hardware conocida como «Wake-on-Lan» para activar un dispositivo apagado enviándole un paquete.

Luego, el ransomware busca montar el recurso compartido administrativo C $ del dispositivo y cifrar la unidad de la computadora en caso de que la solicitud de Wake-on-Lan se haya realizado correctamente. Posteriormente, esta técnica ayuda a Ryuk a llegar a una red corporativa desde un solo dispositivo comprometido.

La técnica descrita anteriormente es solo la última instancia en la que Ryuk ha sido noticia. A principios de diciembre, Emsisoft descubrió un error en un descifrador que los operadores de Ryuk proporcionaron a las víctimas de pago. Este problema de seguridad, a su vez, podría haber evitado que las víctimas recuperen con éxito archivos grandes encriptados por el ransomware.

Solo unos días después, Bleeping Computer informó sobre un volcado de memoria que contenía numerosas referencias a Ryuk y la ciudad de Nueva Orleans, lo que indica que la amenaza podría haber sido responsable del ataque del ransomware de Nueva Orleans.