Ransomware gebruikt Wake-on-Lan om uitgezette pc's te versleutelen

[Captain Kirk]

De beruchte Ryuk-ransomware maakt gebruik van Wake-on-Lan (WoL) om uitgeschakelde computers aan te zetten zodat die vervolgens zijn te versleutelen. Wake-on-Lan is een standaard waarmee uitgeschakelde computers door het versturen van een "magic packet" zijn in te schakelen. De machine in kwestie moet WoL wel ondersteunen en ook hebben ingeschakeld. De functie is vooral bedoeld voor systeembeheerders, maar wordt ook door de criminelen achter Ryuk toegepast.

Zodra Ryuk een machine besmet heeft leest het de Address Resolution Protocol (ARP) cache van de computer uit. In de ARP-cache staan ip-adressen van computers in het netwerk. Ryuk stuurt vervolgens naar alle adressen het magic packet. Zodra de machine is ingeschakeld probeert Ryuk de administrative share te mounten. Wanneer dit lukt versleutelt Ryuk bestanden op de betreffende computer.

De WoL-feature van de Ryuk-ransomware werd afgelopen november door securitybedrijf Crowdstrike beschreven. Volgens onderzoeker Kurt Baumgartner van antivirusbedrijf Kaspersky is de functie er al sinds september 2019. Ook de nieuwste versie van Ryuk maakt gebruik van Wake-on-Lan. Volgens Crowdstrike probeert de ransomware met deze feature het aantal te versleutelen machines te maximaliseren.

"Dit is hoe de groep het netwerkbrede ransomwaremodel heeft aangepast om meer machines via een enkele infectie te raken en de machines via WoL en ARP te bereiken", laat beveiligingsonderzoeker Vitali Kremez tegenover Bleeping Computer weten. "Het zorgt voor een groter bereik en demonstreert hun ervaring in het omgaan met grote bedrijfsomgevingen."

 

 

bron: security.nl