Wake-on-Lan é um recurso de hardware que permite que um dispositivo desligado seja “acordado” ou ligado por meio do envio a ele de um pacote de rede especial
O ransomware Ryuk está usando o recurso Wake-on-Lan para ativar dispositivos desligados em uma rede comprometida para obter maior sucesso ao criptografá-los. Wake-on-Lan é um recurso de hardware que permite que um dispositivo desligado seja “acordado” ou ligado por meio do envio a ele de um pacote de rede especial. Isso é útil para administradores que podem precisar enviar atualizações para um computador ou executar tarefas agendadas quando ele é desligado.
De acordo com uma análise recente do Ryuk feita pelo chefe do SentinelLabs, Vitali Kremez, quando o malware é executado, gera subprocessos com o argumento ‘8 LAN’. Quando esse argumento é usado, o Ryuk verifica a tabela ARP do dispositivo, que é uma lista de endereços IP conhecidos na rede e seus endereços MAC associados, e verifica se as entradas fazem parte das sub-redes de endereços IP privados de “10.”, “172.16.” E “192.168”.
Se a entrada ARP fizer parte de qualquer uma dessas redes, a Ryuk enviará um pacote Wake-on-Lan (WoL) ao endereço MAC do dispositivo para ligá-lo. Esta solicitação de WoL vem na forma de um “pacote mágico” contendo “FF FF FF FF FF FF FF FF”.
Se a solicitação de WoL for bem-sucedida, o Ryuk tentará montar o compartilhamento administrativo em C $ do dispositivo remoto. Se eles puderem montar o compartilhamento, o ransomware também criptografará a unidade desse computador remoto. Com agências de notícias internacionais.
