¿Cómo funciona el ransomware Ryuk con el que ha sido atacado el SEPE?

¿Cómo funciona el ransomware Ryuk con el que ha sido atacado el SEPE?
¿Cómo funciona el ransomware Ryuk con el que parece haber sido atacado el SEPE?
  • Autor de la entrada:
  • Categoría de la entrada:Ciberseguridad / Noticias
  • Tiempo de lectura:7 minutos de lectura

Ayer, informamos de la noticia de que la página y otras secciones (como la línea telefónica) del Servicio Público de Empleo se habían visto afectadas por un ciberataque.

De hecho, ya explicamos el funcionamiento del ransomware Ryuk. Pero hoy, vamos a conocer un poco más sobre él.

Hablemos del ransomware Ryuk

Ryuk es el nombre de una familia de ransomware, descubierta por primera vez en Agosto de 2018.

En los viejos tiempos, se conocía a Ryuk, por ser el famoso personaje de un cómic de ciencia ficción, en concreto del cómic Death Note.

El cómic, está basado, en un «cuaderno de la muerte» que da la habilidad sobrenatural de poder matar a cualquiera cuyo nombre esté escrito en las páginas del cuaderno.

En la actualidad, Ryuk, es también el nombre de una de las más importantes familias de ransomware conocidos. Uno de los virus más desagradables conocidos hasta ahora.

¿Qué es el ransomware Ryuk?

Comencemos por definir el ransomware en general. El ransomware es una categoría de malware que bloquea tus archivos o sistemas y los mantiene como rehenes para pedir un rescate.

Ryuk, es un tipo de ransomware utilizado en ataques dirigidos, donde los actores de la amenaza se aseguran de que los archivos esenciales estén encriptados para poder solicitar grandes cantidades de rescate.

Una petición común de rescate de Ryuk, puede llegar a ascender a cientos de miles de dólares.

¿Cómo actúa Ryuk?

Como ayer, ya hemos explicado, Ryuk tiene la capacidad de identificar y cifrar las unidades y recursos de red, así como de eliminar las instantáneas de recuperación del disco duro.

Esto significa que los atacantes pueden deshabilitar la función de restauración del sistema operativo de Windows, lo que hace, que sea imposible recuperarse de un ataque si no han existido copias de seguridad externas u otro tipo de tecnología más avanzado; con el que poder recuperar la información.

¿Quién creó Ryuk?

La atribución del malware siempre es difícil. Sin embargo, los investigadores de Deloitte Argentina, Gabriela Nicolao y Luciano Martins, atribuyeron el ransomware Ryuk a CryptoTech, un grupo ciberdelincuente poco conocido que se observó promocionando Hermes 2.1 en un foro clandestino en agosto de 2017.

Hermes 2.1, según los investigadores, es otro nombre dado al mismo ransomware de Ryuk.

¿Quiénes son los objetivos de Ryuk?

Los objetivos de Ryuk tienden a ser organizaciones de alto perfil donde los atacantes saben que es probable que se les pague por sus elevadas demandas de rescate.

Las víctimas incluyen EMCOR, hospitales de UHS y varios periódicos.

¿Cuánto han ganado los atacantes con Ryuk?

Se estimó que Ryuk generó más de 61 millones de dólares para sus operadores, entre febrero de 2018 y octubre de 2019.

Numerosos investigadores, han filtrado las siguientes direcciones de Bitcoin, como direcciones relacionadas con ataques de Ryuk.

Dirección BTC Total recibido No recibido Valor total (USD)
12vsQry1XrPjPCaH8gWzDJeYT7dhTmpcjL 55,00 3 $ 221.685,46
1Kx9TT76PHwk8sw7Ur6PsMWyEtaogX7wWY 182,99 10 $ 734.601,91
1FtQnqvjxEK5GJD9PthHM4MtdmkAeTeoRt 48.250 4 $ 188,974.93
14aJo5L9PTZhv8XX6qRPncbTXecb8Qohqb 25.00 2 $ 113,342.70
1E4fQqzCvS8wgqy5T7n1DW8JMNMaUbeFAS 0,001 1 $ 6,47
1GXgngwDMSJZ1Vahmf6iexKVePPXsxGS6H 30,00 3 $ 132.654,91
1Cyh35KqhhDewmXy63yp9ZMqBnAWe4oJRr 0,00 0 0,00 $
15LsUgfnuGc1PsHJPcfLQJEnHm2FnGAgYC 0,00 0 0,00 $
1CbP3cgi1Bcjuz6g2Fwvk4tVhqohqAVpDQ 13.00 2 $ 82,917.49
1Jq3WwsaPA7LXwRNYsfySsd8aojdmkFnW 35,00 1 $ 221,979.83
129L4gRSYgVJTRCgbPDtvYPabnk2QnY9sq 0,00 0 0,00 $
1ET85GTps8eFbgF1MvVhFVZQeNp2a6LeGw 3.325 1 $ 12,661.74
1FRNVupsCyTjUvF36GxHZrvLaPtY6hgkTm 38,99 3 $ 246,893.95
1CW4kTqeoedinSmZiPYH7kvn4qP3mDJQVa 24.077 2 $ 152.727,13
13rTF3AYsf8xEdafUMT5W1E5Ab2aqPhkPi 0,00 0 0,00 $
17zTcgKhF8XkWvkD4Y1N8634Qw37KwYkZT 0,00 0 0,00 $
14dpmsn9rmdcS4dKD4GeqY2dYY6pwu4nVV 0,00 0 0,00 $
17v2cu8RDXhAxufQ1YKiauBq6GGAZzfnFw 0,00 0 0,00 $
1KUbXkjDZL6HC3Er34HwJiQUAE9H81Wcsr 10.00 1 $ 63.358,27
12UbZzhJrdDvdyv9NdCox1Zj1FAQ5onwx3 0,00 0 0,00 $
1NMgARKzfaDExDSEsNijeT3QWbvTF7FXxS 0,00 0 0,00 $
19AE1YN6Jo8ognKdJQ3xeQQL1mSZyX16op 25.00 1 $ 164.774,21
1L9fYHJJxeLMD2yyhh1cMFU2EWF5ihgAmJ 40.035 4 $ 259.478,16
18eu6KrFgzv8yTMVvKJkRM3YBAyHLonk5G 30,00 1 $ 198.651,35
1C8n86EEttnDjNKM9Tjm7QNVgwGBncQhDs 30.0082 2 $ 194,113.76
12N7W9ycLhuck9Q2wT8E6BaN6XzZ4DMLau 0,00 0 0,00 $
162DVnddxsbXeVgdCy66RxEPADPETBGVBR 0,00 0 0,00 $
1ChnbV4Rt7nsb5acw5YfYyvBFDj1RXcVQu 28.00 2 $ 175.177,98
1K6MBjz79QqfLBN7XBnwxCJb8DYUmmDWAt 1,7 2 $ 12,455.95
1EoyVz2tbGXWL1sLZuCnSX72eR7Ju6qohH 0,00 0 0,00 $
1NQ42zc51stA4WAVkUK8uqFAjo1DbWv4Kz 0,00 0 0,00 $
15FC73BdkpDMUWmxo7e7gtLRtM8gQgXyb4 0,00 0 0,00 $
14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk 10.00 2 $ 64,990.62
1CN2iQbBikFK9jM34Nb3WLx5DCenQLnbXp 15.00 1 $ 92,934.80
1LKULheYnNtJXgQNWMo24MeLrBBCouECH7 0,00 0 0,00 $
15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj 50,41 3 $ 326,477.83
1KURvApbe1yC7qYxkkkvtdZ7hrNjdp18sQ 0,00 0 0,00 $
1NuMXQMUxCngJ7MNQ276KdaXQgGjpjFPhK 10 1 $ 41.034,54

¿Cómo se contagia Ryuk?

Como ocurre con muchos otros ataques de malware, el método de entrada son los correos electrónicos no deseados (spam).
Estos correos electrónicos a menudo se envían desde una dirección falsificada, por lo que el nombre del remitente no genera sospechas.

Un ataque típico de Ryuk, comienza cuando un usuario abre un documento de Microsoft Office adjunto a un correo electrónico de phishing.

Al abrir el documento, una macro maliciosa ejecuta un comando de PowerShell que intenta descargar el troyano bancario Emotet. Este troyano, tiene la capacidad de descargar malware adicional en una máquina infectada que recupera y ejecuta Trickbot; cuya carga útil principal es el software espía.

Esto recopila las credenciales de administrador, lo que permite a los atacantes moverse lateralmente a activos críticos conectados a la red.

La cadena de ataque concluye cuando los atacantes ejecutan Ryuk en cada uno de estos activos.

Entonces, una vez que la red ha sido violada, entonces los atacantes, deciden si creen que vale la pena el esfuerzo de explorar e infiltrarse más en la red y si son víctimas lo suficiente influyentes como para exigir una gran suma.

Finalmente, se toma la decisión final, de si desplegar el ransomware Ryuk o no.

¿Cómo protegerte del ransomware Ryuk?

El primer paso para protegerte en contra de cualquier ataque de ransomware, es invertir en protección anti-malware / antivirus, preferiblemente una que ofrezca protección en tiempo real diseñada para frustrar los ataques de malware avanzados como el ransomware.

Siempre debes estar atento a las características que protegerán a los programas vulnerables de las amenazas (mediante tecnología anti- exploit), así como tecnologías que bloqueen al ransomware para que no sea capaz de cifrar a los archivos (mediante componentes anti-ransomware).

Algunas soluciones de anti-malware ofrecen tecnología de reversión, especialmente diseñada para contrarrestar los efectos del ransomware.

Aunque lo más improtante, es la necesidad de crear copias de seguridadde forma externa, a los equipos de uso habitual; y a poder ser, externas a la red de uso diario.

Una posibilidad, es utilizar almacenamiento en la nube que incluya cifrado de alto nivel y con acceso de doble autenticación.

Otra opción es, comprar USB o discos duros externos, en los que se puedan guardar los archivos nuevos o que se vayan actualizando; asegurándose que los dispositivos físicos, queden desconectados de otros dispositivos que tengan acceso a la red, acto seguido de realizar las copias.

Un apartado importante, es mantener actualizados los sistemas operativos y tod el software.

El brote del ransomware WannaCry, se aprovechó de una vulnerabilidad en el software de Microsoft, y aunque la compañía había lanzado un parche para la laguna de seguridad en marzo de 2017.

Muchas personas que no instalaron la actualización, se quedaron a las manos del virus.

Finalmente, es importante, intentar mantenerse informado. Puesto que una de las formas más comunes de infectarse es a través de la ingeniería social; y si se mantienen informados a los trabajadores sobre los últimos ataques de phishing, sitios web sospechosos u otras estafas.

Mantendrás activa la alerta entre los trabajadores, que entonces intentarán tener una mayor precaución a la hora de abrir correos electrónicos de desconocidos.

¿Cómo se puede eliminar Ryuk?

Partiendo de la base, de que cualquier ataque de Malware, puede llegar a ser muy complicado el eliminarlo / removerlo o limpiarlo; entre otras razones, porque muchas veces, los atacantes, modifican los ficheros que utilizan para atacar.

Por lo tanto, muchas veces, los antivirus no son capaces de detectar ciertos ficheros; si esos, han sido modificados recientemente.

Pese a ello. Existen numerosos productos de compañías de Antivirus especficamente enfocados en Ransomware, por ejemplo, Malwarebytes Nebula.

Deberás tener en cuenta qué, si Emotet, ha realizado ya la entrega de Ryuk. Deberás realizar pasos extra. Entre otros, revisar si cualquier otro dispositivo de toda tu red, también se encuentra afectado.

Deberás limpiar, restaurar y parchear, todos los sistemas conectados a una misma red.

ROSEPAC

Redactor Diario Ciberninjas. Curador Digital. 🔗 Telegram 👨‍💻 Twittter 🐦 Discord 🧰