Ayer, informamos de la noticia de que la página y otras secciones (como la línea telefónica) del Servicio Público de Empleo se habían visto afectadas por un ciberataque.
De hecho, ya explicamos el funcionamiento del ransomware Ryuk. Pero hoy, vamos a conocer un poco más sobre él.
Hablemos del ransomware Ryuk
Ryuk es el nombre de una familia de ransomware, descubierta por primera vez en Agosto de 2018.
En los viejos tiempos, se conocía a Ryuk, por ser el famoso personaje de un cómic de ciencia ficción, en concreto del cómic Death Note.
El cómic, está basado, en un “cuaderno de la muerte” que da la habilidad sobrenatural de poder matar a cualquiera cuyo nombre esté escrito en las páginas del cuaderno.
En la actualidad, Ryuk, es también el nombre de una de las más importantes familias de ransomware conocidos. Uno de los virus más desagradables conocidos hasta ahora.
¿Qué es el ransomware Ryuk?
Comencemos por definir el ransomware en general. El ransomware es una categoría de malware que bloquea tus archivos o sistemas y los mantiene como rehenes para pedir un rescate.
Ryuk, es un tipo de ransomware utilizado en ataques dirigidos, donde los actores de la amenaza se aseguran de que los archivos esenciales estén encriptados para poder solicitar grandes cantidades de rescate.
Una petición común de rescate de Ryuk, puede llegar a ascender a cientos de miles de dólares.
¿Cómo actúa Ryuk?
Como ayer, ya hemos explicado, Ryuk tiene la capacidad de identificar y cifrar las unidades y recursos de red, así como de eliminar las instantáneas de recuperación del disco duro.
Esto significa que los atacantes pueden deshabilitar la función de restauración del sistema operativo de Windows, lo que hace, que sea imposible recuperarse de un ataque si no han existido copias de seguridad externas u otro tipo de tecnología más avanzado; con el que poder recuperar la información.
¿Quién creó Ryuk?
La atribución del malware siempre es difícil. Sin embargo, los investigadores de Deloitte Argentina, Gabriela Nicolao y Luciano Martins, atribuyeron el ransomware Ryuk a CryptoTech, un grupo ciberdelincuente poco conocido que se observó promocionando Hermes 2.1 en un foro clandestino en agosto de 2017.
Hermes 2.1, según los investigadores, es otro nombre dado al mismo ransomware de Ryuk.
¿Quiénes son los objetivos de Ryuk?
Los objetivos de Ryuk tienden a ser organizaciones de alto perfil donde los atacantes saben que es probable que se les pague por sus elevadas demandas de rescate.
Las víctimas incluyen EMCOR, hospitales de UHS y varios periódicos.
¿Cuánto han ganado los atacantes con Ryuk?
Se estimó que Ryuk generó más de 61 millones de dólares para sus operadores, entre febrero de 2018 y octubre de 2019.
Numerosos investigadores, han filtrado las siguientes direcciones de Bitcoin, como direcciones relacionadas con ataques de Ryuk.
Dirección BTC | Total recibido | No recibido | Valor total (USD) |
---|---|---|---|
12vsQry1XrPjPCaH8gWzDJeYT7dhTmpcjL | 55,00 | 3 | $ 221.685,46 |
1Kx9TT76PHwk8sw7Ur6PsMWyEtaogX7wWY | 182,99 | 10 | $ 734.601,91 |
1FtQnqvjxEK5GJD9PthHM4MtdmkAeTeoRt | 48.250 | 4 | $ 188,974.93 |
14aJo5L9PTZhv8XX6qRPncbTXecb8Qohqb | 25.00 | 2 | $ 113,342.70 |
1E4fQqzCvS8wgqy5T7n1DW8JMNMaUbeFAS | 0,001 | 1 | $ 6,47 |
1GXgngwDMSJZ1Vahmf6iexKVePPXsxGS6H | 30,00 | 3 | $ 132.654,91 |
1Cyh35KqhhDewmXy63yp9ZMqBnAWe4oJRr | 0,00 | 0 | 0,00 $ |
15LsUgfnuGc1PsHJPcfLQJEnHm2FnGAgYC | 0,00 | 0 | 0,00 $ |
1CbP3cgi1Bcjuz6g2Fwvk4tVhqohqAVpDQ | 13.00 | 2 | $ 82,917.49 |
1Jq3WwsaPA7LXwRNYsfySsd8aojdmkFnW | 35,00 | 1 | $ 221,979.83 |
129L4gRSYgVJTRCgbPDtvYPabnk2QnY9sq | 0,00 | 0 | 0,00 $ |
1ET85GTps8eFbgF1MvVhFVZQeNp2a6LeGw | 3.325 | 1 | $ 12,661.74 |
1FRNVupsCyTjUvF36GxHZrvLaPtY6hgkTm | 38,99 | 3 | $ 246,893.95 |
1CW4kTqeoedinSmZiPYH7kvn4qP3mDJQVa | 24.077 | 2 | $ 152.727,13 |
13rTF3AYsf8xEdafUMT5W1E5Ab2aqPhkPi | 0,00 | 0 | 0,00 $ |
17zTcgKhF8XkWvkD4Y1N8634Qw37KwYkZT | 0,00 | 0 | 0,00 $ |
14dpmsn9rmdcS4dKD4GeqY2dYY6pwu4nVV | 0,00 | 0 | 0,00 $ |
17v2cu8RDXhAxufQ1YKiauBq6GGAZzfnFw | 0,00 | 0 | 0,00 $ |
1KUbXkjDZL6HC3Er34HwJiQUAE9H81Wcsr | 10.00 | 1 | $ 63.358,27 |
12UbZzhJrdDvdyv9NdCox1Zj1FAQ5onwx3 | 0,00 | 0 | 0,00 $ |
1NMgARKzfaDExDSEsNijeT3QWbvTF7FXxS | 0,00 | 0 | 0,00 $ |
19AE1YN6Jo8ognKdJQ3xeQQL1mSZyX16op | 25.00 | 1 | $ 164.774,21 |
1L9fYHJJxeLMD2yyhh1cMFU2EWF5ihgAmJ | 40.035 | 4 | $ 259.478,16 |
18eu6KrFgzv8yTMVvKJkRM3YBAyHLonk5G | 30,00 | 1 | $ 198.651,35 |
1C8n86EEttnDjNKM9Tjm7QNVgwGBncQhDs | 30.0082 | 2 | $ 194,113.76 |
12N7W9ycLhuck9Q2wT8E6BaN6XzZ4DMLau | 0,00 | 0 | 0,00 $ |
162DVnddxsbXeVgdCy66RxEPADPETBGVBR | 0,00 | 0 | 0,00 $ |
1ChnbV4Rt7nsb5acw5YfYyvBFDj1RXcVQu | 28.00 | 2 | $ 175.177,98 |
1K6MBjz79QqfLBN7XBnwxCJb8DYUmmDWAt | 1,7 | 2 | $ 12,455.95 |
1EoyVz2tbGXWL1sLZuCnSX72eR7Ju6qohH | 0,00 | 0 | 0,00 $ |
1NQ42zc51stA4WAVkUK8uqFAjo1DbWv4Kz | 0,00 | 0 | 0,00 $ |
15FC73BdkpDMUWmxo7e7gtLRtM8gQgXyb4 | 0,00 | 0 | 0,00 $ |
14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk | 10.00 | 2 | $ 64,990.62 |
1CN2iQbBikFK9jM34Nb3WLx5DCenQLnbXp | 15.00 | 1 | $ 92,934.80 |
1LKULheYnNtJXgQNWMo24MeLrBBCouECH7 | 0,00 | 0 | 0,00 $ |
15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj | 50,41 | 3 | $ 326,477.83 |
1KURvApbe1yC7qYxkkkvtdZ7hrNjdp18sQ | 0,00 | 0 | 0,00 $ |
1NuMXQMUxCngJ7MNQ276KdaXQgGjpjFPhK | 10 | 1 | $ 41.034,54 |
¿Cómo se contagia Ryuk?
Como ocurre con muchos otros ataques de malware, el método de entrada son los correos electrónicos no deseados (spam).
Estos correos electrónicos a menudo se envían desde una dirección falsificada, por lo que el nombre del remitente no genera sospechas.
Un ataque típico de Ryuk, comienza cuando un usuario abre un documento de Microsoft Office adjunto a un correo electrónico de phishing.
Al abrir el documento, una macro maliciosa ejecuta un comando de PowerShell que intenta descargar el troyano bancario Emotet. Este troyano, tiene la capacidad de descargar malware adicional en una máquina infectada que recupera y ejecuta Trickbot; cuya carga útil principal es el software espía.
Esto recopila las credenciales de administrador, lo que permite a los atacantes moverse lateralmente a activos críticos conectados a la red.
La cadena de ataque concluye cuando los atacantes ejecutan Ryuk en cada uno de estos activos.
Entonces, una vez que la red ha sido violada, entonces los atacantes, deciden si creen que vale la pena el esfuerzo de explorar e infiltrarse más en la red y si son víctimas lo suficiente influyentes como para exigir una gran suma.
Finalmente, se toma la decisión final, de si desplegar el ransomware Ryuk o no.
¿Cómo protegerte del ransomware Ryuk?
El primer paso para protegerte en contra de cualquier ataque de ransomware, es invertir en protección anti-malware / antivirus, preferiblemente una que ofrezca protección en tiempo real diseñada para frustrar los ataques de malware avanzados como el ransomware.
Siempre debes estar atento a las características que protegerán a los programas vulnerables de las amenazas (mediante tecnología anti- exploit), así como tecnologías que bloqueen al ransomware para que no sea capaz de cifrar a los archivos (mediante componentes anti-ransomware).
Algunas soluciones de anti-malware ofrecen tecnología de reversión, especialmente diseñada para contrarrestar los efectos del ransomware.
Aunque lo más improtante, es la necesidad de crear copias de seguridadde forma externa, a los equipos de uso habitual; y a poder ser, externas a la red de uso diario.
Una posibilidad, es utilizar almacenamiento en la nube que incluya cifrado de alto nivel y con acceso de doble autenticación.
Otra opción es, comprar USB o discos duros externos, en los que se puedan guardar los archivos nuevos o que se vayan actualizando; asegurándose que los dispositivos físicos, queden desconectados de otros dispositivos que tengan acceso a la red, acto seguido de realizar las copias.
Un apartado importante, es mantener actualizados los sistemas operativos y tod el software.
El brote del ransomware WannaCry, se aprovechó de una vulnerabilidad en el software de Microsoft, y aunque la compañía había lanzado un parche para la laguna de seguridad en marzo de 2017.
Muchas personas que no instalaron la actualización, se quedaron a las manos del virus.
Finalmente, es importante, intentar mantenerse informado. Puesto que una de las formas más comunes de infectarse es a través de la ingeniería social; y si se mantienen informados a los trabajadores sobre los últimos ataques de phishing, sitios web sospechosos u otras estafas.
Mantendrás activa la alerta entre los trabajadores, que entonces intentarán tener una mayor precaución a la hora de abrir correos electrónicos de desconocidos.
¿Cómo se puede eliminar Ryuk?
Partiendo de la base, de que cualquier ataque de Malware, puede llegar a ser muy complicado el eliminarlo / removerlo o limpiarlo; entre otras razones, porque muchas veces, los atacantes, modifican los ficheros que utilizan para atacar.
Por lo tanto, muchas veces, los antivirus no son capaces de detectar ciertos ficheros; si esos, han sido modificados recientemente.
Pese a ello. Existen numerosos productos de compañías de Antivirus especficamente enfocados en Ransomware, por ejemplo, Malwarebytes Nebula.
Deberás tener en cuenta qué, si Emotet, ha realizado ya la entrega de Ryuk. Deberás realizar pasos extra. Entre otros, revisar si cualquier otro dispositivo de toda tu red, también se encuentra afectado.
Deberás limpiar, restaurar y parchear, todos los sistemas conectados a una misma red.
⏩ Aprender que es un envenenamiento por ARP con ejemplos (Capítulo 14)
⏪ Malware: Historia del Ransomware (Capítulo 12)
? Herramientas Hacking ? Recursos Hacking
?♀️ Cursos Seguridad en Red ? Cursos Redes ⛅ Cursos Servicios en Nube ?♂️ Libros Seguridad y Criptografía ? Libros Redes