Las principales características del ransomware Ryuk tiene entre sus víctimas a hospitales, entidades gubernamentales, compañías de tecnología, instituciones educativas y medios de comunicación, entre otros.
Las principales características del Ransomware Ryuk, muy activo desde que comenzó la pandemia. En la mayoría de los casos este tipo de Malware apunta a instituciones con gran capacidad de recursos y tiene por objetivo cifrar los archivos de una máquina víctima para dejarlos inaccesibles y luego extorsionar a la misma pidiéndole un pago, en criptomonedas, por la recuperación de estos.
Ryuk ha sido uno de los grupos de ransomware de mayor actividad desde que comenzó la pandemia y se ha cobrado a una gran cantidad de víctimas, entre ellas a varias organizaciones gubernamentales y grandes empresas. Probablemente esto se deba a su estrategia de realizar ataques muy dirigidos apuntando a víctimas que cuenten con los recursos suficientes para pagar importantes sumas de dinero por la recuperación de sus archivos o que necesitan de esta información para poder operar con normalidad. Estas víctimas van desde hospitales, entidades gubernamentales, compañías de tecnología, instituciones educativas, medios de comunicación, entre otros.
Uno de los ataques más recientes fue el que realizó sobre Servicio Público de Empleo Estatal (SEPE) en España. Por otra parte, el ataque al Universal Health Services en Estados Unidos en 2020 fue, uno de los ciberataques al sector de la salud más grande en la historia de aquel país. Según diferentes reportes, el tiempo promedio de recuperación de una víctima desde que reporta el incidente hasta que recupera la totalidad de sus archivos es de 12 días.
Según el análisis realizado por ESET y la revisión de otros análisis publicados en el último tiempo, el equipo de investigación concluyó que Ryuk es capaz de lograr acceder a los sistemas de una organización e infectar una máquina de diferentes maneras. Algunas de estas pueden ser:
Utilizando correos de phishing dirigidos, también conocidos como Spear Phishing, que pueden incluir archivos adjuntos que descargan malware, como documentos de Office u otro tipo de archivos.
Comprometiendo equipos a través del protocolo RDP expuesto a Internet.
Siendo distribuido por otros códigos maliciosos, como fue el caso de la triple amenaza en la cual las víctimas se infectaban con el malware Emotet, esta descarga y ejecutaba Trickbot y este último ejecutaba Ryuk en la mayor cantidad de computadores posibles.
Luego de que los operadores detrás de Ruyk logran acceso a los sistemas de la víctima, se valen de distintas herramientas para realizar tareas de reconocimiento dentro de los sistemas para finalmente desplegar el ransomware.
Pie de imagen: Archivo cifrado por Ryuk
Una vez que se ejecuta sobre la maquina víctima crea tres copias de sí mismo en la misma carpeta donde se encuentra alojado con el atributo hidden (oculto). Estas copias se van a ejecutar con distintos argumentos, y son usadas para detectar otros equipos en la red e intentar infectarlos. Además, posee otras características maliciosas; por ejemplo:
Detección y otorgamiento de acceso completo a todas las unidades lógicas presentes en la maquina víctima.
Borra de copias de seguridad (shadow copies).
Modifica el modo de arranque de la máquina victima ignorando errores.
Es capaz de crear uno o dos archivos con notas de rescate:
RyukReadme.txt
RyukReadme.html
Es capaz de propagarse como un gusano entre carpetas compartidas por otros equipos que estén en la misma red, si posee permisos y privilegios para acceder a las mismas.
Pie de imagen: Información de contacto dentro de la nota de rescate
“Ante un ataque de ransomware, como puede ser Ryuk, desde ESET no recomendamos pagar por el rescate de los archivos afectados, ya que por un lado no hay certeza de que los criminales otorguen las respectivas herramientas para recuperar nuestros archivos. Y, por otro lado, se estaría fomentando a los cibercriminales a continuar con este tipo de ataques haciendo los rentables para ellos.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Las recomendaciones de ESET para evitar o minimizar el riesgo de un ataque de ransomware son:
Hacer backups de la información de manera periódica
Mostrar las extensiones de los archivos que por defecto vienen ocultas, para evitar abrir archivos maliciosos
Instalar una solución de seguridad confiable en todos los dispositivos
Mantener siempre los equipos actualizados, tanto el Sistema Operativo como aplicaciones que se utilicen
Deshabilitar el RDP cuando no sea necesario
No abrir un email con contenido adjunto si se desconoce de la persona que lo envió
Capacitar al personal de la empresa para que sea consciente de los riesgos que hay sobre internet.
Si quiere conocer más sobre las soluciones para asegurar la información de su empresa, puede contactarnos y solicitar la asesoría de uno de nuestros especialistas. En INFORC Ecuador, creemos en la ciberseguridad.
Copyright © 1992 – 2021. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres y marcas son marcas registradas de sus respectivas empresas.
Comments