El ransomware Ryuk
Se estima que el grupo responsable del ransomware Ryuk puede haber obtenido cerca de 700 BTC, más de dos millones de euros.
Este ransomware empezó a detectarse a finales del verano de 2018, siendo utilizado principalmente en campañas dirigidas hacia empresas. No muestra capacidades técnicas sofisticadas ni ha sido detectado en campañas masivas de spam. De modo que requiere de una distribución manual por parte de los atacantes debido a que su esquema de cifrado está diseñado para operaciones a pequeña escala, por lo que es necesario un extenso mapeo de las redes y una recolección de credenciales dedicada previas a la infección. Esta estrategia de ataque hacia unos pocos objetivos concretos dificulta el rastreo de la actividad económica del atacante, pero la selección de empresas con gran capacidad de pago ha permitido a los atacantes atesorar ya más del equivalente a dos millones de euros en bitcoins.
Las similitudes de código entre Ryuk y Hermes hacen sospechar que este nuevo ransomware puede es un derivado del código fuente de Hermes, y por tanto, podría ser una creación del grupo norcoreano Lazarus. Aunque también se sospecha que el grupo Grim Spider podría estar detrás de Ryuk, dado que algunos ataques realizados con este rasomware han sido realizados en asociación con TrickBot. Tanto Ryuk como Hermes seleccionan los archivos a encriptar de forma similar y son capaces de: encriptar usando RSA-2048 y AES-256, almacenar las claves en un ejecutable usando el formato propietario de Microsoft SIMPLEBLOB, encriptar los dispositivos montados y los servidores remotos, y usan el mismo marcador de archivos para verificar qué archivos están ya encriptados.
Sin embargo, Ryuk parece haber sido diseñado para atacar exclusivamente a empresas, por lo que entre sus modificaciones se incluye la capacidad de terminar varios procesos y servicios como los antivirus, las copias de seguridad y otros programas; además de la capacidad de destruir su clave de cifrado y eliminar todas las copias de seguridad de una máquina específica. Otra diferencia significativa entre Ryuk y Hermes reside en la lógica usada por Ryuk para el acceso a archivos, el uso de una segunda clave RSA pública y el modo de creación de las claves de cifrado.
Hasta ahora, los ataques de Ryuk han afectado a cientos de PC, almacenamiento y centros de datos de las empresas infectadas. Hay constancia de que se han lanzado ataques contra empresas canadienses y estadounidenses de diversos sectores, desde la restauración, hasta el equipamiento médico, incluyendo algunos de los principales medios de prensa escrita de EE.UU.
Luciano Miguel Tobaria
Más información:
- Ryuk Ransomware: A brief look into the ransomware’s origin and its high-profile attacks (Cyware.com)
- Ryuk ransomware. How to remove? (2-spyware.com)
Powered by WPeMatico