En el mundo del malware, el ransomware Ryuk ha pasado de ser novato a profesional a una velocidad inquietante. Ryuk ha logrado este estado no en sus capacidades, sino en la forma extraña en que infecta los sistemas.
El malware Ryuk, tiene un estilo de ataque único. Apunta a grandes entidades al personalizar el ataque en función de la víctima, asegurando un alto ROI en el proceso. ¡A los atacantes de ransomware Ryuk les gusta atacar a los grandes!
El estado de Florida tuvo que pagar un rescate de un millón de dólares para pagar a los atacantes de Ryuk. La situación era tan mala que ciudades como la playa de Riviera se cerraron por completo: los policías comenzaron a dar boletos de papel, la red de suministro de agua de la ciudad se desconectó, la ciudad se detuvo por completo. Mirando cómo Ryuk afectó a Florida, muchos países como el Reino Unido emitieron una alerta de ransomware Ryuk.
El ransomware Ryuk es un problema. Primero, comprende el problema de Ryuk, y eso comienza con las preguntas correctas.
¿Qué es el ransomware Ryuk? ¿Cómo se propaga? ¿Cómo proteger tu negocio de Ryuk?
Aquí daremos respuesta a estas cuestiones.
En este artículo hablamos de:
¿Qué es Ryuk?
En el otoño de otoño de 2018, se descubrió una versión modificada del ransomware Hermes: Ryuk. Tanto Hermes como Ryuk tienen características similares. Identifican y cifran dispositivos de red junto con la eliminación de instantáneas almacenadas en los puntos finales.
La única diferencia es cómo crean las claves de cifrado. Mientras que Hermes usa un par de claves privadas y RSA, Ryuk usa una segunda clave pública RSA.
El ransomware Ryuk es más lucrativo que su predecesor. Se dirige a grandes organizaciones y agencias gubernamentales que terminan pagando grandes cantidades.
La verdad es que, sin los grandes beneficios, procesar los ataques de Ryuk no es sostenible. Implica un alto grado de procesos manuales (explotación directa, solicitudes de pago manejadas por correo electrónico, etc.) y los atacantes no quieren perder el tiempo si el ROI no es bueno.
¿Quiénes fueron sus creadores?
Sospechoso de ser un solo grupo vinculado a la inteligencia de Corea del Norte, los piratas informáticos detrás del amenazante ransomware Ryuk en realidad se extienden a través de dos o más organizaciones cibercriminales prolíficas, que parecen provenir de Rusia o antiguos estados satélites. Juntos, han cosechado 4 millones de dólares en menos de un año de empresas y usuarios bloqueados por el malware de archivos y sistemas cruciales.
Los atacantes de Ryuk han extorsionado más de diez veces el rescate de malware promedio, lo que lo convierte en el exploit “más costoso” de su naturaleza. Un pago de rescate medio fue de 71,000 dólares en bitcoin. Eso fue inferior a la demanda de apertura de los atacantes de Ryuk de 145,000 dólares en la criptomoneda.
En algunos casos, las víctimas se vieron obligadas a pagar el mejor precio, o sus sistemas informáticos serían eliminados. En otras situaciones, los piratas informáticos de Ryuk estaban dispuestos a negociar el rescate. Eso es lo que llevó a los investigadores a sospechar que había más de un equipo de Ryuk.
Los investigadores también encontraron pistas que apuntaban a que Rusia y los antiguos estados satélites soviéticos eran el origen del ataque en lugar de Corea del Norte. A nivel técnico, el idioma ruso se encontró en uno de los archivos cifrados utilizados por Ryuk.
También hubo una referencia cultural en un ataque recogido por los investigadores. Al explicar sus motivos, los atacantes le dijeron a su víctima: “à la guerre comme à la guerre”. La expresión francesa se traduce como “en guerra como en guerra” y fue citada varias veces por el líder revolucionario soviético Lenin en sus escritos.
A pesar de sus grandes ambiciones, los codificadores de Ryuk no parecen ser los ingenieros de software más talentosos. El malware está lleno de errores, por lo que incluso cuando las víctimas han pagado el rescate, la herramienta para descifrar archivos no funciona correctamente y puede fallar en completar su tarea.
¿Cómo funciona este ransomware?
El ransomware Ryuk no es el comienzo, sino el final de un ciclo de infección. Es un ransomware que se forma, paso a paso, y cuando ataca, es letal.
Así es como se propaga Ryuk Ransomware:
Cuentagotas
Todo comienza con correos electrónicos de phishing, visitando un sitio web incompleto o haciendo clic en una ventana emergente aleatoria.
Bots como TrickBot y Emotet dan acceso directo a la red de la víctima. Emotet y TrickBot comienzan a extenderse lateralmente a través de la red e implementan el ransomware Ryuk. En general, hay un retraso entre la propagación de bots y el despliegue de Ryuk. Este retraso permite a Emotet y Trickbot robar información confidencial, lo que hace que las organizaciones sean vulnerables incluso antes de un ataque de Ryuk.
Configuración binaria
Una vez que se implementa el ransomware Ryuk, comprueba si el sistema es adecuado para él. El binario caído ransomware funciona en un algoritmo fijo. El cuentagotas identifica un sistema y ejecuta un módulo (32 o 64 bits). Según los resultados, elimina las versiones de malware que se adaptan al sistema y lo ejecuta con ShellExecuteW.
Cifrado de archivos
Una vez que los atacantes encuentran un sistema adecuado, se cargan dos archivos dentro de una subcarpeta dentro del directorio:
PÚBLICO: clave pública RSA
UNIQUE_ID_DO_NOT_REMOVE: Clave codificada
Aquí es donde Ryuk comienza el proceso de encriptación.
Recorre los sistemas de archivos y las unidades conectadas para iniciar el cifrado utilizando WNetOpenEnum y WNetEnumResource. Cada archivo está encriptado y la clave de encriptación se destruye después de haber cumplido su propósito.
Inyección de Ryuk Ransomware
Ryuk inyecta su código en varios procesos remotos, y así comienza la limpieza viciosa. Usando los comandos taskkill y netstop, crea una lista preconfigurada de 40 procesos y 180 servicios que se eliminan. Estos incluyen herramientas antivirus, bases de datos, copias de seguridad y otro software.
Ryuk Ransom Notes
Estos son los siguientes atributos de la nota de ransomware Ryuk:
- La nota de ransomware se escribe en un archivo llamado RyukReadMe.txt.
- La plantilla es estática, sin embargo, la dirección de correo electrónico y la dirección de la billetera de Bitcoin pueden cambiar
- Los correos electrónicos generalmente llevan el nombre de actores oscuros y modelos de Instagram
Pago de rescate
Es día de pago para los hackers. La cantidad del rescate se basa en el tamaño y el valor de la organización objetivo. El rescate puede variar, pero en general, la cantidad es bastante elevada.
¿Por qué Ryuk es tan peligroso?
A diferencia de muchas otras variedades más comunes de ransomware, que generalmente se distribuyen sistemáticamente a través de grandes campañas de spam, Ryuk está diseñado y dirigido a organizaciones específicas.
De las organizaciones que han sido afectadas hasta ahora, parece que los atacantes están apuntando a organizaciones donde pueden causar la mayor interrupción, como hospitales, puertos y ahora grandes corporaciones de noticias.
La forma en que se construye Ryuk significa que está perfectamente diseñado para operaciones a muy pequeña escala. Solo encriptará los datos y activos más confidenciales y más críticos para la organización objetivo. Esto se debe a que el lado de infección y distribución del ransomware se lleva a cabo manualmente.
Aunque Ryuk tiene muchas características únicas, el análisis de la compañía de seguridad Check Point muestra que comparte algunas similitudes de código con Hermes, una cepa de ransomware del grupo de hackers norcoreanos Lazarus.
Las características que hacen tan peligroso a Ryuk son:
- Persistencia: Una vez ejecutada, la carga principal intenta detener los procesos y servicios relacionados con antivirus. Utiliza una lista preconfigurada para eliminar más de 40 procesos específicos y 180 servicios con los comandos taskkill y net stop. Además, la carga útil principal establece la persistencia en el registro e inyecta cargas maliciosas en varios procesos en ejecución.
- Cifrado: Ryuk utiliza algoritmos de cifrado RSA y AES irrompibles con tres claves. Los CTA utilizan una clave RSA global privada como su modelo de cifrado base. La segunda clave RSA se entrega al sistema a través de la carga útil principal y se cifra con la clave RSA global privada de la CTA. Ryuk escanea los sistemas infectados y cifra casi todos los archivos, directorios, unidades, recursos compartidos y recursos de red.
¿Qué empresas y estamentos se han visto afectados?
Ryuk ha afectado a numerosas empresas desde su creación.
Emcor, una compañía especializada en servicios de construcción mecánica y eléctrica e infraestructura industrial y energética, ha experimentado un ataque de ransomware Ryuk.
Emcor cerró los sistemas de TI afectados por el ataque de Ryuk e implementó planes de continuidad comercial. Además, varios sistemas Emcor siguen volviendo a estar en línea después del ciberataque.
Mientras tanto, Emcor ha contratado una empresa forense de seguridad cibernética, y una investigación sobre el ataque de Ryuk está en curso. Emcor también continúa sirviendo a sus clientes mientras trabaja para resolver el incidente, según la compañía.
Los ciberdelincuentes en octubre de 2019 usaron Ryuk para infectar ordenadores en tres hospitales de Alabama administrados por DCH Health System. Cuatro pacientes en estos hospitales en diciembre presentaron una demanda colectiva contra DCH debido al ataque de Ryuk.
Al menos cinco organizaciones en el sector del petróleo y el gas han sido recientemente golpeadas por Ryuk. Las tácticas, técnicas y procedimientos utilizados contra las cinco víctimas de petróleo y gas fueron similares, lo que indica que los atacantes de Ryuk estaban apuntando específicamente al sector, posiblemente en una campaña coordinada. Entre ellos está el ataque contra Pemex de México en noviembre.
Asimismo, en marzo de 2021 saltaba la noticia de que el SEPE (Servicio Público de Empleo Español) había sido víctima de un ataque informático. De nuevo, se ha descubierto que es culpable no ha sido otro que el ransonmware Ryuk. El ataque obligó a cerrar las 710 oficinas presenciales en territorio español, así como las 52 que prestan el servicio de forma telemática.
El director general de SEPE, Gerardo Gutiérrez, indicó que los ciberdelincuentes no habían pedido ningún rescate y que no los datos personales y confidenciales no se habían visto comprometidos, y que el único perjuicio causado fue no poder acceder a las funciones de las web del SEPE durante un tiempo.
¿Cómo detectar a Ryuk en un ordenador?
Debes supervisar la actividad de archivos y carpetas antes de poder detectar el Ransomware activo, como RYUK, en tu ordenador. Una de las formas más fáciles de hacer esto es monitorizar el tráfico de red que va y viene de tus servidores de archivos de red.
Una vez que tengas tu fuente de datos en su lugar, puedes usar una herramienta para extraer metadatos de archivos y carpetas de los paquetes de red. Los metadatos incluyen información como nombres de archivo, acciones y nombres de usuario.
Además de monitorizar el tráfico asociado con tus servidores de archivos, también recomendamos que monitorices todo el tráfico en el perímetro de tu red. El ransomware necesita comunicarse con el mundo exterior, por lo que tener visibilidad en el borde de la red es importante cuando se trata de detectar y alertar sobre ransomware como Ryuk.
- Ten cuidado con un aumento en el cambio de nombre de los archivos. Los cambios de nombre de archivos no son una acción común cuando se trata de actividad en recursos compartidos de archivos de red. Cuando ransomware como Ryuk ataca, dará como resultado un aumento masivo en el cambio de nombre de los archivos a medida que sus datos se cifran.
- Ten cuidado con cualquier archivo en tu red con la extensión .RYK. Ryuk cifra los datos utilizando un algoritmo de criptografía, lo que hace que los archivos almacenados en una computadora no se puedan usar. Añade la extensión “.RYK” a cada archivo cifrado, renombrando así todos los archivos afectados.
- Verifica los recursos compartidos de la red en busca de notas de rescate. Cuando los archivos están encriptados por Ryuk, dejará una nota de rescate en el formato de un archivo de texto. El mensaje de rescate dentro de “RyukReadMe.txt” es de desarrolladores de Ryuk que informan a las víctimas que todos los datos han sido encriptados usando un algoritmo de criptografía fuerte.
¿Cómo eliminar el virus Ryuk?
Para realizar la eliminación de Ryuk, asegúrate de no considerar el uso de técnicas de eliminación manual. Este es un virus grave que viaja con numerosos componentes que solo se pueden encontrar ejecutando un análisis completo del sistema con anti-spyware.
Desafortunadamente, una vez que elimines el ransomware Ryuk del sistema, tus archivos seguirán cifrados. Esto se debe a que la clave de descifrado necesaria para recuperar los datos bloqueados se guarda en los servidores remotos que pertenecen a la tripulación de este ransomware. Sin embargo, no te desesperes y piensa si tiene copias adicionales de tus datos cifrados guardados en dispositivos externos. Si no, utiliza los consejos que se proporcionan a continuación para descifrar archivos cifrados por Ryuk.
Usando el modo seguro con funciones de red
Para eliminar Ryuk ransomware con Modo a prueba de errores, debes realizar este procedimiento en tu ordenador. Repite el escaneo cuando esté en modo normal.
- Reinicia tu ordenador en modo seguro con funciones de red
Windows 7 / Vista / XP:
- Haz clic en Inicio → Apagar → Reiniciar → Aceptar
- Cuando tu ordenador se active, presiona F8 varias veces hasta que veas la ventana Opciones de arranque avanzadas
- Selecciona Modo seguro con funciones de red de la lista
Windows 10 / Windows 8:
- Presiona el botón de Encendido en la pantalla de inicio de sesión de Windows . Ahora presiona y mantén presionada la tecla Mayús y haz clic en Reiniciar
- Selecciona Solucionar problemas → Opciones avanzadas → Configuración de inicio y finalmente presiona Reiniciar
- Una vez que tu ordenador se active, selecciona Habilitar modo seguro con funciones de red en la ventana Configuración de inicio
2. Eliminar Ryuk
Inicia sesión en tu cuenta infectada e inicia el navegador. Descarga Reimage u otro programa legítimo anti-spyware. Actualízalo antes de realizar un escaneo completo del sistema y elimina los archivos maliciosos que pertenecen a tu ransomware y completa la eliminación de Ryuk.
Restaurando el sistema
Para recuperar su sistema con Restaurar sistema, sigue estos pasos:
- Reinicia tu ordenador en modo seguro con símbolo del sistema siguiendo los pasos anteriores
- Restaura los archivos y la configuración de tu sistema
- Una vez que aparezca la ventana del símbolo del sistema , introduce cd restore y haz clic en Enter
- Escribe rstrui.exe y presiona Enter nuevamente
- Cuando aparezca una nueva ventana, haz clic en Siguiente y selecciona el punto de restauración anterior a la infiltración de Ryuk. Después de hacer eso, haz clic en Siguiente
- Ahora haz clic en Sí para iniciar la restauración del sistema
Una vez que restaures tu sistema a una fecha anterior, descarga y escanea tu ordenador con Reimage y asegúrate de que la eliminación de Ryuk se realice con éxito.
¿Cómo protegerse frente a este tipo de ransomware?
La mejor manera de proteger tu negocio de Ryuk es evitarlo. La evasión se produce cuando los empleados reciben educación en materia de ransomware. Algunos empleados no reciben la capacitación, algunos sí, y algunos lo saben muy bien. Sin embargo, los errores humanos parecen ser responsables del 90% de las violaciones de datos. Claramente, esta táctica no está funcionando.
Hablemos sobre algunas de las formas prácticas de mantener una separación entre tu negocio y el ransomware Ryuk.
Escaneo de malware
Escanea proactivamente tu red en busca de malware y resuélvelo antes de que cause un daño real.
Manejo de parches
Instala y actualiza parches para mantener tus sistemas seguros en todos los puntos finales. Es difícil ser infectado por malware cuando el sistema está parcheado con las últimas actualizaciones de seguridad.
Segmentación de red
La pérdida de unidades de red en una infección de punto final único significa un sistema de seguridad débil. Una táctica inteligente es segmentar el acceso a ciertos servidores y archivos. En caso de un ataque, los piratas informáticos solo tendrían acceso a una parte limitada de tu red.
Las mejores formas de segmentar la red:
- Proporciona acceso a unidades asignadas específicas según los requisitos del rol
- Utiliza sistemas de almacenamiento de terceros para mantener archivos y carpetas vitales compartidos fuera de la red principal
Deshabilitar macros
Macro es un código especial que personaliza bits específicos de una copia de correo electrónico para cada destinatario, como el nombre de la organización. Sin embargo, si recibes un correo electrónico con archivos adjuntos, solicitándote que habilites Macros para verlos, ¡no lo hagas!
Si el archivo adjunto está infectado, al abrirlo se ejecutará la macro repleta de malware, dando a los atacantes el control sobre tu ordenador.
Copia de seguridad de tus datos
Los datos que viven en tu red siempre serán vulnerables a un ataque de Ryuk. Es por eso que debes hacer una copia de seguridad de tus datos en una nube externa. Esto te hará inmune a los rescates, ya que puedes recuperar fácilmente la versión original sin cifrar de los datos.
El problema es que la gente tiende a omitir las copias de seguridad manuales de vez en cuando. Esto puede resultar peligroso para las empresas.