Saltar al contenido

Ryuk el virus que ataco al SEPE

Ryuk el virus que ataco al sepe

Ryuk, un ransomware sin corazón

Ryuk nació por primera del 2018 aproximadamente aunque es una variante mas agresiva de otro virus. Más allá de que se sospechó que poseía su origen en un grupo de hackers de Corea del Norte, indicios posteriores parecen señalar que fueron organizaciones cibercriminales rusas las causantes de su creación y administración.

Como pasa con otros tipos de ataque de ransomware, el propósito de Ryuk es infiltrarse en sistemas para codificar sus datos y de esta forma hacerlos inaccesibles. Para desbloquearlos piden un salve (en inglés, ‘ransom’) que comunmente hay que realizar los pagos en criptodivisas, lo que hace ese pago más complicado de seguir.

En el otoño de otoño de 2018, se halló una versión modificada del ransomware Hermes: Ryuk. Tanto Hermes como Ryuk tienen propiedades semejantes. Identifican y cifran gadgets de red adjuntado con la supresión de instantáneas almacenadas en los puntos finales.

La exclusiva distingue es cómo crean las claves de encriptado. En tanto que Hermes utiliza unos cuantos claves privadas y RSA, Ryuk utiliza una segunda clave pública RSA.

El ransomware Ryuk es más lucrativo que su precursor. Se dirige a enormes organizaciones y agencias gubernamentales que acaban pagando enormes proporciones.

La realidad es que, sin los enormes provecho, procesar los asaltos de Ryuk no es sostenible. Supone un prominente nivel de procesos cursos (explotación directa, solicitudes de pago manejadas por mail, etc.) y los atacantes no desean perder el tiempo si el ROI no es bueno.

Cómo ha atacado Ryuk al SEPE

Ryuk se convirtió de esta forma en una de las superiores amenazas para las compañias de todo el planeta. Solo en España ha golpeado en numerosas oportunidades y lo hizo fuerte: estuvo detrás de un ataque al Ayuntamiento de Jerez o de otro a Prosegur a finales de 2019, cuando se solía repartir por medio de Emotet, un troyano bancario que se convirtió en todo un distribuidor de código malicioso.

Este ransomware, que ha golpeado en el SEPE ocasionando el primer enorme hecho informático en España —que trasciende— en lo que va de 2021, además se distribuía por medio de una botnet —un conjunto de bots, gadgets y ordenadores atacables que se convirtieron en parte de una clase de batallón de ‘zombies’— llamada Trickbot

Las propiedades que hacen tan arriesgado a Ryuk son:

  • Persistencia: Una vez ejecutada, la carga primordial intenta parar los procesos y servicios relacionados con antivirus. Usa una lista preconfigurada para remover bastante más de 40 procesos particulares y 180 servicios con los comandos taskkill y net stop. Además, la carga servible primordial establece la persistencia en el registro e inyecta cargas maliciosas en numerosos procesos en ejecución.
  • Cifrado: Ryuk usa algoritmos de encriptado RSA y AES irrompibles con tres claves. Los CTA usan una clave RSA global privada como su modelo de encriptado base. La segunda clave RSA se distribución al sistema por medio de la carga servible primordial y se cifra con la clave RSA global privada de la CTA. Ryuk escanea los sistemas infectados y cifra todos los ficheros, directorios, entidades, elementos compartidos y elementos de red.

Cómo trabaja Ryuk

Siguiendo el modus operandi del resto de ransomware, al terminar el encriptado de los ficheros de sus víctimas, Ryuk deja una nota de salve que sugiere que, para recobrar los ficheros, es requisito hacer un pago de bitcoins contactando con la dirección indicada.

En la exhibe analizada por Panda Security, Ryuk llegó a los sistemas por medio de una conexión en remoto lograda en un ataque RDP. El actor malicioso pudo ingresar de manera remota. Cuando pudo comenzar la sesión, desarrolló un ejecutable con la exhibe.

Ryuk, como otros software malicioso, trata de quedarse en nuestro sistema el más grande tiempo viable. Uno de sus sistemas para conseguirlo es hacer aplicables y lanzarlos en oculto. Para lograr codificar los ficheros de la víctima, además necesita tener permisos. En la mayoría de los casos, Ryuk parte de un movimiento del costado o es lanzado por otro software malicioso, como Emotet o Trickbot. Estos se dedican a escalar permisos antes para otorgarlos al ransomware.

Cómo protegerte de Ryuk

Ryuk tiene una letanía de trucos para ingresar, ganar persistencia y codificar los ficheros de sus víctimas. Como es la situacion con todo el ransomware, si no tienes las protecciones correctas y no sigues las pautas apropiadas, esta amenaza puede ser complicado de contener.

La preferible forma de asegurar tu negocio de Ryuk es evitarlo. La evasión se produce cuando los empleados reciben educación en temas de ransomware. Algunos empleados no reciben la capacitación, algunos sí, y algunos lo saben realmente bien. Por otro lado, los fallos humanos parecen ser causantes del 90% de las violaciones de datos. Precisamente, esta táctica no está surtiendo efecto.

Hablemos sobre algunas de las formas prácticas de sostener una división entre tu negocio y el ransomware Ryuk.

Escaneo de software malicioso

Escanea proactivamente tu red en busca de software malicioso y resuélvelo antes de que cause un inconveniente real.

Manejo de parches

Instala y actualiza parches para sostener tus sistemas seguros en todos los puntos finales. Es complicado ser infectado por software malicioso cuando el sistema está parcheado con las últimas actualizaciones de seguridad.

Segmentación de red

La falta de redes en una infección de punto final exclusivo significa un sistema de seguridad débil. Una táctica capaz es dividir el ingreso a algunos servidores y ficheros. En caso de un ataque, los piratas informáticos solo podrían tener ingreso a una sección limitada de tu red.

Las superiores maneras de dividir la red:

  • Proporciona ingreso a entidades asignadas particulares de acuerdo con los requisitos del rol
  • Utiliza sistemas de alojamiento de otros para sostener ficheros y carpetas vitales compartidos fuera de la red principal

Deshabilitar macros

Macro es un código particular que edita bits particulares de una copia de mail para cada receptor, como el nombre de la organización. Por otro lado, si recibes un mail con ficheros adjuntos, solicitándote que habilites Macros para observarlos, ¡no lo hagas!

Si el archivo adjunto está infectado, al abrirlo se ejecutará la macro llena de software malicioso, dando a los atacantes el control sobre tu PC.

Copia de seguridad de tus datos

Los datos que viven en tu red siempre van a ser atacables a un ataque de Ryuk. Por esa razón tienes que llevar a cabo una backup de tus datos en una nube externa. Esto te va a hacer inmune a los rescates, puesto que puedes recobrar de forma sencilla la versión oficial sin codificar de los datos.

El inconveniente es que la multitud tiende a omitir las backups ocasionalmente. Esto puede ser arriesgado para las compañias.