Ataque de ransomware Ryuk

La variante del ransomware Ryuk se descubrió por primera vez “en estado salvaje” en agosto de 2018. Desde entonces, su visibilidad ha aumentado hasta convertirse en una de las variantes de ransomware más conocidas y costosas que existen.

A diferencia de las primeras variantes de ransomware como WannaCry, Ryuk está diseñado para ser extremadamente específico. El diseño del malware significa que cada víctima debe recibir la atención individual de los ciberdelincuentes que ejecutan el malware. Como resultado, Ryuk se utiliza en campañas específicas con vectores de infección altamente personalizados y altas demandas de rescate.

Más información ¿Prevenir un ataque?

¿Cómo funciona ransomware Ryuk?

Ryuk está diseñado para ser una variante de ransomware dirigida, lo que significa que se centra en la calidad sobre la cantidad con sus víctimas. Una infección Ryuk comienza con un ataque muy dirigido para infectar a la víctima prevista, seguido del cifrado de archivos y una demanda de rescate extremadamente grande.

#1. Infección

Los operadores detrás del ransomware Ryuk adoptan un enfoque específico para seleccionar e infectar a sus víctimas. En lugar de intentar infectar una gran cantidad de computadoras y pedir un rescate relativamente pequeño (como WannaCry), las campañas que utilizan el ransomware Ryuk se centran en una sola organización y tienen un precio de venta extremadamente alto por la recuperación de datos.

Por esta razón, Ryuk se propaga comúnmente a través de medios muy específicos. Estos incluyen el uso de correos electrónicos de phishing personalizados y la explotación de credenciales comprometidas para acceder de forma remota a los sistemas a través del Protocolo de escritorio remoto (RDP).

Un correo electrónico de phishing puede llevar a Ryuk directamente o ser el primero de una serie de infecciones de malware. Emotet, TrickBot y Ryuk son una combinación común. Con RDP, un ciberdelincuente puede instalar y ejecutar Ryuk directamente en la máquina objetivo o aprovechar su acceso para alcanzar e infectar otros sistemas más valiosos en la red.

#2. cifrado

Ryuk utiliza una combinación de algoritmos de cifrado, incluido un algoritmo simétrico (AES-256) y uno asimétrico (RSA 4096). El ransomware cifra un archivo con el algoritmo simétrico e incluye una copia de la clave de cifrado simétrica cifrada con la clave pública RSA. Tras el pago del rescate, el operador de Ryuk proporciona una copia de la clave privada RSA correspondiente, lo que permite descifrar la clave de cifrado simétrica y, utilizándola, los archivos cifrados.

El ransomware representa una grave amenaza para la estabilidad de un sistema infectado si cifra los archivos incorrectos. Por esta razón, Ryuk evita deliberadamente cifrar ciertos tipos de archivos (incluydo.exe y .dll) y archivos en ciertas carpetas del sistema. Si bien no es un sistema infalible, esto disminuye la probabilidad de que Ryuk rompa una computadora infectada, haciendo que la recuperación de archivos sea más difícil o imposible incluso si se paga un rescate.

#3. Rescate

Ryuk es conocido como una de las variantes de ransomware más caras, con demandas de rescate promedio que alcanzaron los 111.605 dólares estadounidenses en el primer trimestre de 2020. Las notas de rescate de Ryuk contienen una dirección de correo electrónico donde las víctimas pueden dirigirse a los ciberdelincuentes que operan el ransomware para recibir instrucciones sobre cómo pagar el rescate.

Sin embargo, es posible que las organizaciones que opten por pagar el rescate no siempre obtengan lo que pagaron. El pago de una demanda de rescate debería resultar en que el ciberdelincuente envíe una clave de descifrado y/o software capaz de descifrar los archivos de la víctima. En la mayoría de los casos, el ciberdelincuente tomará el rescate sin devolver el acceso a los archivos.

Sin embargo, incluso si los ciberdelincuentes están actuando de buena fe, no hay garantía de que la organización recupere el acceso a todos sus archivos perdidos. Una versión del descifrador del ransomware Ryuk tenía un error en el código que eliminaba el último byte al descifrar un archivo grande. Mientras que en algunos formatos de archivo este último byte es solo relleno, en otros es fundamental interpretar el archivo. Como resultado, una víctima de Ryuk no debe esperar necesariamente recuperar todos sus archivos cifrados, incluso si paga el rescate.

Cómo protegerse contra Ryuk

Ser víctima de un ataque de ransomware Ryuk es extremadamente costoso para una organización. Los operadores del ransomware Ryuk se esforzaron en desarrollar un señuelo de phishing dirigido y exigen un alto rescate por el problema. Sin embargo, en algunos casos, incluso pagar el rescate no es suficiente para recuperar el acceso de una empresa a datos confidenciales o valiosos.

Por este motivo, es mucho mejor intentar prevenir un ataque de ransomware en lugar de reaccionar ante él. Si se puede detectar el malware Ryuk antes de que comience el cifrado, el incidente se puede mitigar con un costo mínimo para la organización.

La implementación de la solución anti-ransomware de Check Point puede ayudar a una organización a defenderse contra Ryuk y otras variantes de ransomware. Esta herramienta monitorea comportamientos comunes de ransomware, lo que le permite detectar incluso variantes de ransomware de día cero. Dado que los programas legítimos no exhiben los mismos comportamientos, como abrir y cifrar una gran cantidad de archivos, la solución anti-ransomware de Check Point puede proporcionar detección de ransomware de alta fidelidad y minimizar el daño y el costo asociados con un intento de ataque de ransomware Ryuk.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.