Ryuk es un tipo de ransomware que suele tener como objetivo a organizaciones muy grandes. El grupo que gestiona Ryuk exige costosos rescates a sus víctimas.
Después de leer este artículo podrás:
Contenido relacionado
ransomware
Ransomware Maze
Ransomware WannaCry
Carga malintencionada
Seguridad de los puntos de conexión
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Ryuk es un tipo de ransomware* que los atacantes llevan usando desde 2018 para extorsionar a empresas. Los grupos que utilizan Ryuk van en busca de objetivos más grandes y cobran unos rescates más elevados que la mayoría de los atacantes de ransomware. Los ataques de Ryuk son inusuales porque implican un esfuerzo manual y un tipo de vigilancia considerables para infectar a sus objetivos. (Para los grupos típicos de ransomware no es rentable dedicar tanto esfuerzo para un ataque).
El grupo que supuestamente está detrás de la mayoría de los ataques de ransomware Ryuk se llama Wizard Spider. Wizard Spider también utiliza TrickBot, un troyano de malware, que es un archivo malicioso disfrazado de algo inofensivo.
*El ransomware es un software malicioso (malware) que bloquea archivos y datos, casi siempre mediante encriptación, y los retiene para pedir un rescate. El atacante o el grupo que controla el ransomware desbloquea los archivos en remoto una vez que la organización víctima paga el rescate.
La mayoría de las veces, el "virus" Ryuk entra en una red a través de una infección de TrickBot. TrickBot puede entrar en una organización de varias formas. El correo electrónico de spam es uno de los métodos más comunes. TrickBot también se propaga a través de la botnet Emotet ya existente, que utiliza correos electrónicos maliciosos, en concreto, archivos adjuntos de documentos de Word para infectar los ordenadores.
Una vez que TrickBot infecta un dispositivo, el grupo Wizard Spider puede usarlo para instalar el ransomware Ryuk. A continuación, Ryuk se mueve lateralmente dentro de la red, e infecta todos los dispositivos conectados que pueda sin activar las alertas de seguridad.
Wizard Spider usa varias técnicas y vulnerabilidades para propagar la infección Ryuk dentro de una red sin ser detectado. En ocasiones, se trata de un proceso manual: el grupo puede ejecutar scripts maliciosos en remoto en PowerShell (una funcionalidad del sistema operativo Windows) o aprovechar el Protocolo de escritorio remoto (RDP), entre otros métodos.
Una vez que Ryuk se ejecuta, encripta los archivos y datos en todos los ordenadores, unidades de red y recursos de red infectados.
Según la empresa de seguridad CrowdStrike, Ryuk usa los algoritmos RSA-2048 y AES-256 para encripatar archivos. RSA es un algoritmo de encriptación de clave pública, lo cual significa que genera un par de claves para encriptar archivos y datos: una clave pública y una clave privada. Wizard Spider tiene la clave privada, lo cual impide que la víctima pueda descifrar los archivos por su cuenta.
A diferencia de la mayoría de ransomware, Ryuk intenta encriptar de forma activa los archivos del sistema. Como comprobó CrowdStrike, intentó encriptar los archivos de arranque, lo que haría que el sistema anfitrión se volviera inestable o lo bloqueara por completo en caso de reiniciarse.
Normalmente, la nota de rescate aparece en un sistema infectado como un archivo de texto (.txt). Ryuk genera este archivo cuando se ejecuta. La nota de rescate indica a las víctimas cómo contactar con los atacantes y pagar el rescate.
Wizard Spider suele solicitar el pago en Bitcoin, y a menudo pide rescates de 100 000 $ o más. Una ciudad de EE: UU. pagó 460 000 $ de rescate tras un ataque de Ryuk.
En 2021, los expertos estimaron que Wizard Spider había ganado más de 150 millones de dólares en pagos por rescates.
En 2018, Ryuk se propagó por varios periódicos de Estados Unidos a través de software infectado de Tribune Publishing. Los ataques interrumpieron la impresión de periódicos durante varios días.
En 2020, Universal Health Services (UHS) vio como el ransomware Ryuk bloqueaba su infraestructura informática. No se podía acceder al sistema telefónico de la organización ni a los historiales médicos de los pacientes. UHS tardó tres semanas en restablecer sus sistemas, y se estima que se produjeron unas pérdidas de 67 millones de dólares a causa del ataque.
Además de los hospitales de UHS, otros hospitales estadounidenses fueron víctimas de ataques del ransomware Ryuk en 2020. Los ataques encriptaron datos críticos, interrumpiendo tratamientos y retrasando las operaciones de muchos pacientes.
Hermes es un tipo de ransomware diferente pero relacionado que apareció por primera vez en 2017. Hermes está ampliamente distribuido en el submundo del ransomware. Muchos atacantes han utilizado Hermes a lo largo de los años, y no está asociado a un grupo específico.
El ransomware Ryuk está basado en gran medida en Hermes. Al principio, Ryuk compartía mucho código con Hermes, pero con el tiempo Wizard Spider ha modificado Ryuk todavía más.
Incluso con estos métodos, no hay forma de garantizar que no se produzca un ataque del ransomware Ryuk, al igual que no es posible prevenir al 100 % cualquier amenaza. Sin embargo, estos pasos pueden reducir considerablemente las posibilidades de una infección.
Si necesitas ayuda para implantar un modelo de seguridad de Zero Trust, recurre a Cloudflare One. Cloudflare One es una plataforma de perímetro de servicio de acceso seguro (SASE) con conectividad de red generalizada y seguridad de Zero Trust incorporada.