¿Qué es el ransomware Ryuk?

Ryuk es un tipo de ransomware que suele tener como objetivo a organizaciones muy grandes. El grupo que gestiona Ryuk exige costosos rescates a sus víctimas.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Describir cómo funciona el ransomware Ryuk
  • Entender cómo opera el grupo que está detrás de Ryuk
  • Enumerar algunos de los principales ataques del ransomware Ryuk

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es el ransomware Ryuk?

Ryuk es un tipo de ransomware* que los atacantes llevan usando desde 2018 para extorsionar a empresas. Los grupos que utilizan Ryuk van en busca de objetivos más grandes y cobran unos rescates más elevados que la mayoría de los atacantes de ransomware. Los ataques de Ryuk son inusuales porque implican un esfuerzo manual y un tipo de vigilancia considerables para infectar a sus objetivos. (Para los grupos típicos de ransomware no es rentable dedicar tanto esfuerzo para un ataque).

El grupo que supuestamente está detrás de la mayoría de los ataques de ransomware Ryuk se llama Wizard Spider. Wizard Spider también utiliza TrickBot, un troyano de malware, que es un archivo malicioso disfrazado de algo inofensivo.

*El ransomware es un software malicioso (malware) que bloquea archivos y datos, casi siempre mediante encriptación, y los retiene para pedir un rescate. El atacante o el grupo que controla el ransomware desbloquea los archivos en remoto una vez que la organización víctima paga el rescate.

¿Cómo entra el ransomware Ryuk en una organización?

La mayoría de las veces, el "virus" Ryuk entra en una red a través de una infección de TrickBot. TrickBot puede entrar en una organización de varias formas. El correo electrónico de spam es uno de los métodos más comunes. TrickBot también se propaga a través de la botnet Emotet ya existente, que utiliza correos electrónicos maliciosos, en concreto, archivos adjuntos de documentos de Word para infectar los ordenadores.

Una vez que TrickBot infecta un dispositivo, el grupo Wizard Spider puede usarlo para instalar el ransomware Ryuk. A continuación, Ryuk se mueve lateralmente dentro de la red, e infecta todos los dispositivos conectados que pueda sin activar las alertas de seguridad.

Wizard Spider usa varias técnicas y vulnerabilidades para propagar la infección Ryuk dentro de una red sin ser detectado. En ocasiones, se trata de un proceso manual: el grupo puede ejecutar scripts maliciosos en remoto en PowerShell (una funcionalidad del sistema operativo Windows) o aprovechar el Protocolo de escritorio remoto (RDP), entre otros métodos.

¿Cómo funciona el ransomware Ryuk?

Una vez que Ryuk se ejecuta, encripta los archivos y datos en todos los ordenadores, unidades de red y recursos de red infectados.

Según la empresa de seguridad CrowdStrike, Ryuk usa los algoritmos RSA-2048 y AES-256 para encripatar archivos. RSA es un algoritmo de encriptación de clave pública, lo cual significa que genera un par de claves para encriptar archivos y datos: una clave pública y una clave privada. Wizard Spider tiene la clave privada, lo cual impide que la víctima pueda descifrar los archivos por su cuenta.

A diferencia de la mayoría de ransomware, Ryuk intenta encriptar de forma activa los archivos del sistema. Como comprobó CrowdStrike, intentó encriptar los archivos de arranque, lo que haría que el sistema anfitrión se volviera inestable o lo bloqueara por completo en caso de reiniciarse.

Normalmente, la nota de rescate aparece en un sistema infectado como un archivo de texto (.txt). Ryuk genera este archivo cuando se ejecuta. La nota de rescate indica a las víctimas cómo contactar con los atacantes y pagar el rescate.

Pagos de rescate a Ryuk

Wizard Spider suele solicitar el pago en Bitcoin, y a menudo pide rescates de 100 000 $ o más. Una ciudad de EE: UU. pagó 460 000 $ de rescate tras un ataque de Ryuk.

En 2021, los expertos estimaron que Wizard Spider había ganado más de 150 millones de dólares en pagos por rescates.

¿Cuáles han sido los principales ataques del ransomware Ryuk?

Ataque a Tribune Publishing

En 2018, Ryuk se propagó por varios periódicos de Estados Unidos a través de software infectado de Tribune Publishing. Los ataques interrumpieron la impresión de periódicos durante varios días.

La infección de Universal Health Services (UHS)

En 2020, Universal Health Services (UHS) vio como el ransomware Ryuk bloqueaba su infraestructura informática. No se podía acceder al sistema telefónico de la organización ni a los historiales médicos de los pacientes. UHS tardó tres semanas en restablecer sus sistemas, y se estima que se produjeron unas pérdidas de 67 millones de dólares a causa del ataque.

2020 ataques a los hospitales de EE. UU.

Además de los hospitales de UHS, otros hospitales estadounidenses fueron víctimas de ataques del ransomware Ryuk en 2020. Los ataques encriptaron datos críticos, interrumpiendo tratamientos y retrasando las operaciones de muchos pacientes.

¿Cómo se relaciona el ransomware Ryuk con el ransomware Hermes?

Hermes es un tipo de ransomware diferente pero relacionado que apareció por primera vez en 2017. Hermes está ampliamente distribuido en el submundo del ransomware. Muchos atacantes han utilizado Hermes a lo largo de los años, y no está asociado a un grupo específico.

El ransomware Ryuk está basado en gran medida en Hermes. Al principio, Ryuk compartía mucho código con Hermes, pero con el tiempo Wizard Spider ha modificado Ryuk todavía más.

Cómo prevenir una infección del ransomware Ryuk

  • Formar a los usuarios para que no abran correos electrónicos y archivos adjuntos inesperados: La mayoría de las infecciones de malware se producen por un error del usuario, y Ryuk no es una excepción. Aunque el grupo Wizard Spider suele propagar Ryuk dentro de una organización por sí mismo, la infección inicial suele comenzar porque un usuario abrió o descargó un archivo adjunto de correo electrónico malicioso, queda como resultado una infección de TrickBot o Emotet. La formación en seguridad de los usuarios puede reducir las posibilidades de que esto ocurra.
  • Analizar los sistemas en busca de infecciones preexistentes: Muchos ataques Ryuk tienen lugar porque una red ya está infectada con malware TrickBot o Emotet. El análisis antimalware, una práctica importante de seguridad de los puntos finales, puede ayudar a detectar estas infecciones y permitir que los administradores de la red aíslen los dispositivos infectados.
  • Usar un modelo de seguridad de Zero Trust: En una red de Zero Trust, no se confía en ningún dispositivo informático por defecto, y los dispositivos se tienen que volver verificar continuamente. Este enfoque restringe el acceso de los dispositivos infectados, evitando así que se ponga en riesgo a la red.
  • Realizar con regularidad copias de seguridad de archivos y datos: En algunos casos, una organización puede restaurar sus datos a partir de una copia de seguridad en lugar de tener que pagar el rescate o reconstruir toda su infraestructura informática.

Incluso con estos métodos, no hay forma de garantizar que no se produzca un ataque del ransomware Ryuk, al igual que no es posible prevenir al 100 % cualquier amenaza. Sin embargo, estos pasos pueden reducir considerablemente las posibilidades de una infección.

Si necesitas ayuda para implantar un modelo de seguridad de Zero Trust, recurre a Cloudflare One. Cloudflare One es una plataforma de perímetro de servicio de acceso seguro (SASE) con conectividad de red generalizada y seguridad de Zero Trust incorporada.