El recorrido de Ryuk para desplegar ransomware

Share

Las principales características del ransomware Ryuk, muy activo desde que comenzó la pandemia. En la mayoría de los casos este tipo de malware apunta a instituciones con gran capacidad de recursos y tiene por objetivo cifrar los archivos de una máquina víctima para dejarlos inaccesibles y luego extorsionar a la misma pidiéndole un pago, en criptomonedas, por la recuperación de estos.

Ryuk se ha convertido en uno de los grupos de ransomware de mayor actividad desde que comenzó la pandemia y  ha cobrado a una gran cantidad de víctimas, entre ellas a varias organizaciones gubernamentales y grandes empresas. Probablemente esto se deba a su estrategia de realizar ataques muy dirigidos apuntando a víctimas que cuenten con los recursos suficientes para pagar importantes sumas de dinero por la recuperación de sus archivos o que necesitan de esta información para poder operar con normalidad. Estas víctimas van desde hospitales, entidades gubernamentales, compañías de tecnología, instituciones educativas, medios de comunicación, entre otros.

Según el análisis realizado por ESET y la revisión de otros análisis publicados en el último tiempo, el equipo de investigación concluyó que Ryuk es capaz de lograr acceder a los sistemas de una organización e infectar una máquina de diferentes maneras. Algunas de estas pueden ser:

  • Utilizando correos de phishing dirigidos, también conocidos como Spear Phishing, que pueden incluir archivos adjuntos que descargan malware, como documentos de Office u otro tipo de archivos.
  • Comprometiendo equipos a través del protocolo RDP expuesto a Internet.
  • Siendo distribuido por otros códigos maliciosos, como fue el caso de la triple amenaza en la cual las víctimas se infectaban con el malware Emotet, esta descarga y ejecutaba Trickbot y este último ejecutaba Ryuk en la mayor cantidad de computadores posibles.

Luego de que los operadores detrás de Ruyk logran acceso a los sistemas de la víctima, se valen de distintas herramientas para realizar tareas de reconocimiento dentro de los sistemas para finalmente desplegar el ransomware.

Pie de imagen:  Archivo cifrado por Ryuk

Una vez que se ejecuta sobre la maquina víctima crea tres copias de sí mismo en la misma carpeta donde se encuentra alojado con el atributo hidden (oculto). Estas copias se van a ejecutar con distintos argumentos, y son usadas para detectar otros equipos en la red e intentar infectarlos. Además, posee otras características maliciosas; por ejemplo:

  • Detección y otorgamiento de acceso completo a todas las unidades lógicas presentes en la maquina víctima.
  • Borra de copias de seguridad (shadow copies).
  • Modifica el modo de arranque de la máquina victima ignorando errores.
  • Es capaz de crear uno o dos archivos con notas de rescate:
    • RyukReadme.txt
    • RyukReadme.html
  • Es capaz de propagarse como un gusano entre carpetas compartidas por otros equipos que estén en la misma red, si posee permisos y privilegios para acceder a las mismas.

Pie de imagen: Información de contacto dentro de la nota de rescate

“Ante un ataque de ransomware, como puede ser Ryuk, desde ESET no recomendamos pagar por el rescate de los archivos afectados, ya que por un lado no hay certeza de que los criminales otorguen las respectivas herramientas para recuperar nuestros archivos. Y, por otro lado, se estaría fomentando a los cibercriminales a continuar con este tipo de ataques haciendo los rentables para ellos.”, comenta CamiloGutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Las recomendaciones de ESET para evitar o minimizar el riesgo de un ataque de ransomware son:

  • Hacer backups de la información de manera periódica
  • Mostrar las extensiones de los archivos que por defecto vienen ocultas, para evitar abrir archivos maliciosos
  • Instalar una solución de seguridad confiable en todos los dispositivos
  • Mantener siempre los equipos actualizados, tanto el Sistema Operativo como aplicaciones que se utilicen
  • Deshabilitar el RDP cuando no sea necesario
  • No abrir un email con contenido adjunto si se desconoce de la persona que lo envió
  • Capacitar al personal de la empresa para que sea consciente de los riesgos que hay sobre internet