Ryuk: La última amenaza creada por profesionales del ransomware

amenaza ransomeware Ryuk

Ryuk: La última amenaza creada por profesionales del ransomware

Ryuk: La última amenaza creada por profesionales del ransomware

Al menos tres grandes compañías en los Estados Unidos han sido alcanzadas por el malware

Los ciberdelincuentes ya han recaudado más de 640.000 dólares

Madrid, Agosto de 2018. --. Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder mundial de soluciones de ciberseguridad, informó de que en las últimas dos semanas Ryuk, un ransomware dirigido, ha atacado a varias organizaciones en todo el mundo.

Hasta ahora, la campaña se ha centrado en empresas, afectando a cientos de ordenadores, servidores y centros de datos en cada organización infectada. Las capacidades técnicas del ransomware son relativamente bajas, pero aun así ha conseguido impactar en al menos tres grandes compañías de todo el mundo.

Además, algunas empresas pagaron un rescate excepcionalmente grande para recuperar sus archivos. Aunque la cantidad del rescate en sí varía entre las víctimas (entre 15 y 50 bitcoins), ya se ha pagado a los ciberdelincuentes más de 640.000 dólares.

Curiosamente, la investigación llevó a los expertos de Check Point a seguir la estrategia de Ryuk y comparar algunos de sus mecanismos internos con el ransomware HERMES, un malware comúnmente atribuido al famoso Lazarus Group de Corea del Norte, que también se usó en ataques dirigidos masivos.

Esto lleva a pensar que la ola actual de Ryuk puede ser obra de sus creadores o del trabajo de un ciberdelincuente que ha obtenido su código fuente.

Una visión general de Ryuk A diferencia del ransomware común, distribuido a través de campañas masivas de spam, Ryuk se utiliza exclusivamente para ataques dirigidos.

De hecho, su esquema de cifrado está diseñado intencionalmente para operaciones a pequeña escala, de modo que solo infecta recursos cruciales de cada red objetivo y su distribución es llevada a cabo manualmente por los atacantes. Esto significa que se requiere un mapeo extenso de redes, piratería y recolección de credenciales antes de cada operación.

Su supuesta atribución a Lazarus Group puede implicar que los atacantes ya tienen mucha experiencia en este tipo de operaciones, como demostraron en el ciberataque a Sony Pictures en 2014.

Ryuk vs HERMES El ransomware HERMES se hizo conocido en octubre de 2017, cuando se utilizó como parte del ciberataque dirigido contra el Far Eastern International Bank (FEIB) de Taiwán. En esa operación, atribuida al Lazarus Group, se robaron 60 millones de dólares en un sofisticado ataque al SWIFT, aunque luego se recuperaron.

En el caso de Ryuk, sin embargo, no hay duda de que sus ataques de las últimas dos semanas no son algo secundario. De hecho, con el pago de un rescate tan alto como solicitaron, este malware está recibiendo la repercusión adecuada entre sus objetivos o, mejor dicho, sus víctimas.

Siguiendo el dinero

El ransomware Ryuk no se ha distribuido ampliamente. Al igual que su antecesor, HERMES, solo se ha utilizado en ataques dirigidos, lo que hace que sea mucho más difícil rastrear las actividades e ingresos del autor del malware.

Casi cada aparición del malware utilizó una billetera única. Poco después de que se realizara el pago del rescate, los fondos se dividieron para después transferirse a través de muchas otras cuentas. Sin embargo, al examinar las transacciones de divisas de la billetera proporcionada en la nota de rescate, se expuso un patrón que nos permitió ubicar las carteras que muy probablemente se utilizarían para la monetización.

El equipo de Check Point también detectó una conexión entre estas billeteras, ya que los fondos que se les pagaron se transfirieron a varias billeteras clave. Esto puede indicar que actualmente se está llevando a cabo una operación coordinada, en la que varias empresas fueron cuidadosamente escogidas para utilizar el ransomware Ryuk.

Conclusiones Desde la fase de explotación hasta el proceso de encriptación y la propia demanda de rescate, la campaña de Ryuk está cuidadosamente dirigida a empresas que son capaces de pagar una gran cantidad de dinero.

Tanto la naturaleza del ataque, como el propio funcionamiento interno del malware, vinculan a Ryuk con el ransomware HERMES, despiertan la curiosidad con respecto a la identidad del grupo detrás de él y su conexión con el Lazarus Group. Después de cobrar unos 640.000 dólares gracias a su éxito, Check Point cree que este no es el final de la campaña. Es muy probable que otras organizaciones sean víctimas de Ryuk.

El producto SandBlast Agent Anti-Ransomware de Check Point protege contra el ransomware Ryuk.

Para obtener más información sobre el malware y ver un informe forense de Ryuk, desencadenado por SandBlast Agent Anti-Ransomware no dudes en visitar el blog de Check Point: https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/


Older Post Newer Post


Leave a comment

Please note, comments must be approved before they are published