¿Qué es Ryuk?
Ryuk es un ransomware – operado por humanos – que cifra los archivos de su víctima y solicita un rescate a través de bitcoin para liberar los archivos originales. Se ha observado que se utiliza para atacar las organizaciones, desde entidades corporativas hasta gobiernos locales y organizaciones sin fines de lucro al interrumpir las empresas y exigir un rescate masivo.
Ryuk es una de las cargas útiles entregadas por operadores humanos que ingresan a las redes a través de infecciones de troyanos bancarios, en este caso Trickbot. Al comienzo de una infección de Ryuk, un implante Trickbot existente descarga una nueva carga útil, a menudo Cobalt Strike o PowerShell Empire, y comienza a moverse lateralmente a través de la red para el despliegue final del ransomware.
Características de Ryuk
- Se instala en segundo plano gracias a TrickBot.
- Cifra los archivos utilizando RSA-2048 y AES-256.
- Cifra unidades extraíbles y unidades dentro de la red local.
- Roba información personal y de la organización.
- Genera persistencia dentro de la red.
- Ryuk es un ransomware dirigido que puede variar en el monto del rescate de acuerdo a su víctima.
Distribución de Ryuk
Ryuk no utiliza la típica estrategia de ser enviado con algún phishing o archivo adjunto vía correo electrónico para su descarga y activación en el sistema operativo de la victima. Recordemos que es un Ransomware que es inyectado y ejecutado mediante un intermediario, que cuenta con información de la red y los sistemas a infectar. Que en este caso es TrickBot. Gracias al usar su módulo de explotación de EternalBlue, le permite llegar a más sistemas dentro de una red para infectarlos con Ryuk.
Pero, para que TrickBot pueda llegar a los sistemas de la entidad objetivo, debe ser previamente negociado con los administradores de la red EMOTET, el cual mediante un acuerdo económico, dará la orden desde el C&C de EMOTET en descargar y ejecutar en segundo plano TrickBot.
Aunque, de forma independiente a EMOTET. Trickbot opera con campañas masivas de correo electrónico SPAM, con el objetivo de llegar a nuevos blancos y ser un salto para llegar finalmente a su objetivo principal. El phishing y la publicidad engañosa es parte de su modus operandi.
Flujo de Infección
El siguiente diagrama del equipo de Threat Intel de Microsoft representa el flujo de ataque o infección de Ryuk.
Objetivos Geográficos de Ryuk
Ryuk ha estado presente en múltiples países de habla inglesa desde sus inicios de actividad en agosto del año 2018. Los países dentro de la lista son Estados Unidos, Australia y Reino Unido, aunque también ha registrado en España (ejemplo caso Prosegur).
CVE usados por Ryuk
- CVE-2017-0144
- CVE-2017-0146
- CVE-2017-0147
- CVE-2017-0148
Recomendaciones de seguridad
- Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
- Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
- No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
- No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.
- Manténgase informado de las últimas amenazas y riesgos en Internet.
- Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.
- Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).
Vía: Cronup