fbpx

ESET

ESET analiza ransomware que secuestra información de organismos gubernamentales y grandes compañías

ESET, compañía líder en detección proactiva de amenazas, comparte las principales características del ransomware Ryuk, muy activo desde que comenzó la pandemia. En la mayoría de los casos este tipo de malware apunta a instituciones con gran capacidad de recursos y tiene por objetivo cifrar los archivos de una máquina víctima para dejarlos inaccesibles y luego extorsionar a la misma pidiéndole un pago, en criptomonedas, por la recuperación de estos.

 

Ryuk ha sido uno de los grupos de ransomware de mayor actividad desde que comenzó la pandemia y se ha cobrado a una gran cantidad de víctimas, entre ellas a varias organizaciones gubernamentales y grandes empresas. Probablemente esto se deba a su estrategia de realizar ataques muy dirigidos apuntando a víctimas que cuenten con los recursos suficientes para pagar importantes sumas de dinero por la recuperación de sus archivos o que necesitan de esta información para poder operar con normalidad. Estas víctimas van desde hospitales, entidades gubernamentales, compañías de tecnología, instituciones educativas, medios de comunicación, entre otros.

 

Uno de los ataques más recientes fue el que realizó sobre Servicio Público de Empleo Estatal (SEPE) en España. Por otra parte, el ataque al Universal Health Services en Estados Unidos en 2020 fue, uno de los ciberataques al sector de la salud más grande en la historia de aquel país. Según diferentes reportes, el tiempo promedio de recuperación de una víctima desde que reporta el incidente hasta que recupera la totalidad de sus archivos es de 12 días.

 

Según el análisis realizado por ESET y la revisión de otros análisis publicados en el último tiempo, el equipo de investigación concluyó que Ryuk es capaz de lograr acceder a los sistemas de una organización e infectar una máquina de diferentes maneras. Algunas de estas pueden ser:

Utilizando correos de phishing dirigidos, también conocidos como Spear Phishing, que pueden incluir archivos adjuntos que descargan malware, como documentos de Office u otro tipo de archivos.


Comprometiendo equipos a través del protocolo RDP expuesto a Internet

Siendo distribuido por otros códigos maliciosos, como fue el caso de la triple amenaza en la cual las víctimas se infectaron con el malware Emotet, este descarga y ejecutaba Trickbot y este último ejecutaba Ryuk en la mayor cantidad de computadores posibles.

ESET

Luego de que los operadores detrás de Ruyk logran acceso a los sistemas de la víctima, se valen de distintas herramientas para realizar tareas de reconocimiento dentro de los sistemas para finalmente desplegar el ransomware.

 

Una vez que se ejecuta sobre la máquina víctima crea tres copias de sí mismo en la misma carpeta donde se encuentra alojado con el atributo hidden (oculto). Estas copias se van a ejecutar con distintos argumentos, y son usadas para detectar otros equipos en la red e intentar infectarlos. Además, posee otras características maliciosas; por ejemplo:

  • Detección y otorgamiento de acceso completo a todas las unidades lógicas presentes en la maquina víctima.
  • Borra de copias de seguridad (shadow copies).
  • Modifica el modo de arranque de la máquina víctima ignorando errores.

Es capaz de crear uno o dos archivos con notas de rescate:

– RyukReadme.txt
– RyukReadme.html

Es capaz de propagarse como un gusano entre carpetas compartidas por otros equipos que estén en la misma red, si posee permisos y privilegios para acceder a las mismas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

CASOS COVID-19