Ryuk, el ransomware ‘amigo’ del periodismo.

La Cadena Ser y la consultora Everis han sido víctimas, la pasada madrugada, de un ciberataque con ransomware que ha afectado de forma «grave y generalizada» a todos sus sistemas informáticos bloqueando los ordenadores de los trabajadores de las empresas e impidiendo el desarrollo normal de las actividades. La criatura que los expertos señalan como responsable se llama Ryuk y parece que tiene predilección por el periodismo, aunque también cuenta entre sus víctimas en España con ayuntamientos como los de Jerez y Bilbao.

La cadena SER, según informa el diario El país, detectó el ataque hacia las 2 de la madrugada del domingo al lunes. Everis, una consultora tecnológica es la otra entidad afectada; Cajamar, ING, KPMG, Accebture y Mapfre han desmentido las informaciones que apuntaban a que también han sido víctimas del ataque.

Ryuk es un ransomware que ganó popularidad en diciembre de 2018 cuando paralizó la impresión y las entregas de varios periódicos de Estados Unidos. Nada más y nada menos que las cabeceras del Wall Street Journal y Los Angeles Times estuvieron entre los diarios afectados, ambos producidos por Tribune Publishing Co, víctima de la infección por un ransomware de la familia Ryuk.

Una reciente actualización (septiembre 2019) instantánea del FBI reveló  que más de 100 organizaciones en todo el mundo han sufrido ataques de Ryuk desde agosto de 2018. Las víctimas provienen de diferentes industrias, siendo las más comunes las empresas de logística, tecnología, periódicos, servicios públicos así como los pequeños municipios. Prueba de ello son los ataques sufridos por los ayuntamientos de Bilbao y Jerez los meses de septiembre y octubre pasados respectivamente. En definitiva organizaciones que no pueden soportar mucho tiempo de inactividad para aumentar la probabilidad de pago. Unos meses antes del ataque de diciembre, el ataque de Ryuk logró extorsionar más de $ 600,000 en bitcoins de varias grandes empresas.

A diferencia del ransomware habitual, distribuido sistemáticamente a través de campañas masivas de spam y kits de exploits, Ryuk es un ransomware utilizado exclusivamente para ataques a medida. Su esquema de cifrado está diseñado intencionalmente para operaciones a pequeña escala, de modo que sus objetivos son solo los activos y recursos críticos de sus víctimas, infección y distribución realizada manualmente por los cibercriminales. Esto significa que para aprovechar los defectos o puntos débiles en el sistema y poder tener acceso, se requiere un mapeo de red extenso, pirateo y recopilación de credenciales antes de cada operación. 

La identificación de los vectores de infección de Ryuk es difícil ya que el ransomware generalmente elimina toda evidencia de su intrusión como parte de su rutina. Por lo tanto, sus métodos de entrega para Ryuk pueden ser muy variados.

Comportamiento de Ryuk
  • Omite productos antivirus.
  • Mantiene la persistencia en la máquina objetivo.
  • Se ejecuta como un proceso legítimo inyectándoselos en el proceso de Windows.
  • Finaliza procesos.
  • Detención de servicios.
Capacidades
  • Robo de información.
  • Cifrado de archivos.
  • Bloquear el uso del dispositivo.
Rutina de infección.
Fuente Tred Micro
Notas de rescate de Ryuk (publicadas por Checkpoint)
Nota de rescate 1 de Ryuk.

Nota de rescate 2 más corta y menos detallada.
Prácticas recomendadas para protegerse de un ataque de Ransomware.

Independientemente del tamaño de tu empresa estas son algunas de las mejores prácticas para minimizar el riesgo de ser víctima de un ataque de ransomware:

  • Educar a los usuarios. Insistir en la importancia de las contraseñas seguras, cambiarlas con frecuencia e implementar la autenticación de dos factores.
  • Limitar los derechos de acceso. Otorguar a los usuarios, administradores etc., solo los derechos de acceso que necesarios para su trabajo y nada más.
  • Realizar copias de seguridad periódicas y guardarlas fuera del alcance de los cibercriminales. Podrían ser su última línea de defensa contra una demanda de rescate de seis cifras.
  • Mantener las actualizaciones de los sistemas operativo y programas al día sobre todo las que implementan nuevos parches de seguridad. Los ransomware, como por ejemplo WannaCry y NotPetya, se basan normalmente en explotar vulnerabilidades sin parches para extenderse por todo el mundo.
  • Bloquee su RDP (protocolo de escritorio remoto). Apaguar RDP si no lo necesita, y limitar la velocidad, 2FA o una VPN si lo necesita.
  • Asegúrarse de que la protección contra manipulaciones esté habilitada. Ryuk y otros ransomware intentan desactivar su protección de punto final. La protección contra manipulaciones está diseñada para evitar que esto suceda.
  • Educar al equipo sobre el phishingEl phishing es uno de los principales mecanismos de entrega de ransomware y malware en general.
  • Utilizar protección anti-ransomwareSistemas de antivirus firewalls, protecciones a tiempo real…

Fuentes Consultadas

Si te ha gustado, ayúdame a difundirlo :)