Todo lo que debes saber sobre el peligroso ransomware Ryuk
¿Qué es el ransomware Ryuk?
Ryuk es una sofisticada amenaza de ransomware que ha atacado a empresas, hospitales, instituciones gubernamentales y otras organizaciones desde 2018. El grupo detrás del malware es conocido por utilizar técnicas de hacking manuales y herramientas de código abierto para moverse lateralmente. Se mueven lateralmente a través de redes privadas y obtienen acceso administrativo a tantos sistemas como sea posible antes de iniciar el cifrado de archivos.
La historia y el éxito de Ryuk
Ryuk apareció por primera vez en agosto de 2018. No obstante, se basa en un programa de ransomware más antiguo llamado Hermes que se vendió en foros clandestinos de ciberciberdelincuencia en 2017. Hermes fue utilizado por el Grupo Lazarus, patrocinado por el estado norcoreano, en un ataque contra el Banco Internacional del Lejano Oriente de Taiwán (FEIB) en octubre de 2017. El incidente dio lugar a informes de que Hermes, y más tarde Ryuk, fueron creados por hackers norcoreanos.
Posteriormente, varias compañías de seguridad refutaron esas afirmaciones y ahora se cree que Ryuk es la creación de un grupo de ciberdelincuentes de habla rusa. Supuestamente, el grupo obtuvo acceso a Hermes, tal como probablemente lo hizo Lazarus.
El grupo detrás de Ryuk es rastreado por algunas compañías de seguridad como Wizard Spider o Grim Spider y es el mismo grupo que opera TrickBot. TrickBot es un troyano de robo de credenciales mucho más antiguo y activo que tiene una relación con Ryuk. Otros investigadores creen que Ryuk podría ser la creación del autor o autores originales de Hermes que operan bajo el nombre de CryptoTech. Se cree que simplemente dejaron de vender su ransomware públicamente después de desarrollar una versión mejorada.
Los atacantes de Ryuk exigen pagos de rescate más altos a sus víctimas en comparación con muchas otras bandas de ransomware. Los montos de rescate asociados con Ryuk generalmente oscilan entre 15 y 50 Bitcoins, o aproximadamente entre $100,000 y $500,000. No obstante, algunos informes aseguran que han recibido pagos más altos. Los atacantes detrás de este peligroso ransomware persiguen a organizaciones con activos críticos que tienen más probabilidades de pagar. Esta es una técnica que la industria de la seguridad llama “caza mayor”, la banda detrás de Ryuk tiene mucho éxito en monetizar sus campañas.
Ganancias de Ryuk
En una presentación en la Conferencia RSA 2020 se revelaron datos interesantes sobre los pagos recibidos por los grupos de ransomware. Joel DeCapua, un agente del FBI, reveló que las organizaciones pagaron 144.35 millones de dólares en bitcoins a grupos de ransomware entre 2013 y 2019.
Los datos no incluyen los pagos de rescate en criptomonedas distintas de BTC. De esos pagos, $61. 26 millones fueron a parar a las cuentas de Ryuk. Y, la suma es casi tres veces mayor que lo que Crysis/Dharma, la segunda banda de ransomware más exitosa en la lista de DeCapua. DeCapua logró extraer estos datos de las víctimas en tres años de ataques.
Cadena de distribución y ataque de Ryuk
Ryuk se distribuye casi exclusivamente a través de TrickBot o le sigue un ataque con este troyano. Sin embargo, no todas las infecciones por TrickBot conducen a Ryuk. Cuando lo hacen, el despliegue de Ryuk ocurre semanas después de que TrickBot aparece por primera vez en una red.
Es probable que esto se deba a que los atacantes utilizan los datos recopilados por TrickBot para identificar redes potencialmente valiosas para Ryuk.
La selección del objetivo es seguida por actividades de hacking manual que involucran reconocimiento de red y movimiento lateral. Esto con el objetivo de comprometer a los controladores de dominio y obtener acceso a tantos sistemas como sea posible. La acción asegura que cuando se implemente Ryuk, el daño sea rápido y generalizado en toda la red. Esto es más probable que obligue a una organización a tomar como rehenes solo algunos de sus puntos finales.
Microsoft se refiere a Ryuk como un ataque de ransomware operado por humanos. Y, es parte de una tendencia más amplia de bandas de ransomware que adoptan técnicas sigilosas y altamente específicas. Estas técnicas se asociaron principalmente con grupos de amenazas persistentes avanzadas (APT) en el pasado.
Esto incluye confiar en herramientas de código abierto y utilidades de administración de sistemas existentes para evadir la detección. Una técnica conocida como living off the land.
Herramientas utilizadas
Después de una infección de TrickBot y la identificación de un objetivo interesante, Ryuk despliega herramientas de post-explotación como Cobalt Strike o PowerShell Empire. Estas herramientas les permiten realizar acciones maliciosas en las computadoras sin activar alertas de seguridad.
PowerShell es un lenguaje scripting destinado a la administración del sistema que aprovecha la API de Windows Management InstrumentationWMI). Cabe mencionar que PowerShell está habilitado de forma predeterminada en las computadoras con Windows.
Sus potentes funciones y su amplia disponibilidad en las computadoras lo han convertido en una opción popular para que los ciberdelincuentes abusen de él.
Los atacantes de Ryuk también utilizan la herramienta LaZagne de código abierto para robar credenciales almacenadas en computadoras comprometidas. También usaron BloodHound, una herramienta que permite a los pentester analizar y revelar relaciones potencialmente explotables que existen en entornos de Active Directory.
El objetivo final de los atacantes de Ryuk es identificar los controladores de dominio y obtener acceso administrativo a ellos. Recordemos que esto les da poder sobre toda la red.
“En nuestras investigaciones, encontramos que la activación [de Ryuk] ocurre en implantes TrickBot de diferentes momentos. Esto indica que los operadores humanos detrás de Ryuk probablemente tengan algún tipo de lista de registros y objetivos para la implementación del ransomware”. Estas fueron afirmaciones de investigadores de Microsoft en un análisis de los ataques de ransomware operados por humanos.
“En muchos casos, sin embargo, esta fase de activación se produce mucho después de la infección inicial de TrickBot. Por lo tanto, la implementación final de un payload de ransomware puede ocurrir semanas o incluso meses después de la infección inicial”.
Emotet
El propio TrickBot sigue siendo uno de los troyanos más frecuentes y se distribuye a través de correos electrónicos no deseados maliciosos. Empero, también lo envía otro troyano muy extendido llamado Emotet. Si bien las relaciones entre Ryuk, TrickBot y Emotet no son del todo claras, hay algunos indicios de colaboración. A lo largo de los años Emotet evolucionó hasta convertirse en una plataforma de distribución de malware que utilizan muchos grupos de ciberdelincuentes.
Se cree que TrickBot sigue un modelo similar de malware como servicio (MaaS). No obstante, solo está disponible para un número relativamente pequeño de ciberdelincuentes de primer nivel. Esto según un informe reciente de la firma de inteligencia de ciberdelincuencia Intel 471.
Alerta
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos. (CISA) emitió una alerta sobre un aumento en los ataques del malware Emotet dirigidos. La agencia ha mantenido un aviso sobre Emotet desde 2018, que incluye un conjunto de recomendaciones para protegerse contra la amenaza.
El grupo detrás de Ryuk solía implementar el payload final de ransomware manualmente. Empero, según un informe de CERT-FR, una variante más reciente de Ryuk contiene código que le permite propagarse a otras computadoras en la red local. Es decir, se puede propagar automáticamente una vez que los atacantes obtienen una cuenta privilegiada en el dominio.
El programa primero genera una lista con todas las direcciones IP posibles en la red local y luego les envía un ping ICMP para descubrir cuáles son accesibles.
Posteriormente, enumera los recursos para compartir archivos disponibles en las máquinas en línea, monta esos recursos y cifra su contenido. Al mismo tiempo, se copia a sí mismo en esos archivos compartidos y usa las credenciales de la cuenta de dominio privilegiado. Esto para configurar una tarea programada en las computadoras remotas para ejecutar la versión copiada de sí mismo.
El código no verifica si una computadora ya ha sido infectada, por lo que el malware sigue reinfectando los sistemas. Esto no se puede detener si se cambia la contraseña de la cuenta de dominio comprometida o si la cuenta está deshabilitada. Sucederá siempre que los tickets de Kerberos permanezcan activos.
Para detener la propagación, la contraseña de la cuenta de usuario de KRBTGT debe cambiarse dos veces para forzar la limpieza del historial de contraseñas. Esta acción podría crear algunas perturbaciones en el dominio que requieran el reinicio de los sistemas, pero también detendría la propagación del ransomware. Esto según el informe del CERT-FR.
La rutina de cifrado de Ryuk
Ryuk ha divergido con el tiempo del código base original de Hermes. Algunas características como los mecanismos anti-forenses o de persistencia se han reimplementado, simplificado o eliminado. Después de todo, un programa de ransomware que se implementa manualmente dentro de un entorno donde los atacantes ya tienen control administrativo sobre los sistemas no necesita las mismas funciones de autoprotección que los programas de ransomware que dependen de la propagación automatizada. Ryuk tampoco es tan selectivo en los archivos que cifra como otros ransomware.
Una vez implementado, Ryuk cifra todos los archivos excepto aquellos con las extensiones dll, lnk, hrmlog, ini y exe. También omite los archivos almacenados en los directorios de Windows System32, Chrome, Mozilla, Internet Explorer y la Papelera de reciclaje. Estas reglas de exclusión probablemente pretenden preservar la estabilidad del sistema y permitir que la víctima utilice un navegador para realizar pagos.
Ryuk utiliza un cifrado de archivos sólido basado en AES-256. Las claves de cifrado se almacenan al final de los archivos cifrados, que cambian su extensión a .ryk. Las claves AES están cifradas con un par de claves públicas privadas RSA-4096 que controlan los atacantes.
Proceso complejo
Todo el proceso es un poco más complejo e implica el cifrado de varias claves con otras claves. No obstante, el resultado es que cada ejecutable de Ryuk está hecho a medida para cada víctima específica. Está hecho a la medida Incluso si se utiliza en varios sistemas, y utiliza una clave privada generada por los atacantes para esa víctima específica. Esto significa que incluso si se publica la clave RSA privada asociada con una víctima, no se puede utilizar para descifrar archivos que pertenecen a otras víctimas.
Ninguna herramienta disponible públicamente puede descifrar los archivos de Ryuk sin pagar el rescate. Y, los investigadores advierten que incluso el descifrador proporcionado por los atacantes de Ryuk a las víctimas que pagan a veces puede dañar los archivos.
Eso suele ocurrir en archivos más grandes donde Ryuk realiza intencionalmente solo un cifrado parcial para ahorrar tiempo. Además, a pesar de la lista blanca de ciertos archivos y directorios del sistema, Ryuk aún puede cifrar archivos que son críticos para el funcionamiento normal del sistema. Esto a veces resulta en sistemas que no se pueden iniciar después de reiniciarlos. Todos estos problemas pueden complicar los esfuerzos de recuperación y aumentar el costo en que incurren las víctimas como resultado de los ataques de Ryuk.
Como la mayoría de los ransomware, Ryuk intenta eliminar las instantáneas de volumen para evitar la recuperación de datos a través de medios alternativos. También contiene un script kill.bat que deshabilita varios servicios, incluidas las copias de seguridad de la red y el antivirus de Windows Defender.
Protección contra Ryuk
Las organizaciones pueden implementar controles técnicos específicos para reducir la probabilidad de infecciones de Ryuk. Sin embargo, la defensa contra los ataques de ransomware operados por humanos en general requiere corregir algunas malas prácticas entre los administradores de sistema.
Algunas de las campañas de ransomware operadas por humanos más exitosas han sido contra servidores desprotegidos. Por ejemplo, servidores que tienen software antivirus y otra seguridad deshabilitada intencionalmente. Los administradores de sistemas hacen esto para mejorar el rendimiento.
Muchos de los ataques observados aprovechan el malware y las herramientas que ya detecta el antivirus. Los mismos servidores a menudo carecen de protección de firewall y MFA, tienen credenciales de dominio débiles y utilizan contraseñas de administrador local no aleatorias.
A menudo, estas protecciones no se implementan porque existe el temor de que los controles de seguridad interrumpan las operaciones o afecten el rendimiento. Los profesionales de informática pueden ayudar a determinar el verdadero impacto de estas configuraciones y colaborar con los equipos de seguridad en las mitigaciones. Los atacantes se aprovechan de los ajustes y configuraciones que gestionan y controlan muchos administradores de informática. Dado el papel clave que desempeñan, los profesionales de informática deberían formar parte de los equipos de seguridad.
Importancia de los equipos de seguridad
Los equipos de seguridad también deben tomarse mucho más en serio las infecciones aparentemente raras y aisladas con malware básico. Como demuestra Ryuk, las amenazas comunes como Emotet y TrickBot rara vez vienen solas y pueden ser una señal de problemas mucho más profundos. Simplemente eliminar el malware común de un sistema sin realizar más investigaciones puede tener consecuencias desastrosas unas semanas después.
“Las infecciones de malware básico como Emotet, Dridex y Trickbot deben corregirse y tratarse como un potencial compromiso total del sistema. Esto incluye las credenciales presentes en él”, advirtió Microsoft.
Abordar las vulnerabilidades de la infraestructura que permitieron que el malware ingresara y se propagara en primer lugar también es de vital importancia. Asimismo, fortalecer la red contra el movimiento lateral mediante la práctica de una buena higiene de credenciales y la aplicación del acceso con privilegios mínimos. Restringir el tráfico SMB innecesario entre los puntos finales y limitar el uso de credenciales administrativas también puede tener un gran impacto. Esto hará que la red sea más resistente contra las campañas de ataques operadas por humanos.