ūüėé 60% Descuento:  Curso de Hacking Redes Inal√°mbricas >> Ver M√°s

Todo lo que debes saber sobre el peligroso ransomware Ryuk

¬ŅQu√© es el ransomware Ryuk?

Ryuk es una sofisticada amenaza de ransomware que ha atacado a empresas, hospitales, instituciones gubernamentales y otras organizaciones desde 2018. El grupo detr√°s del malware es conocido por utilizar t√©cnicas de hacking manuales y herramientas de c√≥digo abierto para moverse lateralmente. Se mueven lateralmente a trav√©s de redes privadas y obtienen acceso administrativo a tantos sistemas como sea posible antes de iniciar el cifrado de archivos.

La historia y el éxito de Ryuk

Ryuk apareció por primera vez en agosto de 2018. No obstante, se basa en un programa de ransomware más antiguo llamado Hermes que se vendió en foros clandestinos de ciberciberdelincuencia en 2017. Hermes fue utilizado por el Grupo Lazarus, patrocinado por el estado norcoreano, en un ataque contra el Banco Internacional del Lejano Oriente de Taiwán (FEIB) en octubre de 2017. El incidente dio lugar a informes de que Hermes, y más tarde Ryuk, fueron creados por hackers norcoreanos.

Posteriormente, varias compa√Ī√≠as de seguridad refutaron esas afirmaciones y ahora se cree que Ryuk es la creaci√≥n de un grupo de ciberdelincuentes de habla rusa. Supuestamente, el grupo obtuvo acceso a Hermes, tal como probablemente lo hizo Lazarus. 

El grupo detr√°s de Ryuk es rastreado por algunas compa√Ī√≠as de seguridad como Wizard Spider o Grim Spider y es el mismo grupo que opera TrickBot. TrickBot es un troyano de robo de credenciales mucho m√°s antiguo y activo que tiene una relaci√≥n con Ryuk. Otros investigadores creen que Ryuk podr√≠a ser la creaci√≥n del autor o autores originales de Hermes que operan bajo el nombre de CryptoTech. Se cree que simplemente dejaron de vender su ransomware p√ļblicamente despu√©s de desarrollar una versi√≥n mejorada.

Los atacantes de Ryuk exigen pagos de rescate m√°s altos a sus v√≠ctimas en comparaci√≥n con muchas otras bandas de ransomware. Los montos de rescate asociados con Ryuk generalmente oscilan entre 15 y 50 Bitcoins, o aproximadamente entre $100,000 y $500,000. No obstante, algunos informes aseguran que han recibido pagos m√°s altos.  Los atacantes detr√°s de este peligroso ransomware persiguen a organizaciones con activos cr√≠ticos que tienen m√°s probabilidades de pagar. Esta es una t√©cnica que la industria de la seguridad llama “caza mayor”, la banda detr√°s de Ryuk tiene mucho √©xito en monetizar sus campa√Īas.

Ganancias de Ryuk

En una presentaci√≥n en la Conferencia RSA 2020 se revelaron datos interesantes sobre los pagos recibidos por los grupos de ransomware. Joel DeCapua, un agente del FBI, revel√≥ que las organizaciones pagaron 144.35 millones de d√≥lares en bitcoins a grupos de ransomware entre 2013 y 2019.

Los datos no incluyen los pagos de rescate en criptomonedas distintas de BTC. De esos pagos, $61. 26 millones fueron a parar a las cuentas de Ryuk. Y, la suma es casi tres veces mayor que lo que Crysis/Dharma, la segunda banda de ransomware m√°s exitosa en la lista de DeCapua. DeCapua logr√≥ extraer estos datos de las v√≠ctimas en tres a√Īos de ataques.

Cadena de distribución y ataque de Ryuk

Ryuk se distribuye casi exclusivamente a trav√©s de TrickBot o le sigue un ataque con este troyano. Sin embargo, no todas las infecciones por TrickBot conducen a Ryuk. Cuando lo hacen, el despliegue de Ryuk ocurre semanas despu√©s de que TrickBot aparece por primera vez en una red. 

Es probable que esto se deba a que los atacantes utilizan los datos recopilados por TrickBot para identificar redes potencialmente valiosas para Ryuk.

La selecci√≥n del objetivo es seguida por actividades de hacking manual que involucran reconocimiento de red y movimiento lateral. Esto con el objetivo de comprometer a los controladores de dominio y obtener acceso a tantos sistemas como sea posible. La acci√≥n asegura que cuando se implemente Ryuk, el da√Īo sea r√°pido y generalizado en toda la red. Esto es m√°s probable que obligue a una organizaci√≥n a tomar como rehenes solo algunos de sus puntos finales.

Microsoft se refiere a Ryuk como un ataque de ransomware operado por humanos. Y, es parte de una tendencia m√°s amplia de bandas de ransomware que adoptan t√©cnicas sigilosas y altamente espec√≠ficas. Estas t√©cnicas se asociaron principalmente con grupos de amenazas persistentes avanzadas (APT) en el pasado. 

Esto incluye confiar en herramientas de código abierto y utilidades de administración de sistemas existentes para evadir la detección. Una técnica conocida como living off the land.

Herramientas utilizadas

Despu√©s de una infecci√≥n de TrickBot y la identificaci√≥n de un objetivo interesante, Ryuk despliega herramientas de post-explotaci√≥n como Cobalt Strike o PowerShell Empire. Estas herramientas les permiten realizar acciones maliciosas en las computadoras sin activar alertas de seguridad. 

PowerShell es un lenguaje scripting destinado a la administraci√≥n del sistema que aprovecha la API de Windows Management InstrumentationWMI). Cabe mencionar que PowerShell est√° habilitado de forma predeterminada en las computadoras con Windows. 

Sus potentes funciones y su amplia disponibilidad en las computadoras lo han convertido en una opción popular para que los ciberdelincuentes abusen de él.

Los atacantes de Ryuk tambi√©n utilizan la herramienta LaZagne de c√≥digo abierto para robar credenciales almacenadas en computadoras comprometidas. Tambi√©n usaron BloodHound, una herramienta que permite a los pentester analizar y revelar relaciones potencialmente explotables que existen en entornos de Active Directory. 

El objetivo final de los atacantes de Ryuk es identificar los controladores de dominio y obtener acceso administrativo a ellos. Recordemos que esto les da poder sobre toda la red.

“En nuestras investigaciones, encontramos que la activaci√≥n [de Ryuk] ocurre en implantes TrickBot de diferentes momentos. Esto indica que los operadores humanos detr√°s de Ryuk probablemente tengan alg√ļn tipo de lista de registros y objetivos para la implementaci√≥n del ransomware”. Estas fueron afirmaciones de investigadores de Microsoft en un an√°lisis de los ataques de ransomware operados por humanos. 

“En muchos casos, sin embargo, esta fase de activaci√≥n se produce mucho despu√©s de la infecci√≥n inicial de TrickBot. Por lo tanto, la implementaci√≥n final de un payload de ransomware puede ocurrir semanas o incluso meses despu√©s de la infecci√≥n inicial”.

Emotet

El propio TrickBot sigue siendo uno de los troyanos m√°s frecuentes y se distribuye a trav√©s de correos electr√≥nicos no deseados maliciosos. Empero, tambi√©n lo env√≠a otro troyano muy extendido llamado Emotet. Si bien las relaciones entre Ryuk, TrickBot y Emotet no son del todo claras, hay algunos indicios de colaboraci√≥n. A lo largo de los a√Īos Emotet evolucion√≥ hasta convertirse en una plataforma de distribuci√≥n de malware que utilizan muchos grupos de ciberdelincuentes. 

Se cree que TrickBot sigue un modelo similar de malware como servicio (MaaS). No obstante, solo est√° disponible para un n√ļmero relativamente peque√Īo de ciberdelincuentes de primer nivel. Esto seg√ļn un informe reciente de la firma de inteligencia de ciberdelincuencia Intel 471.

Alerta

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos. (CISA) emiti√≥ una alerta sobre un aumento en los ataques del malware Emotet dirigidos. La agencia ha mantenido un aviso sobre Emotet desde 2018, que incluye un conjunto de recomendaciones para protegerse contra la amenaza.

El grupo detr√°s de Ryuk sol√≠a implementar el payload final de ransomware manualmente. Empero, seg√ļn un informe de CERT-FR, una variante m√°s reciente de Ryuk contiene c√≥digo que le permite propagarse a otras computadoras en la red local. Es decir, se puede propagar autom√°ticamente una vez que los atacantes obtienen una cuenta privilegiada en el dominio.

El programa primero genera una lista con todas las direcciones IP posibles en la red local y luego les env√≠a un ping ICMP para descubrir cu√°les son accesibles. 

Posteriormente, enumera los recursos para compartir archivos disponibles en las m√°quinas en l√≠nea, monta esos recursos y cifra su contenido. Al mismo tiempo, se copia a s√≠ mismo en esos archivos compartidos y usa las credenciales de la cuenta de dominio privilegiado. Esto para configurar una tarea programada en las computadoras remotas para ejecutar la versi√≥n copiada de s√≠ mismo.

El c√≥digo no verifica si una computadora ya ha sido infectada, por lo que el malware sigue reinfectando los sistemas. Esto no se puede detener si se cambia la contrase√Īa de la cuenta de dominio comprometida o si la cuenta est√° deshabilitada. Suceder√° siempre que los tickets de Kerberos permanezcan activos. 

Para detener la propagaci√≥n, la contrase√Īa de la cuenta de usuario de KRBTGT debe cambiarse dos veces para forzar la limpieza del historial de contrase√Īas. Esta acci√≥n podr√≠a crear algunas perturbaciones en el dominio que requieran el reinicio de los sistemas, pero tambi√©n detendr√≠a la propagaci√≥n del ransomware. Esto seg√ļn el informe del CERT-FR.

La rutina de cifrado de Ryuk

Ryuk ha divergido con el tiempo del c√≥digo base original de Hermes. Algunas caracter√≠sticas como los mecanismos anti-forenses o de persistencia se han reimplementado, simplificado o eliminado. Despu√©s de todo, un programa de ransomware que se implementa manualmente dentro de un entorno donde los atacantes ya tienen control administrativo sobre los sistemas no necesita las mismas funciones de autoprotecci√≥n que los programas de ransomware que dependen de la propagaci√≥n automatizada. Ryuk tampoco es tan selectivo en los archivos que cifra como otros ransomware.

Una vez implementado, Ryuk cifra todos los archivos excepto aquellos con las extensiones dll, lnk, hrmlog, ini y exe. Tambi√©n omite los archivos almacenados en los directorios de Windows System32, Chrome, Mozilla, Internet Explorer y la Papelera de reciclaje. Estas reglas de exclusi√≥n probablemente pretenden preservar la estabilidad del sistema y permitir que la v√≠ctima utilice un navegador para realizar pagos.

Ryuk utiliza un cifrado de archivos s√≥lido basado en AES-256. Las claves de cifrado se almacenan al final de los archivos cifrados, que cambian su extensi√≥n a .ryk. Las claves AES est√°n cifradas con un par de claves p√ļblicas privadas RSA-4096 que controlan los atacantes. 

Proceso complejo

Todo el proceso es un poco m√°s complejo e implica el cifrado de varias claves con otras claves. No obstante, el resultado es que cada ejecutable de Ryuk est√° hecho a medida para cada v√≠ctima espec√≠fica. Est√° hecho a la medida Incluso si se utiliza en varios sistemas, y utiliza una clave privada generada por los atacantes para esa v√≠ctima espec√≠fica. Esto significa que incluso si se publica la clave RSA privada asociada con una v√≠ctima, no se puede utilizar para descifrar archivos que pertenecen a otras v√≠ctimas.

Ninguna herramienta disponible p√ļblicamente puede descifrar los archivos de Ryuk sin pagar el rescate. Y, los investigadores advierten que incluso el descifrador proporcionado por los atacantes de Ryuk a las v√≠ctimas que pagan a veces puede da√Īar los archivos. 

Eso suele ocurrir en archivos m√°s grandes donde Ryuk realiza intencionalmente solo un cifrado parcial para ahorrar tiempo. Adem√°s, a pesar de la lista blanca de ciertos archivos y directorios del sistema, Ryuk a√ļn puede cifrar archivos que son cr√≠ticos para el funcionamiento normal del sistema. Esto a veces resulta en sistemas que no se pueden iniciar despu√©s de reiniciarlos. Todos estos problemas pueden complicar los esfuerzos de recuperaci√≥n y aumentar el costo en que incurren las v√≠ctimas como resultado de los ataques de Ryuk.

Como la mayor√≠a de los ransomware, Ryuk intenta eliminar las instant√°neas de volumen para evitar la recuperaci√≥n de datos a trav√©s de medios alternativos. Tambi√©n contiene un script kill.bat que deshabilita varios servicios, incluidas las copias de seguridad de la red y el antivirus de Windows Defender.

Protección contra Ryuk

Las organizaciones pueden implementar controles técnicos específicos para reducir la probabilidad de infecciones de Ryuk. Sin embargo, la defensa contra los ataques de ransomware operados por humanos en general requiere corregir algunas malas prácticas entre los administradores de sistema.

Algunas de las campa√Īas de ransomware operadas por humanos m√°s exitosas han sido contra servidores desprotegidos. Por ejemplo, servidores que tienen software antivirus y otra seguridad deshabilitada intencionalmente. Los administradores de sistemas hacen esto para mejorar el rendimiento.

Muchos de los ataques observados aprovechan el malware y las herramientas que ya detecta el antivirus. Los mismos servidores a menudo carecen de protecci√≥n de firewall y MFA, tienen credenciales de dominio d√©biles y utilizan contrase√Īas de administrador local no aleatorias.

A menudo, estas protecciones no se implementan porque existe el temor de que los controles de seguridad interrumpan las operaciones o afecten el rendimiento. Los profesionales de inform√°tica pueden ayudar a determinar el verdadero impacto de estas configuraciones y colaborar con los equipos de seguridad en las mitigaciones. Los atacantes se aprovechan de los ajustes y configuraciones que gestionan y controlan muchos administradores de inform√°tica. Dado el papel clave que desempe√Īan, los profesionales de inform√°tica deber√≠an formar parte de los equipos de seguridad.

Importancia de los equipos de seguridad

Los equipos de seguridad tambi√©n deben tomarse mucho m√°s en serio las infecciones aparentemente raras y aisladas con malware b√°sico. Como demuestra Ryuk, las amenazas comunes como Emotet y TrickBot rara vez vienen solas y pueden ser una se√Īal de problemas mucho m√°s profundos. Simplemente eliminar el malware com√ļn de un sistema sin realizar m√°s investigaciones puede tener consecuencias desastrosas unas semanas despu√©s.

“Las infecciones de malware b√°sico como Emotet, Dridex y Trickbot deben corregirse y tratarse como un potencial compromiso total del sistema. Esto incluye las credenciales presentes en √©l”, advirti√≥ Microsoft.

Abordar las vulnerabilidades de la infraestructura que permitieron que el malware ingresara y se propagara en primer lugar tambi√©n es de vital importancia. Asimismo, fortalecer la red contra el movimiento lateral mediante la pr√°ctica de una buena higiene de credenciales y la aplicaci√≥n del acceso con privilegios m√≠nimos. Restringir el tr√°fico SMB innecesario entre los puntos finales y limitar el uso de credenciales administrativas tambi√©n puede tener un gran impacto. Esto har√° que la red sea m√°s resistente contra las campa√Īas de ataques operadas por humanos. 

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información