Ryuk . Un nombre que alguna vez fue único para un personaje ficticio en un popular cómic japonés y serie de dibujos animados ahora es un nombre que aparece en varias listas del ransomware más desagradable que jamás haya adornado la web salvaje.

Para una variedad increíblemente joven, de solo 15 meses de edad, el ransomware Ryuk que gana tanta notoriedad es una gran hazaña. A menos que los actores de la amenaza detrás de sus campañas también lo dejen, ¿recuerdas a GandCrab? —O la policía los acorrala para siempre, solo podemos esperar que la amenaza de Ryuk se imponga sobre las organizaciones.

Descubierto por primera vez a mediados de agosto de 2018, Ryuk inmediatamente llamó la atención después de interrumpir las operaciones de todos los periódicos de Tribune Publishing durante las vacaciones de Navidad de ese año. Lo que inicialmente se pensó como una interrupción del servidor pronto se hizo evidente para los afectados que en realidad era un ataque de malware. Fue puesto en cuarentena eventualmente; sin embargo, Ryuk se reinfectó y se propagó a los sistemas conectados en la red porque los parches de seguridad no se pudieron mantener cuando los equipos de tecnología recuperaron los servidores.

Caza de caza mayor con ransomware Ryuk

Antes del ataque de vacaciones en Tribune Publishing, Ryuk había sido visto apuntando a varias organizaciones empresariales en todo el mundo, pidiendo pagos de rescate que iban de 15 a 50 Bitcoins (BTC). Eso se traduce en entre US $ 97,000 y $ 320,000 al momento de la valoración.

Este método de apuntar exclusivamente a grandes organizaciones con activos críticos que casi siempre garantiza un alto ROI para los delincuentes se llama «caza mayor». No es fácil de llevar a cabo, ya que tales ataques dirigidos también implican la personalización de campañas para adaptarse mejor a los objetivos y, a su vez, aumenta la probabilidad de su efectividad. Esto requiere mucho más trabajo que un simple enfoque de «rociar y orar» que puede capturar numerosos objetivos pero puede no obtener resultados tan lucrativos.

Para los actores de amenazas que participan en la caza mayor, las campañas maliciosas se lanzan en fases. Por ejemplo, pueden comenzar con un ataque de phishing para reunir credenciales clave o colocar malware dentro de la red de una organización para hacer un mapeo extenso, identificando activos cruciales para atacar. Luego, podrían desplegar una segunda y tercera fase de ataques para espionaje extendido, extorsión y eventual rescate.

Hasta la fecha, el ransomware Ryuk es aclamado como el más costoso entre sus pares. Según un informe de Coveware, la primera compañía de respuesta a incidentes especializada en ransomware, el precio inicial de Ryuk es 10 veces el promedio , pero también afirman que los rescates son altamente negociables. Las diversas formas en que los adversarios calculan los pagos de rescate sugieren que puede haber más de un grupo criminal que tenga acceso y esté operando el ransomware Ryuk.

¿Quién detrás de Ryuk?

Identificar con precisión el origen de un ataque o una variedad de malware es crucial, ya que revela tanto sobre los actores de la amenaza detrás de las campañas de ataque como la carga útil en sí. El nombre «Ryuk», que tiene lazos japoneses obvios, no es un factor a tener en cuenta al tratar de descubrir quién desarrolló este ransomware. Después de todo, es una práctica común para los ciberdelincuentes usar manijas basadas en personajes favoritos de anime y manga. En estos días, una cepa de malware es más que su nombre.

En cambio, las similitudes en la base del código, la estructura, los vectores de ataque y los lenguajes pueden señalar relaciones entre grupos criminales y sus familias de malware. Los investigadores de seguridad de Check Point encontraron una conexión entre las cepas de ransomware Ryuk y Hermes desde el principio debido a las similitudes en su código y estructura, una asociación que persiste hasta el día de hoy. Debido a esto, muchos han asumido que Ryuk también puede tener vínculos con el Grupo Lazarus , el mismo grupo APT de Corea del Norte que operaba el ransomware Hermes en el pasado.

Lectura recomendada: ransomware Hermes distribuido a los surcoreanos a través de Flash reciente de día cero

Sin embargo, la similitud del código por sí sola es una base insuficiente para apoyar la narrativa de los lazos Ryuk / Corea del Norte. Hermes es un kit de ransomware que se vende con frecuencia en el mercado clandestino, por lo que está disponible para que otros ciberdelincuentes lo utilicen en sus campañas de ataque. Además, una investigación separada de expertos en ciberseguridad en CrowdStrike , FireEye , Kryptos Logic y McAfee ha indicado que la pandilla detrás de Ryuk puede ser de origen ruso, y no necesariamente patrocinada por el estado nacional.

Al escribir estas líneas, los orígenes del ransomware Ryuk se pueden atribuir (con gran confianza, según algunos de nuestros pares de ciberseguridad) a dos entidades criminales: Wizard Spider y CryptoTech .

El primero es el conocido grupo cibercriminal ruso y operador de TrickBot ; esta última es una organización de habla rusa que vendió Hermes 2.1 dos meses antes del robo cibernético de $ 58.5 millones que victimizó al Far Eastern International Bank (FEIB) en Taiwán. Según los informes, esta versión de Hermes se utilizó como señuelo o «pseudo-ransomware», una mera distracción del objetivo real del ataque.

Spider Spider

Hallazgos recientes han revelado que Wizard Spider actualizó Ryuk para incluir una utilidad Wake-on-LAN (WoL) y un escáner de ping ARP en su arsenal. WoL es un estándar de red que permite que los dispositivos informáticos conectados a una red, independientemente del sistema operativo que ejecuten, se enciendan de forma remota siempre que estén apagados, en modo de suspensión o en hibernación.

El ping ARP, por otro lado, es una forma de descubrir puntos finales en una red LAN que están en línea. Según CrowdStrike, estas nuevas incorporaciones revelan los intentos de Wizard Spider de alcanzar e infectar tantos puntos finales de su objetivo como sea posible, lo que demuestra un enfoque persistente y una motivación para monetizar cada vez más los datos cifrados de sus víctimas.

CryptoTech

Hace dos meses, Gabriela Nicolao ( @ rove4ever ) y Luciano Martins ( @clucianomartins ), ambos investigadores de Deloitte Argentina, atribuyeron el ransomware Ryuk a CryptoTech, un grupo cibercriminal poco conocido que se observó promocionando a Hermes 2.1 en un foro subterráneo en agosto de 2017. Los investigadores dicen que Hermes 2.1 es un ransomware Ryuk.

La publicación de CryptoTech sobre Hermes versión 2.1 en la web oscura en agosto de 2017 (Cortesía de McAfee)

En un documento de conferencia y presentación de Virus Bulletin titulado La venganza de Shinigami: la larga cola del ransomware Ryuk , Nicolao y Martins presentaron evidencia de esta afirmación: en junio de 2018, un par de meses antes de que Ryuk hiciera su primera aparición pública, un cartel del foro subterráneo expresó duda de que CryptoTech sea el autor de Hermes 2.1, el kit de herramientas de ransomware que vendían hace casi un año. La respuesta de CryptoTech fue interesante, que Nicolao y Martins capturaron y anotaron en la captura de pantalla a continuación.

CryptoTech: Sí, desarrollamos Hermes desde cero.

Los investigadores de Deloitte también notaron que después de que Ryuk emergió, CryptoTech se quedó en silencio.

CrowdStrike ha estimado que desde el momento en que Ryuk se implementó hasta enero de este año, sus operadores han generado un total de 705.80 BTC, lo que equivale a US $ 5 millones al momento de la publicación.

Vectores de infección de Ryuk ransomware

Hubo un momento en que el ransomware Ryuk llegó a sistemas limpios para causar estragos. Pero las nuevas cepas observadas en la naturaleza ahora pertenecen a una campaña de múltiples ataques que involucra a Emotet y TrickBot . Como tal, las variantes de Ryuk llegan a sistemas preinfectados con otro malware, una metodología de ataque de «triple amenaza».

Cómo funciona el ataque de triple amenaza Emotet, TrickBot y Ryuk (Cortesía de Cybereason)

La primera etapa del ataque comienza con un archivo de documento armado de Microsoft Office, es decir, contiene un código macro malicioso, adjunto a un correo electrónico de phishing . Una vez que el usuario lo abre, la macro maliciosa se ejecutará cmdy ejecutará un comando de PowerShell. Este comando intenta descargar Emotet .

Una vez que Emotet se ejecuta, recupera y ejecuta otra carga maliciosa, generalmente TrickBot, y recopila información sobre los sistemas afectados. Inicia la descarga y ejecución de TrickBot al contactar y descargar desde un host malicioso remoto preconfigurado.

Una vez infectados con TrickBot, los actores de la amenaza verifican si el sistema es parte de un sector al que se dirigen. Si es así, descargan una carga útil adicional y usan las credenciales de administrador robadas con TrickBot para realizar movimientos laterales para llegar a los activos que desean infectar.

Los actores de la amenaza comprueban y establecen una conexión con los servidores en vivo del objetivo a través de un protocolo de escritorio remoto (RDP) . A partir de ahí, dejan caer a Ryuk.

Los sistemas infectados con el ransomware Ryuk muestran los siguientes síntomas:

Presencia de notas de ransomware. Ryuk suelta la nota de rescate, RyukReadMe.html o RyukReadMe.txt , en cada carpeta donde tiene archivos cifrados.

El archivo HTML, como puede ver en la captura de pantalla anterior, contiene dos direcciones de correo electrónico privadas que las partes afectadas pueden usar para contactar a los actores de la amenaza, ya sea para averiguar cuánto deben pagar para volver a acceder a sus archivos cifrados o para comenzar El proceso de negociación.

Por otro lado, la nota de rescate TXT contiene (1) instrucciones explícitas establecidas para que las partes afectadas lean y cumplan, (2) dos direcciones de correo electrónico privadas que las partes afectadas pueden contactar y (3) una dirección de billetera Bitcoin. Aunque las direcciones de correo electrónico pueden variar, se observó que todas son cuentas servidas en Protonmail o Tutanota. También se observó que un día después de que se revelara la acusación de dos operadores de ransomware , los operadores de Ryuk eliminaron la dirección de Bitcoin de sus notas de rescate, indicando que se les dará a los afectados una vez que se contacten por correo electrónico.

Por lo general, hay dos versiones de la nota de rescate de texto: una versión educada, que según investigaciones anteriores es comparable a la de BitPaymer debido a ciertas frases similares; y una versión no tan educada.

Notas de rescate de Ryuk. Izquierda: versión educada; Derecha: versión no tan educada
Nota de rescate de BitPaymer: versión educada (Cortesía de Coveware)
Nota de rescate de BitPaymer: versión no tan educada (Cortesía de Symantec)

Archivos cifrados con la cadena RYK adjunta a los nombres de extensión. Ryuk utiliza una combinación de cifrado simétrico (mediante el uso de AES ) y asimétrico (mediante el uso de RSA ) para codificar archivos. Se necesita una clave privada, que solo el actor de la amenaza puede proporcionar, para descifrar correctamente los archivos.

Los archivos cifrados tendrán la extensión de archivo .ryk añadida a los nombres de archivo. Por ejemplo, un archivo sample.pdf y sample.mp4 cifrado tendrá los nombres de archivo sample.pdf.ryk y sample.mp4.ryk , respectivamente.

Este esquema es efectivo, suponiendo que cada cepa Ryuk fue hecha a medida para su organización objetivo.

Si bien Ryuk cifra los archivos en los sistemas afectados, evita los archivos con la extensión .exe, .dll y .hrmlog (un tipo de archivo asociado con Hermes). Ryuk también evita cifrar archivos en las siguientes carpetas:

  • AhnLab
  • Cromo
  • Microsoft
  • Mozilla
  • Papelera de reciclaje
  • Ventanas

Protege tu sistema de Ryuk

Malwarebytes continúa rastreando las campañas de ransomware de Ryuk, protegiendo a nuestros usuarios comerciales con tecnología anti-malware y anti-ransomware en tiempo real, así como detección sin firma , que detiene el ataque al principio de la cadena. Además, protegemos contra ataques de triple amenaza destinados a entregar Ryuk como carga final al bloquear las descargas de Emotet o TrickBot.

Recomendamos a los administradores de TI que realicen las siguientes acciones para proteger y mitigar los ataques de ransomware Ryuk:

  • Eduque a todos los empleados de la organización, incluidos los ejecutivos, sobre cómo manejar correctamente los correos electrónicos sospechosos .
  • Limite el uso de cuentas de privilegios a solo unos pocos en la organización.
  • Evite usar RDP sin terminar correctamente la sesión.
  • Implemente el uso de un administrador de contraseñas y servicios de inicio de sesión único para cuentas relacionadas con la empresa. Elimine otras prácticas inseguras de administración de contraseñas.
  • Implemente un proceso de autenticación que funcione para la empresa.
  • Deshabilite las carpetas compartidas innecesarias, de modo que en caso de un ataque de ransomware Ryuk, se evite que el malware se mueva lateralmente en la red.
  • Asegúrese de que todo el software instalado en los puntos finales y servidores esté actualizado y que todas las vulnerabilidades estén parcheadas . Preste especial atención al parcheo CVE-2017-0144, una vulnerabilidad de ejecución remota de código. Esto evitará que TrickBot y otro malware que explote esta debilidad se propague.
  • Aplicar filtro de archivos adjuntos a mensajes de correo electrónico.
  • Deshabilitar macros en todo el entorno.

Para obtener una lista de las tecnologías y operaciones que se ha encontrado que son efectivas contra los ataques de ransomware Ryuk, puede ir aquí .

Indicadores de compromiso (COI)

Tenga en cuenta que los ciberdelincuentes profesionales venden Ryuk a otros delincuentes en el mercado negro como un juego de herramientas para que los actores de amenazas desarrollen su propia cepa del ransomware. Como tal, uno no debería sorprenderse por la cantidad de variantes de Ryuk que están causando estragos en la naturaleza. A continuación se muestra una lista de hashes de archivos que hemos visto hasta ahora:

  • cb0c1248d3899358a375888bb4e8f3fe
  • d4a7c85f23438de8ebb5f8d6e04e55fc
  • 3895a370b0c69c7e23ebb5ca1598525d
  • 567407d941d99abeff20a1b836570d30
  • c0d6a263181a04e9039df3372afb8016

Como siempre, ¡mantente a salvo, todos!