El periódico de Florida The Tampa Bay Times sufrió un ataque de ransomware Ryuk el jueves, convirtiéndose en la última víctima importante de la notoria familia de ransomware que sigue aumentando en popularidad.

Curiosamente, el periódico es al menos la tercera víctima de Ryuk con sede en Florida en el último año.

El ataque, que The Tampa Bay Times informó sobre sí mismo , no resultó en ningún dato violado. La información confidencial del cliente, como las direcciones de los suscriptores y los detalles de la tarjeta de crédito, no se reveló en la violación, dijo el periódico.

El director digital del Tampa Bay Times , Conan Gallaty, dijo que el periódico tenía «muchos planes para sistemas que se caen», y que su prioridad era restaurar y asegurar las operaciones.

«El enfoque para nosotros es recuperarnos por completo y luego trabajar en nuevas medidas preventivas», dijo Gallaty.

El periódico no respondió a los actores de la amenaza, y Gallaty dijo que el periódico habría rechazado cualquier pago de rescate exigido. Esta oposición incondicional se está volviendo menos común hoy en día, ya que cada vez más empresas se ven obligadas a elegir entre la pérdida de varios cientos de miles de dólares en pagos de rescate o varios cientos de miles de dólares en recuperación de bases de datos y operaciones.

Además, cuando algunas empresas contratan la ayuda de empresas externas de recuperación de malware, pueden suscribirse, silenciosamente, a negociaciones de ransomware. Una investigación de ProPublica el año pasado descubrió que al menos dos empresas de ciberseguridad que promocionaban soluciones tecnológicas supuestamente avanzadas, de hecho, pagarían los rescates exigidos por los actores de amenazas que violaron a sus clientes .

La investigación de dos empresas encontró que:

“Las empresas [de ciberseguridad] son ​​similares en otros aspectos. Ambos cobran a las víctimas honorarios sustanciales además de los montos de rescate. También ofrecen otros servicios, como sellar infracciones para proteger contra futuros ataques. Ambas empresas han utilizado alias para sus trabajadores, en lugar de nombres reales, para comunicarse con las víctimas «.

Aunque The Tampa Bay Times no reveló el vector de ataque del ransomware Ryuk, Gallaty dijo que creía que era poco probable que el periódico fuera un objetivo específico para los actores de la amenaza. Eso es difícil de conciliar con la historia de Ryuk: ya ha sido responsable de paralizar las operaciones de entrega de al menos cuatro periódicos estadounidenses importantes , incluidos The Chicago Tribune y The Los Angeles Times .

Al hablar con The Tampa Bay Times , el investigador senior de seguridad de Malwarebytes, JP Taggart, explicó el cálculo detrás de los posibles objetivos de ransomware Ryuk:

«Están mirando a las personas que tienen más que perder».

Eso es cierto cuando se mira a las víctimas recientes de Ryuk.

En junio de 2019, el gobierno de Lake City, Florida, se detuvo, con teléfonos y sistemas informáticos paralizados después de que los actores de la amenaza implantaran con éxito una variante de Ryuk en la red de la ciudad. Incapaces de solucionar el problema, incluso con la ayuda del FBI, la ciudad tuvo que tomar una decisión. Decidió pagar $ 460,000 . Una situación similar ocurrió meses después, en octubre, cuando el Sistema de Salud DCH con sede en Alabama se vio obligado a cerrar parcialmente tres de sus hospitales después de un ataque de Ryuk. Nuevamente, incapaz de resolver el problema e incapaz de continuar rechazando a todos los pacientes menos a los más críticos, el operador del hospital decidió priorizar la atención al paciente, pagando una cantidad no revelada a los actores de la amenaza.

Esos pagos se suman. Según CrowdStrike, los equipos de despliegue de Ryuk han acumulado más de $ 3.7 millones en rescates pagados .

Sin embargo, cuando los actores de la amenaza de Ryuk no han logrado un gran día de pago, todavía han logrado hacer un daño enorme. En abril de 2019, el Condado de Imperial, California, se negó a pagar un enorme rescate de $ 1.3 millones por un ataque de Ryuk, pero, según The Wall Street Journal , la ciudad ha gastado $ 1.6 millones en esfuerzos de recuperación . A fines de diciembre, la Guardia Costera de Estados Unidos anunció públicamente que sufrió un ataque de Ryuk que cerró una instalación marítima durante 30 horas .

Las campañas de ransomware se volvieron tan comunes que el FBI advirtió al público que los actores de amenazas habían utilizado Ryuk para atacar a más de 100 empresas estadounidenses e internacionales desde su aparición en agosto de 2018.

Según los nuevos datos de Malwarebytes, esos ataques han continuado. Del 1 al 23 de enero de 2020, Malwarebytes registró un total de 724 detecciones de Ryuk. Las detecciones diarias fluctuaron, con el recuento de detección más bajo a los 18 años el 6 de enero y el recuento de detección más alto a los 47 el 14 de enero.

Detecciones de Ryuk reportadas por Malwarebytes del 1 al 23 de enero de 2020

El ransomware con frecuencia funciona junto con Emotet y TrickBot en ataques de varias etapas. Esas familias separadas de malware también han estado activas en el nuevo año, con pequeños picos en las miles de detecciones. Emotet, particularmente, se puso en marcha nuevamente a partir del 13 de enero .

Actividad de detección diaria reciente para Emotet, Trickbot y Ryuk, informada por Malwarebytes

Como explicamos antes en nuestro foco de amenaza sobre Ryuk :

“La primera etapa del ataque comienza con un archivo de documento armado de Microsoft Office, es decir, contiene un código macro malicioso, adjunto a un  correo electrónico de phishing . Una vez que el usuario lo abre, la macro maliciosa se ejecutará  cmd y ejecutará un comando de PowerShell. Este comando intenta descargar  Emotet .

Una vez que Emotet se ejecuta, recupera y ejecuta otra carga maliciosa, generalmente  TrickBot, y recopila información sobre los sistemas afectados. Inicia la descarga y ejecución de TrickBot al contactar y descargar desde un host malicioso remoto preconfigurado.

Una vez infectados con TrickBot, los actores de la amenaza verifican si el sistema es parte de un sector al que se dirigen. Si es así, descargan una carga útil adicional y usan las credenciales de administrador robadas con TrickBot para realizar movimientos laterales para alcanzar los activos que desean infectar.

Los actores de la amenaza comprueban y establecen una conexión con los servidores en vivo del objetivo a través de un  protocolo de escritorio remoto (RDP) . A partir de ahí, dejan caer a Ryuk.

El Tampa Bay Times no especificó qué sistemas, o cuántas computadoras, fueron interrumpidas en el ataque del jueves. En cambio, el único indicio de inconveniente en la rutina del periódico fue el reconocimiento de que el periódico del viernes se publicaría con una fecha límite anterior.