Al menos tres grandes compañías en los Estados Unidos han sido alcanzadas por Ryuk: La última amenaza creada por profesionales del ransomware con la que ya se han recaudado más de 640.000 dólares. Según informan los expertos de Check Point, hasta ahora la campaña se ha centrado en empresas, afectando a cientos de ordenadores, servidores y centros de datos en cada organización infectada.

Las capacidades técnicas del ransomware son relativamente bajas, pero curiosamente, la investigación llevó a los expertos de Check Point a seguir la estrategia de Ryuk y comparar algunos de sus mecanismos internos con el ransomware HERMES, un malware comúnmente atribuido al famoso Lazarus Group de Corea del Norte, que también se usó en ataques dirigidos masivos. Esto lleva a pensar que la ola actual de Ryuk puede ser obra de sus creadores o del trabajo de un ciberdelincuente que ha obtenido su código fuente.

Así es Ryuk

A diferencia del ransomware común, distribuido a través de campañas masivas de spam, Ryuk se utiliza exclusivamente para ataques dirigidos. De hecho, su esquema de cifrado está diseñado intencionalmente para operaciones a pequeña escala, de modo que solo infecta recursos cruciales de cada red objetivo y su distribución es llevada a cabo manualmente por los atacantes.

Esto significa que se requiere un mapeo extenso de redes, piratería y recolección de credenciales antes de cada operación. Su supuesta atribución a Lazarus Group puede implicar que los atacantes ya tienen mucha experiencia en este tipo de operaciones, como demostraron en el ciberataque a Sony Pictures en 2014.

Ryuk vs HERMES

El ransomware HERMES se hizo conocido en octubre de 2017, cuando se utilizó como parte del ciberataque dirigido contra el Far Eastern International Bank (FEIB) de Taiwán. En esa operación, atribuida al Lazarus Group, se robaron 60 millones de dólares en un sofisticado ataque al SWIFT, aunque luego se recuperaron.

En el caso de Ryuk, sin embargo, no hay duda de que sus ataques de las últimas dos semanas no son algo secundario. De hecho, con el pago de un rescate tan alto como solicitaron, este malware está recibiendo la repercusión adecuada entre sus objetivos o, mejor dicho, sus víctimas.

El ransomware Ryuk no se ha distribuido ampliamente. Al igual que su antecesor, HERMES, solo se ha utilizado en ataques dirigidos, lo que hace que sea mucho más difícil rastrear las actividades e ingresos del autor del malware. Casi cada aparición del malware utilizó una billetera única. Poco después de que se realizara el pago del rescate, los fondos se dividieron para después transferirse a través de muchas otras cuentas.

Sin embargo, al examinar las transacciones de divisas de la billetera proporcionada en la nota de rescate, se expuso un patrón que nos permitió ubicar las carteras que muy probablemente se utilizarían para la monetización. El equipo de Check Point también detectó una conexión entre estas billeteras, ya que los fondos que se les pagaron se transfirieron a varias billeteras clave. Esto puede indicar que actualmente se está llevando a cabo una operación coordinada, en la que varias empresas fueron cuidadosamente escogidas para utilizar el ransomware Ryuk.

Desde la fase de explotación hasta el proceso de encriptación y la propia demanda de rescate, la campaña de Ryuk está cuidadosamente dirigida a empresas que son capaces de pagar una gran cantidad de dinero.

Tanto la naturaleza del ataque, como el propio funcionamiento interno del malware, vinculan a Ryuk con el ransomware HERMES, despiertan la curiosidad con respecto a la identidad del grupo detrás de él y su conexión con el Lazarus Group. Después de cobrar unos 640.000 dólares gracias a su éxito, Check Point cree que este no es el final de la campaña. Es muy probable que otras organizaciones sean víctimas de Ryuk.

About Author

Globb Security

Globb Security, la web de referencia del sector de la seguridad informática.

Deja un comentario