Visilleras
de Complutum
- Desde
- 25 Jul 2009
- Mensajes
- 52.723
- Reputación
- 221.350
¿Qué es Ryuk?
En el otoño de 2018, se descubrió una versión modificada del ransomware Hermes: Ryuk. Tanto Hermes como Ryuk tienen características similares. Identifican y cifran dispositivos de red junto con la eliminación de instantáneas almacenadas en los puntos finales.
La única diferencia es cómo crean las claves de cifrado. Mientras que Hermes usa un par de claves privadas y RSA, Ryuk usa una segunda clave pública RSA.
El ransomware Ryuk es más lucrativo que su predecesor. Se dirige a grandes organizaciones y agencias gubernamentales que terminan pagando grandes cantidades.
La verdad es que, sin los grandes beneficios, procesar los ataques de Ryuk no es sostenible. Implica un alto grado de procesos manuales (explotación directa, solicitudes de pago manejadas por correo electrónico, etc.) y los atacantes no quieren perder el tiempo si el ROI no es bueno.
¿Quiénes fueron sus creadores?
Sospechoso de ser un solo grupo vinculado a la inteligencia de Corea del Norte, los piratas informáticos detrás del amenazante ransomware Ryuk en realidad se extienden a través de dos o más organizaciones cibercriminales prolíficas, que parecen provenir de Rusia o antiguos estados satélites. Juntos, han cosechado 4 millones de dólares en menos de un año de empresas y usuarios bloqueados por el malware de archivos y sistemas cruciales.
Los atacantes de Ryuk han extorsionado más de diez veces el rescate de malware promedio, lo que lo convierte en el exploit “más costoso” de su naturaleza. Un pago de rescate medio fue de 71,000 dólares en bitcoin. Eso fue inferior a la demanda de apertura de los atacantes de Ryuk de 145,000 dólares en la criptomoneda.
En algunos casos, las víctimas se vieron obligadas a pagar el mejor precio, o sus sistemas informáticos serían eliminados. En otras situaciones, los piratas informáticos de Ryuk estaban dispuestos a negociar el rescate. Eso es lo que llevó a los investigadores a sospechar que había más de un equipo de Ryuk.
Los investigadores también encontraron pistas que apuntaban a que Rusia y los antiguos estados satélites soviéticos eran el origen del ataque en lugar de Corea del Norte. A nivel técnico, el idioma ruso se encontró en uno de los archivos cifrados utilizados por Ryuk.
También hubo una referencia cultural en un ataque recogido por los investigadores. Al explicar sus motivos, los atacantes le dijeron a su víctima: “à la guerre comme à la guerre”. La expresión francesa se traduce como “en guerra como en guerra” y fue citada varias veces por el líder revolucionario soviético Lenin en sus escritos.
A pesar de sus grandes ambiciones, los codificadores de Ryuk no parecen ser los ingenieros de software más talentosos. El malware está lleno de errores, por lo que incluso cuando las víctimas han pagado el rescate, la herramienta para descifrar archivos no funciona correctamente y puede fallar en completar su tarea.
¿Cómo funciona este ransomware?
El ransomware Ryuk no es el comienzo, sino el final de un ciclo de infección. Es ransomware que se forma, paso a paso, y cuando ataca, es letal.
Así es como se propaga Ryuk Ransomware:
Cuentagotas
Todo comienza con correos electrónicos de phishing, visitando un sitio web incompleto o haciendo clic en una ventana emergente aleatoria.
Bots como TrickBot y Emotet dan acceso directo a la red de la víctima. Emotet y TrickBot comienzan a extenderse lateralmente a través de la red e implementan el ransomware Ryuk. En general, hay un retraso entre la propagación de bots y el despliegue de Ryuk. Este retraso permite a Emotet y Trickbot robar información confidencial, lo que hace que las organizaciones sean vulnerables incluso antes de un ataque de Ryuk.
Configuración binaria
Una vez que se implementa el ransomware Ryuk, comprueba si el sistema es adecuado para él. El binario caído ransomware funciona en un algoritmo fijo. El cuentagotas identifica un sistema y ejecuta un módulo (32 o 64 bits). Según los resultados, elimina las versiones de malware que se adaptan al sistema y lo ejecuta con ShellExecuteW.
Cifrado de archivos
Una vez que los atacantes encuentran un sistema adecuado, se cargan dos archivos dentro de una subcarpeta dentro del directorio:
PÚBLICO: clave pública RSA
UNIQUE_ID_DO_NOT_REMOVE: Clave codificada
Aquí es donde Ryuk comienza el proceso de encriptación.
Recorre los sistemas de archivos y las unidades conectadas para iniciar el cifrado utilizando WNetOpenEnum y WNetEnumResource. Cada archivo está encriptado y la clave de encriptación se destruye después de haber cumplido su propósito.
Inyección de Ryuk Ransomware
Ryuk inyecta su código en varios procesos remotos, y así comienza la limpieza disoluta. Usando los comandos taskkill y netstop, crea una lista preconfigurada de 40 procesos y 180 servicios que se eliminan. Estos incluyen herramientas antivirus, bases de datos, copias de seguridad y otro software.
Ryuk, el ransomware más temido por las empresas | Grupo Atico34
En el otoño de 2018, se descubrió una versión modificada del ransomware Hermes: Ryuk. Tanto Hermes como Ryuk tienen características similares. Identifican y cifran dispositivos de red junto con la eliminación de instantáneas almacenadas en los puntos finales.
La única diferencia es cómo crean las claves de cifrado. Mientras que Hermes usa un par de claves privadas y RSA, Ryuk usa una segunda clave pública RSA.
El ransomware Ryuk es más lucrativo que su predecesor. Se dirige a grandes organizaciones y agencias gubernamentales que terminan pagando grandes cantidades.
La verdad es que, sin los grandes beneficios, procesar los ataques de Ryuk no es sostenible. Implica un alto grado de procesos manuales (explotación directa, solicitudes de pago manejadas por correo electrónico, etc.) y los atacantes no quieren perder el tiempo si el ROI no es bueno.
¿Quiénes fueron sus creadores?
Sospechoso de ser un solo grupo vinculado a la inteligencia de Corea del Norte, los piratas informáticos detrás del amenazante ransomware Ryuk en realidad se extienden a través de dos o más organizaciones cibercriminales prolíficas, que parecen provenir de Rusia o antiguos estados satélites. Juntos, han cosechado 4 millones de dólares en menos de un año de empresas y usuarios bloqueados por el malware de archivos y sistemas cruciales.
Los atacantes de Ryuk han extorsionado más de diez veces el rescate de malware promedio, lo que lo convierte en el exploit “más costoso” de su naturaleza. Un pago de rescate medio fue de 71,000 dólares en bitcoin. Eso fue inferior a la demanda de apertura de los atacantes de Ryuk de 145,000 dólares en la criptomoneda.
En algunos casos, las víctimas se vieron obligadas a pagar el mejor precio, o sus sistemas informáticos serían eliminados. En otras situaciones, los piratas informáticos de Ryuk estaban dispuestos a negociar el rescate. Eso es lo que llevó a los investigadores a sospechar que había más de un equipo de Ryuk.
Los investigadores también encontraron pistas que apuntaban a que Rusia y los antiguos estados satélites soviéticos eran el origen del ataque en lugar de Corea del Norte. A nivel técnico, el idioma ruso se encontró en uno de los archivos cifrados utilizados por Ryuk.
También hubo una referencia cultural en un ataque recogido por los investigadores. Al explicar sus motivos, los atacantes le dijeron a su víctima: “à la guerre comme à la guerre”. La expresión francesa se traduce como “en guerra como en guerra” y fue citada varias veces por el líder revolucionario soviético Lenin en sus escritos.
A pesar de sus grandes ambiciones, los codificadores de Ryuk no parecen ser los ingenieros de software más talentosos. El malware está lleno de errores, por lo que incluso cuando las víctimas han pagado el rescate, la herramienta para descifrar archivos no funciona correctamente y puede fallar en completar su tarea.
¿Cómo funciona este ransomware?
El ransomware Ryuk no es el comienzo, sino el final de un ciclo de infección. Es ransomware que se forma, paso a paso, y cuando ataca, es letal.
Así es como se propaga Ryuk Ransomware:
Cuentagotas
Todo comienza con correos electrónicos de phishing, visitando un sitio web incompleto o haciendo clic en una ventana emergente aleatoria.
Bots como TrickBot y Emotet dan acceso directo a la red de la víctima. Emotet y TrickBot comienzan a extenderse lateralmente a través de la red e implementan el ransomware Ryuk. En general, hay un retraso entre la propagación de bots y el despliegue de Ryuk. Este retraso permite a Emotet y Trickbot robar información confidencial, lo que hace que las organizaciones sean vulnerables incluso antes de un ataque de Ryuk.
Configuración binaria
Una vez que se implementa el ransomware Ryuk, comprueba si el sistema es adecuado para él. El binario caído ransomware funciona en un algoritmo fijo. El cuentagotas identifica un sistema y ejecuta un módulo (32 o 64 bits). Según los resultados, elimina las versiones de malware que se adaptan al sistema y lo ejecuta con ShellExecuteW.
Cifrado de archivos
Una vez que los atacantes encuentran un sistema adecuado, se cargan dos archivos dentro de una subcarpeta dentro del directorio:
PÚBLICO: clave pública RSA
UNIQUE_ID_DO_NOT_REMOVE: Clave codificada
Aquí es donde Ryuk comienza el proceso de encriptación.
Recorre los sistemas de archivos y las unidades conectadas para iniciar el cifrado utilizando WNetOpenEnum y WNetEnumResource. Cada archivo está encriptado y la clave de encriptación se destruye después de haber cumplido su propósito.
Inyección de Ryuk Ransomware
Ryuk inyecta su código en varios procesos remotos, y así comienza la limpieza disoluta. Usando los comandos taskkill y netstop, crea una lista preconfigurada de 40 procesos y 180 servicios que se eliminan. Estos incluyen herramientas antivirus, bases de datos, copias de seguridad y otro software.
Ryuk, el ransomware más temido por las empresas | Grupo Atico34
